10 juli 2020

In vijf stappen de basis van digitale veiligheid op orde

vijf stappen

Voor webwinkels is digitale veiligheid een voorwaarde om de kansen van de digitale economie te benutten. Ondernemers hebben dagelijks te maken met cyberdreigingen. Bedrijven moeten zich weren tegen deze dreigingen en voldoende investeren in beveiliging. De cyberrisico's voor ondernemers zijn divers en lopen uiteen van het betalen van losgeld om weer toegang te krijgen tot het eigen bedrijfsnetwerk tot de uitval van productiefaciliteiten waardoor de continuïteit van het bedrijf acuut in gevaar komt.

Waarom de vijf basisprincipes?

De vijf basisprincipes van veilig digitaal ondernemen zijn opgesteld om ondernemers te helpen de basisbeveiliging in te laten stellen. Ondernemers die de vijf basisprincipes opvolgen, vergroten hun weerbaarheid tegen cyberrisico's die de bedrijfsvoering kunnen verstoren.

  

1. Inventariseer kwetsbaarheden

Een belangrijk actiepunt is om te identificeren wat je in huis hebt en wat de kwetsbaarheden zijn binnen jouw bedrijf. Breng ook de technische afhankelijkheid van leveranciers in kaart. Een inventarisatie dwingt je ook na te denken over wat te doen in het geval van een cyberincident. En helpt bij het opstellen van een noodplan en bellijst.

Bij risico's kijk je naar:

  • Beschikbaarheid - hoe erg is het dat een systeem het niet meer doet?
  • Integriteit - hoe erg is het dat bepaalde gegevens niet juist zijn?
  • Vertrouwelijkheid - hoe erg is het dat gegevens naar buiten lekken?

Je bepaalt voor jezelf hoe groot de kans is dat een dreiging optreedt en wat de impact ervan is. Zo krijg je een beeld van de risico's voor jouw onderneming. Gebruik het Stappenplan voor een risicoanalyse

2. Kies veilige instellingen

Controleer de instellingen van apparatuur, software en netwerk- en internetverbindingen. Leveranciers van apparatuur en software kiezen vaak standaardinstellingen. Ook staan vaak standaard alle instellingen op 'aan'. Voor het snel en eenvoudig installeren van nieuwe spullen of het krijgen van internettoegang is dit erg handig. Maar als ondernemer ben je erg kwetsbaar voor cyberdreigingen als je deze instellingen vanaf het eerste gebruik niet wijzigt. Je zet dan de deur open voor onbevoegden. Lees hier wat je precies moet controleren. 

3. Voer updates uit

Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates direct. Schakel automatische updates in zodat je apparaten en software voortaan altijd draaien op de laatste versie. Producenten van apparaten en software zijn doorlopend bezig om hun producten door te ontwikkelen. Door middel van updates komen de nieuwste functionaliteiten bij de eindgebruikers terecht. Ontdekte kwetsbaarheden of een betere beveiliging worden ook via updates aangeboden. Installeer dus in elk geval altijd direct de meest recente beveiligingsupdates zodat je zo goed als mogelijk beveiligd bent. Lees hier wat je precies moet doen. 

4. Beperk toegang

Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Zorg dat toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de onderneming vertrekt.

  1. Definieer per medewerker tot welke systemen en data zij toegang zouden moeten hebben om hun werk te kunnen doen.
  2. Zorg er vervolgens voor dat een medewerker kan inloggen op de systemen en zich kan identificeren als die medewerker met bijbehorende toegangsrechten.
  3. Gebruik veilige en sterke wachtwoorden en realiseer inloggen door middel van tweefactorauthenticatie voor belangrijke systemen en data.
  4. Beperk de fysieke toegang van medewerkers tot ruimtes waar systemen draaien (zoals servers) of apparaten (zoals externe harde schijven en USB-sticks) en documenten zijn opgeslagen.
  5. Zorg dat systemen automatisch na een aantal minuten vergrendelen (locken) zodat deze niet toegankelijk zijn voor onbevoegden. Maak ook afspraken met medewerkers dat zij hun systeem zelf vergrendelen wanneer zij even van hun werkplek weglopen.
  6. Zorg dat de toegangsrechten worden aangepast als iemand (van binnen en/of van buiten) een nieuwe functie krijgt of bij de onderneming vertrekt. In het geval van een plotseling (niet vrijwillig) vertrek van een systeembeheerder is dit extra belangrijk. Dit geldt ook indien er wordt gewerkt met bijvoorbeeld een nieuwe leverancier of boekhouder.

5. Voorkom virussen en andere malware

Er zijn vier manieren om malware te voorkomen: Stimuleer veilig gedrag van medewerkers, gebruik een antivirusprogramma, download apps veilig en beperk de installatiemogelijkheden van software. Sommige malware wordt doelbewust verspreid om systemen of apparatuur te beschadigen, om data of bedrijfsgeheimen te stelen of ondernemers af te persen met ransomware, Een voorbeeld hiervan is de WannaCry-aanval waarbij meer dan 200.000 computers in 150 landen werden besmet.

Malware is kwaadaardige software (malacious software) die computersystemen verstoort, informatie verzamelt of versleutelt. Er zijn verschillende manieren waarop malware toegang krijgt tot een computer, smartphone of netwerk. Een gebruiker kan een geïnfecteerde e-mail (of bijlage) openen, een foute website bezoeken of een besmet bestand via bijvoorbeeld een USB-stick openen. Zodra de malware binnen is, infecteert het de software waar het naar op zoek is en verspreidt zichzelf daarna als een olievlek naar andere apparaten en/of gebruikers.

Er zijn 4 manieren om jezelf te beschermen tegen malware:

  1. Stimuleer veilig gedrag van medewerkers

    De cyberweerbaarheid van je bedrijf valt of staat met het gedrag van medewerkers. Medewerkers kunnen ongewild grote schade toebrengen aan het bedrijf door het aansluiten van een besmette USB-stick, het slordig zijn met (zwakke) wachtwoorden of door een phishingmail niet te herkennen. Zijn jouw medewerkers voldoende bewust van de gevaren en de mogelijke gevolgen?

  2. Gebruik een antivirusprogramma

    Een antivirusprogramma scant je apparaten op de aanwezigheid van kwaadaardige software (malware). Een betaalde virusscanner wordt door de leverancier regelmatig bijgewerkt zodat het jouw bedrijf ook beschermt tegen de laatst bekende virussen.
    Wist je dat je met het gebruik van een antivirusprogramma indirect ook de apparaten van jouw klanten en andere ondernemers beschermt? Veel virussen maken namelijk gebruik van een e-mailprogramma om zichzelf te verspreiden. Zonder dat je het weet, kun je anderen ook infecteren via e-mail. Een antivirusprogramma voorkomt dit.

  3. Installeer apps bewust

    Mocht je gebruik willen maken van zakelijks apps op je (zakelijke) tablet of smartphone, dan zijn de volgