...

9 nuttige video’s over diverse IT security onderwerpen

Security awareness hoeft niet ingewikkeld te zijn. NFIR heeft in samenwerking met het Platform Veilig Ondernemen 9 instructievideo’s gecreëerd over de belangrijkste IT-security onderwerpen in begrijpbare taal. Bekijk deze video’s om uzelf en uw organisatie te beschermen tegen de gevolgen van cybercrime. Heeft u vragen over één van deze onderwerpen? Neem dan contact met ons op.

  1. Hoe stel ik Twee Staps Authenticatie in?
  2. Hoe kan ik controleren of mijn wachtwoord is gelekt?
  3. Waarom zou je een passwordmanager gebruiken?
  4. Wat is phishing en hoe voorkom ik het?
  5. Wat is CEO-fraude en hoe voorkom ik het?
  6. Hoe kan ik de digitale veiligheid van mijn bedrijf testen?
  7. Hoe maak ik een goede back-up?
  8. Hoe vind ik goede IT-beveiligingshulp?
  9. Hoe digitaliseert criminaliteit? 

Hoe stel ik Twee Staps Authenticatie in?

Hoe kan ik controleren of mijn wachtwoord is gelekt?

Waarom zou je een passwordmanager gebruiken?

Wat is phishing en hoe voorkom ik het?

Wat is CEO-fraude en hoe voorkom ik het?

Hoe kan ik de digitale veiligheid van mijn bedrijf testen?

Hoe maak ik een goede back-up?

Hoe vind ik goede IT-beveiligingshulp?

Hoe digitaliseert criminaliteit?

Hoe stel ik twee stappen authenticatie in op mijn account?

Dat is de vraag die we in dit filmpje gaan beantwoorden. Om verwarring te voorkomen gaan we het eerst hebben over verschillende namen die voor twee stappen authenticatie gebruikt worden. Het wordt ook wel twee-factor verificatie dubbele verificatie of 2FA genoemd. Al deze termen kom op hetzelfde neer. Namelijk bevestigen dat jij de persoon bent wie je zegt te zijn.

 

Het bevestigen gaat vaak via het ontvangen van een code in sms'je of zoals in deze video ga laten zien via een app op je telefoon. Door van een van deze methode gebruik te maken voorkom je dat een hacker die kennis heeft van jouw inloggegevens weet in te breken in je account. Een hacker moet met twee staps authenticatie namelijk eerst de unieke code bemachtigen om succesvol te kunnen inloggen.
Hiervoor zou er fysiek je telefoon moeten stelen en meestal stop de aanval hier omdat de fysieke stap te riskant is een teveel moeite kost.

 

Waar stel ik het mee in?

Het begint met het downloaden van een 2-staps authenticatie app. Er zijn er een aantal; bijvoorbeeld Google authenticator, Lastpass authenticator, Microsoft authenticator en Authy. In dit voorbeeld gebruiken we google authenticator. deze app kan je downloaden in de google play store als een android telefoon hebt of in de app store als je iphone hebt.

 

Als het downloaden van de app is gelukt, kan je een account of applicatie zoeken waarop je twee staps authenticatie wil instellen. Dit roept dan wel de vraag op waar kan ik het op instellen? Op heel veel accounts kan 2-staps authenticatie worden ingesteld. Zoals de google suite office 365 omgeving en op vele social media zoals LinkedIn Twitter en Facebook. Ook veel andere moderne applicaties maken tegenwoordig gebruik van twee staps authenticatie. Aan de leverancier van de applicatie kan je navragen of deze twee staps authenticatie ondersteunt.

 

De manier van twee staps authenticatie instellen verschilt perapplicatie. In de applicatie of op de website waarop je het wil instellen kan je onder instellingen vaak 2-staps authenticatie instellen. Meestal is dit te vinden onder account, inloggen en of beveiliging. Mocht je nou niet kunnen vinden dan kun je Googlen op twee-factor authenticatie met daarachter de naam van applicatie. Een voorbeeld hiervan is twee-factor authenticatie op LinkedIn. Let wel op; klik alleen op de link van de applicatie zelf.


Op die pagina staat de uitleg aan de hand waarvan je zelf twee-factor authenticatie kan instellen voor je account. Als je op de pagina waar je twee-factor authenticatie kan instellen aangeeft dat je het wil instellen, krijg je een qr-code te zien. Deze qr code moet je scannen met de eerder geïnstalleerde app. Open de app, druk op het plusje en selecteer de optie om een streepjescode te scannen. Daarna vul je in de applicatie de code in die op je telefoon ziet en klik je vervolgens op opslaan in de app.

 

Vervolgens krijg je een aantal nood codes te zien. Sla deze nood codes ergens veilig op. Dit kan digitaal of geprint op papier. Het is belangrijk de codes niet op te slaan op je telefoon; dit omdat telefoon kapot kan gaan of gestolen kan worden en je dan niet meer bij de nood codes kan.

 

Dit was een video over hoe je twee staps authenticatie instelt op je account. Wil je nog beter beveiligd zijn kijk dan een van onze andere video's.

Hoe kan ik controleren of mijn wachtwoord is gelekt?

Dat is de vraag die in dit filmpje gaan beantwoorden. Hoe komt mijn wachtwoord openbaar beschikbaar op het internet. Als hackers een organisatie hebben gehacked maken zij soms een database met wachtwoorden voor gebruikers buit. Als de hackers deze database hebben gebruikt voor hun eigen doeleinden verkopen zij de gegevens uit de database vaak door; of stellen zij de data beschikbaar aan andere hackers. Het gevolg van het doorverkopen of beschikbaar stellen is dat dan nog meer mensen toegang zullen hebben tot de gestolen gegevens. Als meer mensen toegang hebben tot de gegevens zullen er vanzelfsprekend ook meer inlogpogingen worden uitgevoerd met deze gegevens. Hierdoor is de kans groter dat uw account gebruikt kan worden voor fraude of andere criminele praktijken

 

Wat doen hackers met een gelekt wachtwoord?

Mensen gebruiken vaak hetzelfde wachtwoord op verschillende websites en applicaties. Hackers zullen met de gelekte wachtwoorden toegang proberen te krijgen tot andere websites en applicaties waar mogelijk hetzelfde wachtwoord wordt gebruikt. In de praktijk komt het voor dat een hacker het wachtwoord van u heeft gestolen bij LinkedIn; met dat wachtwoord binnendringt op bijvoorbeeld een bol.com account en producten bestelt met de optie achteraf betalen. De hacker krijgt op deze manier de spullen en u krijgt de rekening.

 

Hoe kan ik controleren of mijn wachtwoord is gelekt?

Tegenwoordig zijn er partijen die zich bezighouden met het verzamelen van databases met inloggegevens met als doel mensen en organisaties te beschermen tegen misbruik van deze inlog gegevens. Deze partijen halen hun inkomsten uit het aanbieden van wachtwoordcontrole op grote schaal aan bijvoorbeeld banken. Hierdoor worden banken gealarmeerd wanneer hun klanten wachtwoorden gebruiken die mogelijk bekend zijn bij hackers. Aan individuele burgers wordt deze service gratis aangeboden. De twee bekende partijen die deze service aanbieden zijn: haveibeenpwned en Scattered Secrets. In dit voorbeeld maken we gebruik van Scattered Secrets. Dit is een nederlandse website die gelekte wachtwoorden verzameld. Om te controleren of uw wachtwoord ooit gelekt is, gaat u naar www.scatteredsecrets.com. Aangekomen op de website vult u een e-mailadres in dat u gebruikt.

 

Vervolgens klikt u op find hacked passwords. De website zal dan aangeven of er ooit een wachtwoord is gelekt. Wanneer een wachtwoord gelekt is en u wilt weten welk wachtwoord en gelekt is; moet u de instructies om een account aan te maken bij Scattered Secrets volgen. Als het is gelukt komt u op een pagina waar u kunt klikken op het vergrootglas om zo het gelekte wachtwoord zichtbaar te maken.

 

Zorg ervoor dat je dit wachtwoord niet meer gebruikt en vervangt door een nieuw wachtwoord. We raden aan te kiezen voor een nieuw wachtwoord van minimaal 12 tekens, welke ook bestaat uit: cijfers, kleine letters, hoofdletters en speciale tekens. De lengte en complexiteit van een wachtwoord maken het veel lastiger voor een hack om het wachtwoord te kraken. Een handige manier om lange en complexe wachtwoorden te maken, is door een wachtwoordzin te gebruiken. Bijvoorbeeld de zin Schaapj3sH3bb4nw!tteV0etjes (schaapjes hebben witte voetjes). Door de lengte van de zin en de verschillende tekens die in de zin verwerkt zitten is dit wachtwoord veilig voor gebruik. Let wel op dat u niet letterlijk deze voorbeeldzin gebruikt aangezien deze openbaar op internet staat. Stel daarom uw eigen wachtwoord zin samen. Zorg ook dat u voor elke website of applicatie een ander wachtwoord gebruikt.

 

Hiermee voorkomt u dan een hacker op meerdere plekken met hetzelfde wachtwoord succesvol kan inloggen. Daarnaast adviseren wij ook om gebruik te maken van twee-factor authenticatie. Hoe u twee-factor authenticatie instelt is te vinden in onze andere video genaamd: Hoe stel ik twee staps authenticatie in op mijn account.

 

Aangezien goede wachtwoorden van meer dan 10 tekens lastig te onthouden zijn, raden wij het gebruik van een paspoort manager aan. In een andere video leggen wij u uit hoe u een digitale pasword manager kunt gebruiken. Mocht een digitale pasword manager echt geen optie voor zijn, dan kan u uw wachtwoorden ook fysiek bewaren. Maak hiervoor gebruik van en wachtwoorden boekje om de wachtwoorden in op te schrijven en te bewaren op een veilige plek. Echter adviseren wij wanneer mogelijk toch gebruik te maken van een digitale password manager.
Dit was een video over hoe u kunt controleren of er wachtwoorden van u zijn gelekt. Wilt u nog beter beveiligd zijn kijk dan een van onze andere video's.

Waarom zou je een paswoord manager gebruiken?

Dat is de vraag die we in dit filmpje gaan beantwoorden. Laten we eerst beginnen met de vraag Wat doet een password manager?
Een password manager helpt u met een aantal zaken rondom het beheren van uw wachtwoorden. Zo maakt een password manager goede en sterke wachtwoorden. Deze bestaat minimaal uit 12 karakters en bevatten kleine letters hoofdletters, cijfers en speciale tekens. De lengte van het wachtwoord is de belangrijkste factor voor goed wachtwoord.

 

Verder helpt de password manager bij het onthouden van lange en complexe wachtwoorden en de password manager slaat het wachtwoord veilig en versleuteld op in de cloud. Het voordeel van in de cloud opgeslagen wachtwoorden is, dat u op elk apparaat waarop de password manager is geïnstalleerd; toegang heeft tot uw opgeslagen wachtwoorden. Daarnaast kan een password manager de gebruikersnamen en wachtwoorden automatisch invullen op de website of in de applicatie waar u probeert in te loggen.

 

Naast de drie genoemde functies biedt een password manager nog vele andere voordelen; zo is het ook een plek om veilig een kopie van uw paspoort, notities, creditcardgegevens of andere soorten informatie te bewaren. Voor een bedrijf zijn er nog meer voordelen. Zo kunnen er met een paswoord manager gescheiden opslag plekken worden gemaakt voor een afdeling, of zelfs per medewerker. Iedere medewerker heeft dan zijn eigen set met wachtwoorden en daarnaast kan bijvoorbeeld de afdeling verkoop niet bij de wachtwoorden van financiën en vice versa.

 

We hebben net de voordelen bedoel van een passwordt manager.
Maar is het gebruik ervan ook veilig? Ja, password managers zijn over het algemeen erg veilig echter wij raden wel aan te kijken naar wat gerenomeerde instanties zoals de consumentenbond aanraden. Verderop in de video zullen wij deze lijst met gebruiksvriendelijke en veilige paspoort managers presenteren.
Password managers versleutelen over het algemeen de data zodanig dat de meest krachtige computers de komende duizend jaar het wachtwoord niet kunnen ontsleutelen. Een complexe wiskundige formule, die achter de versleuteling van een wachtwoord zit waarborgt dit. Hierdoor kunnen ook de mensen die bij een passer manager werken niet uw wachtwoorden achterhalen.

 

Welke goede password managers zijn er?

De volgende gerenomeerde online password managers raden wij aan.

  • 1Password
  • LastPass
  • DashLane
  • F-Secure Key


Apple beschikt over haar eigen passwordt manager. Het voordeel is dat deze als het inbegrepen bij apple apparaten en dus niet apart aangeschaft hoeft te worden. Het nadeel van deze variant is dat hij enkel wachtwoorden deel tussen andere apple-apparaten. Op het moment dat u een apparaat gebruikt dat niet van apple is kunt u niet bij de wachtwoorden. Ook de optie om wachtwoorden op te slaan bij google is vaak bekend onder gebruikers van de webbrowser google chrome.
Echter deze manier van wachtwoorden opslaan is een stuk minder veilig dan een password manager. De wachtwoorden worden onversleuteld opgeslagen en de wachtwoorden die chrome voor uw maakt, zijn niet van de veilige lengte en complexiteit.

 

Kan ik ook gebruik maken van een offline password manager?
Naast de online password managers zijn er ook een aantal offline paspoort managers. Een voorbeeld hiervan is KeePass. Een offline paspoort manager mist echte bepaalde functies. Zoals het makkelijk delen van wachtwoorden tussen verschillende apparaten. Ook kunt u de wachtwoorden kwijtraken als u back-ups niet goed bijhoudt. Iets wat bij een online paswoord manager vanzelf gaat. Het voordeel is wel dat deze gratis zijn. De kosten van de meeste online password managers liggen tussen de 20 en 30 euro per jaar.

 

Tot slot kunt u er ook voor kiezen uw wachtwoorden in een boekje op te schrijven. Als u het idee van het digitaal opslaan van wachtwoorden niet prettig vindt. In een wachtwoorden boekje kunt u op een geordende manier de wachtwoorden bijhouden. Leg het boek je uiteraard wel op een veilige plek zodat niemand anders dan u, of de mensen die u vertrouwt, de wachtwoorden kunnen inzien.
Bedenk ook een slimme manier voor het opstellen van nieuwe wachtwoorden. Maak bijvoorbeeld gebruik van een wachtwoordzin en onthoud de eerder genoemde eisen in uw achterhoofd.

 

Hoe werkt een password manager?

Hoe u de paspoort manager instelt verschilt per password manager. Vaak is er op de website van de maker van de password manager een zeer duidelijke instructie te vinden over hoe u de password manager download en instelt. Een makkelijke manier om de juiste instructies te vinden is door op google in te typen “getting started” en dan de naam van de password manager bijvoorbeeld 1password. Let hier wel op dat u alleen klikt op de link die leidt naar de website van de maker van de password manager.

 

Een paspoort manager werk na het instellen erg simpel u hoeft alleen het sterke wachtwoord van de toegang tot de password manager te onthouden en de paspoort manager doet de rest.

 

De noodhulp kit die u ontvangt bij het instellen van de password manager kunt u bij het vergeten van het wachtwoord gebruiken om weer toegang te krijgen tot uw wachtwoorden. Daarnaast kunnen bijvoorbeeld dierbare na uw overlijden door middel van de noodhulp kit toegang verkrijgen tot de wachtwoorden in de password manager. U dient de nood kit dus op een veilige plaats te bewaren. Dit was een video over wat een password manager is. Wilt u nog beter beveiligd zijn? Kijk dan een van onze andere video's.

Medewerkers van (standaard)gecertificeerde bedrijven ervaren in de praktijk verrassend vaak dat hun medewerkers vatbaar zijn voor phishing en social engineering. Wat is phishing en hoe voorkom ik het?

 

Wat is CEO fraude de en hoe voorkom ik het?

Dat is de vraag die u in deze video gaan beantwoorden. CEO fraude is een vorm van phishing die zich richt op het misbruiken van een managementrol. Twee vormen van CEO fraude komen geregeld voor. De fraude van organisatie naar organisatie en interne fraude.

 

Bij de variant van organisatie na organisatie, gaat het vaak om transactie kaping en uitlokking. Hierbij gaat een aanvaller tussen de twee onderhandelende organisaties in zitten of, doet hij zich voor als een van de twee partijen, om zo geld afhandig te maken. Verderop in de video gaan we hier dieper op in.

 

Bij de interne fraude doet de aanvaller zich voor als een manager, om zo een werknemer van de organisatie over te halen een actie uit te voeren.

 

Hoe gaat een aanvaller te werk?

Bij CEO fraude werken de aanvalers geroutineerd en hebben ze als doel grote vissen vangen. Om een doel te kunnen bereiken gaan de aanvallers geavanceerd te werk. Meestal hekken zijn mailbox van de uitgekozen organisatie of maken ze een spelfout domeinnaam. Bij een spelfout domein maakt de aanvaller een domeinnaam aan, die lijkt op die van de uitgekozen organisatie. Maar dus in bezit is van de aanvaller. De aanvaller kan dan opdracht tot betaling uitzetten binnen de organisatie. Dit in de hoop dat die betaling wordt uitgevoerd en het geld van de organisatie op de rekening van de aanvaller terecht komt. Een voorbeeld hiervan is dat directie at NIFR.nl wordt aangemaakt door een aanvaller. Vanuit dat e-mailadres worden mails verstuurd naar de financiële afdeling van NFIR met met vaak vanuit de CEO de opdracht een betaling uit te voeren. Op het eerste gezicht valt de fout niet op maar als je de domeinnaam goed bekijkt zijn de F en de I omgedraaid.

 

Veel ondernemingen maar ook stichtingen en verenigingen krijgen te maken met CEO fraude. Het lastige aspect van CEO fraude is dat er niet een methode bestaat die de aanvallers toepassen. De aanvallers proberen zoveel mogelijk informatie over de organisatie te verzamelen, zodat ze een gerichte aanval kunnen uitvoeren die grote kans van slagen heeft. De meest bekende CEO fraudes zijn de directie fraude en transactie kaping en uitlokking.

 

Directie fraude, bij directie fraude doet de aanvaller zich voor als de directeur of de directie van een organisatie. Ddeze informatie had de aanvaller meestal van LinkedIn of uit registratie bij de Kamer van Koophandel. De aanvaller stuurt vanuit de directeur interne e-mail naar de medewerker die verantwoordelijk is voor de financiële transacties. In die e-mail vraagt de directeur of de medewerker een openstaande rekening zo snel mogelijk kan betalen. De e-mail bevat vaak woorden waarmee je medewerker overgehaald wordt snel te handelen en de opdracht niet in twijfel te trekken. Denk hierbij aan dat het vandaag nog moet gebeuren en dat het snel moet gebeuren. Maar ook dat de CEO op de medewerker rekent en vertelt dat het geld wordt gebruikt voor een project met grote organisaties zoals overheden en universiteiten. Dit alles om de transactie legitiem te laten lijken.

 

Transactie kaping en uitlokking, bij transactie kaping en uitlokking mengt en aanvaller zich in een acquisitie traject en neemt de communicatie op een bepaald moment over. Dit gebeurt meestal op het allerlaatste moment wanneer de bankrekeningnummers worden gedeeld. De aanvaller vervangt de rekeningnummers van de legitieme ontvanger van het geld, door zijn eigen rekening nummer zodat hij het geld zal gaan ontvangen. Er zijn ook situaties geweest waar de communicatie in een eerder stadium al werd overgenomen door de aanvaller. De aanvaller neemt dan het gehele acquisitie traject over zonder dat de andere partij dat door heeft. Bij deze vorm van fraude zijn uiteindelijk twee slachtoffers de partij die geld over heeft gemaakt naar de aanvaller lopen financiële schade op en de partij van uit waar de aanvallen de communicatie of laten verlopen loopt reputatie schade op.

 

Hoe voorkom ik CEO fraude?

Voorkomen is een uitdaging maar niet onmogelijk. Harde regels en vertrouwen op je gevoel blijken het meest effectief. Wij zullen enkele concrete' organisatorische en technische maatregelen bespreke. Organisatorische maatregelen die genomen kunnen worden zijn:

  • Toestemming voor transacties nooit via de mail, zorg dat toestemming voor transacties niet via de mail verlopen maar fysiek of telefonisch zodat aan de hand van gezichtsherkenning of stemherkenning een extra controle wordt uitgevoerd.
  • Zorg dat procedures niet worden genegeerd, zorg er voor dat procedures omtrent transacties niet worden genegeerd ook niet bij kleine bedragen.
  • Vier ogen principe, voer transacties alleen uit via het vierogenprincipe zodat de transactie altijd dubbel gecontroleerd wordt.
  • Bewustwording, maak medewerkers bewust van de eigenschappen van CEO fraude e-mails. De eigenschappen zijn: Vaak wordt een sterk de nadruk gelegd op de gezag verhouding. De betaalopdracht wordt dan als een bevel gegeven. De zogenaamde CEO benadrukt dat vertrouwelijkheid van groot belang is. De opdracht mag niet gedeeld worden met collega's de medewerker wordt geprezen en belangrijk gemaakt. Hij of zij is uitgekozen om de opdracht uit te voeren vanwege zijn of haar uitzonderlijke kwaliteiten. Het slagen van een actie wordt op de schouders van een bepaalde medewerker gelegd. Druk wordt op deze manier verhoogt.

    De valse mails die deze nep CEO sturen zijn meestal ook te herkennen aan het gebruik van een vals afzendadres. Heel vaak lijkt deze wel van het domein van een bedrijf te komen maar is bijvoorbeeld een L vervangen door een hoofdletter i en dan is een ook tijdsdruk. Geld moet snel over gemaakt worden.

 

Bewustwording is een effectieve eerste stap in de strijd tegen CEO fraude. Op technisch vlak raden we aan te zorgen dat op alle communicatiekanalen die binnen de organisatie worden gebruikt 2-staps authenticatie staat ingesteld. Zo kan worden voorkomen dat een hacker toegang tot de account van een medewerker kan krijgen. Hoe je dat kan doen wordt toegelicht in onze video genaamd: Hoe stel ik twee staps authenticatie in.

Daarnaast kunt u de crimineel stap voor zijn door spelfout domeinen alvast te reserveren vóór dat criminelen hier de kans voor krijgen. Denk creatief na welke varianten er gemaakt kunnen worden op basis van hun echte domeinnaam. Zit er bijvoorbeeld een O in uw domeinnaam? Gebruik in het spelfout domein dan een 0.

 

Dit was een video over wat CEO fraude is en hoe u het voorkomt. Wilt u nog beter beveiligd zijn kijk dan een van onze andere video's

Hoe kan ik de digitale veiligheid van mijn bedrijf testen?

Dat is de vraag die we in deze video gaan beantwoorden. Laten we eerst beginnen met de vraag waar bestaat het testen van digitale veiligheid uit. De digitale veiligheid van bedrijven kan getest worden door middel van een pentest, een inloopactie oftewel red teaming, en een phishing test. De uitslagen van de testen samen geeft een inzicht in hoe digitaal veilig en bedrijf is.

 

Een pentest

Het testen van de digitale beveiliging wordt in de cyber security wereld pen testen genoemd. Deze term is afkomstig van twee woorden penetratie en testen. Deze testen worden uitgevoerd door ethische hackers. Dit zijn hackers die hun kennis gebruiken om organisaties te wijzen op digitale open deuren. Dit doen zij om kwaadwillende hackers vóór te zijn en zo de organisatie te beschermen tegen een aanval. Een pentest is dan ook een preventieve maatregel ten behoeve van de digitale beveiliging. Pen testen vinden over het algemeen op drie manieren plaats. De manieren zijn: Blackbox, Greybox en Whitebox.

 

De lichtheid graad bepaalt de mate waarin de ethisch hacker voorkennis heeft van uw digitale systemen. Bij een blackbox pentest heeft de hacker geen voorkennis. Bij een greybox pentest is slechts een aantal dingen zoals bepaalde inloggegevens gedeeld met de hacker. Bij een white box pentest krijgt de hacker vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. De manier waarop de pentest plaatsvindt is afhankelijk van hetgeen dat getest moet worden.

 

De inloop actie

Een inloopactie betreft niet alleen een fysieke test van de beveiliging maar ook een digitale test. Tijdens het fysieke aspect wordt gecontroleerd of de servers werkplekken en digitale infrastructuur toegankelijk zijn voor ongeautoriseerden. Als dat namelijk het geval is kunnen hackers gebouwen binnendringen en informatie waaronder digitale informatie van binnenuit stelen of saboteren.

 

De phishing test

Een phishing test geeft inzicht in de mate waarop medewerkers weerbaar zijn tegen je digitale aanvallen en zich bewust zijn van hun aandeel in de beveiliging. Meestal blijkt de mens de zwakste schakel te zijn als het aankomt op beveiliging. De medewerkers die niet alert zijn kunnen er onbewust aan bijdragen dat belangrijke wachtwoorden bedrijfsdata en persoonsgegevens de organisatie ongeoorloofd verlaten. Door middel van phishing testen kan personeel getrained worden om alert te blijven en op de juiste wijze te handelen wanneer zijn fish email ontvangen.

 

Waarom zou ik mijn bedrijf laten testen?

In de huidige samenleving is het van belang dat bedrijven en digitale beveiliging op orde hebben zodat vertrouwelijke informatie zoals persoons gegevens niet beschikbaar zijn voor ongeautoriseerden. van bedrijven wordt verwacht dat zij inzicht hebben in hoe hun digitale beveiliging geregeld is. Door middel van onder andere een pentest kunt u dat inzicht krijgen en eventuele kwetsbaarheden direct verhelpen. Daarnaast is het ook een unique selling point wanneer een bedrijf kan aantonen dat een digitale beveiliging op orde is. De bedrijven die verschillende testen periodiek uitvoeren, zullen zichzelf beter op de kaart kunnen zetten dan bedrijven die dat nalaten. Daarbij komt dat klanten over het algemeen steeds meer eisen stellen aan de digitale beveiliging van bedrijven. Zij verzoeken bedrijven ook steeds vaker om resultaten van mijn recente test te overleggen voordat zij zaken gaan doen.

 

Hoe test ik mijn digitale weerbaarheid?

Een deel van de testen kunt u zelf uitvoeren. Dit betreft voornamelijk de testen rondom digitaal bewustzijn onder medewerkers. Een leuke test is het versturen van een datumprikker voor bedrijfs barbecue vanuit de spelfout domein. U kunt dan controleren wie op de link klikt en de datum prikken invult. Na afloop kunt u iedereen informeren dat is een test was en dat een bepaald percentage van de geadresseerde niet op de afzender van het verzoek heeft gelet en daardoor in een phishing acties getrapt. Op die manier kunt u dus zelf het bewustzijn van de medewerkers monitoren en vergroten. Als u de beveiliging van bijvoorbeeld uw website idee infrastructuur of applicatie wilt testen kunt u het beste gebruik maken van een onafhankelijke partij die ethische hackers in dienst heeft. U zult dan een objectief en betrouwbaar inzicht krijgen in de mate van digitale beveiliging. Overigens is het wel belangrijk om een partij uit te kiezen die voldoet aan de volgende punten:

  • De organisatie is gevestigd in Nederland, gelet op de regelgeving en aansprakelijkheid.
  • De organisatie moet kunnen aantonen en toelichten hoe zij te werk gaan en transparant zijn in de uitvoering van de opdracht.
  • De organisatie moet op een veilige manier te werk gaan en eventueel verkregen data veilig verwerken en opslaan.
  • De organisatie heeft ethisch hackers in dienst die gecertificeerd zijn en werken volgens internationaal erkende standaarden.
  • De organisatie is aangesloten bij een branchevereniging van de cyber security sector.

 

Deze zelfde criteria kunt u ook gebruiken als u een bedrijf wilt uitkiezen die een inloopactie voor u uitvoert.

 

Tot slot raden wij aan om altijd uw gevoel te volgen bij het uitkiezen van een organisatie. Voelt een organisatie niet goed aan, ga dan op zoek naar een andere.

 

Dit was een video over hoe u de digitale weerbaarheid van uw bedrijf kan testen wilt u nog beter beveiligd zijn kijk dan een van onze andere video's

Hoe maak ik een goede back-up?

Dat is de vraag die we in deze video gaan beantwoorden. Hoe je backups maakt verschilt sterk per apparaat. Wij zullen in deze video uitleg geven over hoe je een goede back-up kan maken en specifiek uitleggen hoe je een backup maakt van een windows-computer, een mac, een iphone en een android smartphone.

 

Wat is een goede back-up?

Een goede back-up bestaat uit 3 2 1 principe. Dit principe houdt in dat je drie versies van je data hebt. Hiervan zijn er twee op verschillende fysieke locaties opgeslagen en op verschillende manieren aangesloten. Daarnaast is er een opgeslagen op een andere fysieke locatie of online.

 

Deze regel kan je helaas niet overal toepassen maar voor de meeste computersystemen is het wel mogelijk om een back-up uit te voeren.

 

Volgens dit principe het 321 principe is dé manier om redundantie te realiseren. Stopt de ene back-up met werken of raakt deze beschadigd door bijvoorbeeld brand, dan kan er altijd worden teruggevallen op één van de andere twee en gaat de data niet verloren. Zorg in ieder geval dat er minimaal één keer in de week een back-up wordt gemaakt. Dan is de data die verloren gaat een week oud en blijft de schade redelijk beperkt. Genereert je bedrijf veel administratie en belangrijke data? Denk er dan over na een back-up meerdere malen per week uit te voeren.

 

Zorg er in ieder geval ook voor dat je de harde schijf of nas die verbonden is aan je computer eens in de twee maanden wisselt met het exemplaar op de andere locatie. Bij het 321 principe is het zeer belangrijk dat er wordt gelet op de scheiding van de twee back-ups die op dezelfde locatie aanwezig zijn. Zorg dat één van deze back-up systemen niet actief is verbonden aan de draaiende IT omgeving. Of zorg dat er correcte segmentatie is op netwerkniveau. Op deze manier voorkom je dat back-ups worden versleuteld in het geval van een ransomware aanval. Door de goede segmentatie kan de kwaadaardige software de backup niet bereiken en blijft deze gespaard.

 

Naast het principe om backups goed uit te voeren is het ook belangrijk om te testen of je backups daadwerkelijk in staat zijn terug te worden gezet zonder verlies van essentiële data. Test dus regelmatig of een back-up kan worden teruggezet en ook hoe snel dit kan. Zo ben je altijd voorbereid op de keer dat het er op aankomt.

 

Hoe maak ik een backup van een windows computer?

Back-up maken op windows is tegenwoordig zeer gemakkelijk. Je hoeft er alleen maar voor te zorgen dat je drie externe harde schijven hebt. Dit kan ook in combinatie met de nas. Het formaat van deze opslagmedia dient wel twee keer zo groot te zijn als de data die gaat back-uppen. Een back-up kun je uitvoeren door links onderin te klikken op het Windows logo en daarna back-up in te typen. Vervolgens zie je de optie verschijnen waar back-up instellingen staat. Klik daarop en klik daarna op het plusje selecteer dan de harde schijf waar de back-up op wilt maken en voer de back-up uit. Lukt dit niet zoek dan op google naar “backup maken op windows”. Een aanrader van ons is de instructie van de consumentenbond. Typ om deze handleiding te vinden op google het volgende in “backup maken windows consumentenbond”

 

Hoe maak ik een backup van een Mac?

Het maken en terugzetten van een backup van de mac is zeer gemakkelijk. Via de applicatie Time Machine kan dit uitgevoerd worden. Deze applicatie staat standaard al geïnstalleerd op de Mac. Ook hier geldt dat je drie externe harde schijven nodig hebt en dit kan ook weer in combinatie met een na. Daarnaast dient het opslagmedium ook weer twee keer zo groot te zijn als de data die het backuppen hoe je de back-up precies uitvoert staat uitgebreid uitgelegd op de website van Apple. Zoek op Google naar “back-up uitvoerenMac” en denk hier ook weer aan de drie twee een principe.

 

Hoe maak ik een back-up op Iphone of IÓS?

Een backup maken voor de iphone karma op twee manieren en is een uitdaging om te laten voldoen aan het 321 principe. Wel zijn de twee dingen die je kan doen genoeg om de back-up van de data te kunnen waarborgen. Het eerste wat je kan doen is een reservekopie maken op icloud zorg ook dat je foto's en andere belangrijke bestanden hierin aanzet op den duur komt deze opslag vol te zitten door de toenemen hoeveelheid bestanden in de back-up. Voor een klein bedrag kan een extra opslag bijgekocht worden. Wij adviseren dat kleine bedrag per maand betalen om gebruik te maken van de service. Het kwijtraken van belangrijke bestanden is erger dan enkele euro's. Zorg ook dat je icloud is afgeschermd met twee staps authenticatie. Hoe je dat instelt wordt uitgelegd in onze video: “Hoe stel ik twee staps authenticatie in”.

 

Hoe je reservekopieën uitvoert en instelt wordt duidelijk uitgelegd door Apple. Zoek voor deze uitleg op Google naar “reservekopie instellen iphone”. Het tweede dat je kan doen is een reservekopie maken via de computer. Dit door middel van Itunes. Download itunes op je computer en sluit de telefoon aan op de computer. Hoe de back-up exact uitgevoerd moet worden kun je vinden door op google te zoeken naar in “Itunes reservekopie maken”.

 

Hoe maak ik een back-up op android-telefoons?

Hoe je een backup maakt van je android-telefoon verschilt helaas enorm per ontwikkelaar van de telefoon. Wat je kan doen is online zoeken naar: “hoe maak ik een back-up” en daarachter de naam van je telefoon en ook de versie. Bijvoorbeeld “hoe maak ik een back-up van mijn samsung s 50”.

 

Dit was een video over hoe je een goede back-up maakt wil je nog veiliger zijn kijk dan een van onze andere video's

Hoe vind ik een goede IT-beveiligingshulp?

Dat is de vraag die we deze video gaan beantwoorden. IT-beveiligingshulp is onder te verdelen in twee categorieën. Namelijk preventieve hulp en reactieve hulp.

 

Onder de categorie preventieve hulp vallen de middelen die een aanval kunnen voorkomen of kunnen helpen bij het detecteren van de aanval. Ook vallen hier testen onder zoals een audit of een pentest. Wat vakjargon is voor ethisch hacken.

 

De uitleg over wat een pen test is en inhoud behandelen we in een andere video genaamd: “waar bestaat het testen van digitale veiligheid uit”.

 

Onder reactieve hulp vallen de diensten die je afneemt bij een organisatie die komt ondersteunen bij bijvoorbeeld het herstel na een hack of en daaropvolgend forensisch onderzoek.

 

Om te kunnen bepalen of IT beveiligings hulp goed en betrouwbaar is hebben wij een aantal criteria opgesteld waar de helpende organisatie aan moet voldoen:

  • De organisatie is gevestigd in nederland dit vanwege de aansprakelijkheid.
  • De organisatie moet kunnen aantonen en toelichten hoe zij te werk gaan en transparant zijn in de uitvoering van de opdracht.
  • De organisatie moet op een veilige manier te werk gaan en eventueel verkregen data veilig verwerken en opslaan. Dit moeten ze ook kunnen demonstreren.
  • De werknemers van de organisaties en gescreend dit op een hoger niveau dan VOG goedkeuring.
  • De organisatie is aangesloten bij een branchevereniging van de cyber security sector.

 

Waar vind je goede leveranciers van IT-beveiligingshulp?

De meest toegankelijke manier voor het zoeken naar goede idee beveiligings hulp eens rondvragen in je netwerk. Kijk bij collega's, oud-collega's of andere ondernemers of zijn een dienstverlener kennen. Zij kunnen wellicht uit ervaring vertellen of de voorgestelde organisatie een goede en betrouwbare organisatie is en wat deze organisatie zo prettig maakt. Naast collega's en ondernemers kan je ook online gaan zoeken naar organisaties die deze diensten aanbieden. Zoek op google bijvoorbeeld naar: “een pentest laten uitvoeren”; “hulp bij een hack”; of “IT audit laten uitvoeren”. Onthoud ook vooral de volgende regels:

  • De eerste is niet altijd de beste.
  • Kijk wat er nog meer is vraag verschillende partijen om informatie en vergelijk ze.
  • Aan kwaliteit zijn namelijk ook kosten verbonden.

 

Dit was een video over hoe je goede idee beveiligings op vindt wil je nog beter beveiligd zijn kijk dan een van onze andere video's

Hoe digitaliseert criminaliteit?

Laten we eerst beginnen met de vraag: Welke misdaad digitaliseert? Hedendaags zijn er bijna geen misdaden meer die plaatsvinden zonder digitaal component. Van inbrekers die woning bekijken via google streetview tot aan de meest geavanceerde en catastrofale hacks. De traditionele georganiseerde misdaad is daarentegen hard bezig met digitale componenten toe te voegen aan hun portfolio. De rekrutering van loop jongens en katvangers gaat niet meer via de hoeken van de straat, maar via social media zoals Instagram, Snapchat en Telegram.

 

Hetzelfde geldt ook voor het vinden van nieuwe klanten. De tussenpersonen verdwijnen en de marges worden hierdoor groter. Logistiek en comunicatie hebben de grootste sprong gehad. Door middel van digitalisering kan de georganiseerde misdaad op afstand hun zaken aansturen en en producten live volgen. Dit is mogelijk door middel van bakens een soort verbeterde versie van track en trace. Verder vergaren ze door middel van hacken data voor witwassen. Zo komt het voor dat klantenbestanden van bedrijven worden overgenomen en door de hackers worden hergebruikt als, op papier legitiem lijkende afnemers.

 

Naast deze vormen van traditionele criminaliteit die zijn gedigitaliseerd, zijn er ook bekende oplichting technieken gedigitaliseerd. Er vinden dagelijks aanvallen plaats waarbij organisaties en particulieren worden opgelicht voor grote of kleine bedragen. Dit gebeurt op veel verschillende manieren, maar phishing is de grootste techniek. Hoe je phishing kan voorkomen wordt toegelicht in onze video genaamd: “wat is phishing en hoe voorkom ik het”.

 

Waarom digitaliseert criminaliteit

De digitalisering van traditionele criminaliteit heeft dezelfde beweegredenen als die van de algemene digitalisering. De volgende voorbeelden schetsen de redenen van de digitalisering.

  • De eerste reden is gemak. Het is makkelijker om de zaak op afstand te kunnen aansturen. Daarnaast kan je veel laten gebeuren met relatief weinig handelingen zoals verkoop van drugs via dark web. Een manier om gemakkelijk aan je klanten te komen en deze te bedienen.
  • De tweede reden is veiligheid en anonimiteit. Je kan op het internet veel beter en sneller anoniem zijn. De misdaden die worden gepleegd via digitale middelen zijn moeilijk terug te koppelen aan fysiek bestaande personen.
  • De derde reden is continuïteit. Digitaal ben je minder afhankelijk van derde partijen en is het makkelijker om criminele zaken te blijven uitvoeren. Dit ondanks de politie en justitie hun uiterste best doen om dit tegen te gaan. Hierom is het ook belangrijk om aangifte te doen van cybercrime. De politie heeft veel aan deze informatie en elk klein stukje helpt bij het pakken van de criminelen.

 

Dit was een video over hoe criminaliteit digitaliseert wil je nog veiliger zijn kijk dan een van onze andere video's

SECURITY INCIDENT BIJ UW ORGANISATIE?

De volgende 30 minuten zijn van cruciaal belang​!

De eerste 30 minuten na een cyber security incident zijn cruciaal, omdat een snelle en adequate reactie de schade kan beperken. Daarnaast kan verdere verspreiding van de aanval worden voorkomen en kan essentieel bewijsmateriaal veiliggesteld worden voor nader onderzoek.

Ons Computer Emergency Response Team (CERT) staat 24/7 klaar om bedrijven en organisaties te ondersteunen bij IT-beveiligingsincidenten.

Heeft uw bedrijf professionele hulp nodig bij een beveiligingsincident? 

* LET OP: Wij werken uitsluiten voor bedrijven en organisaties.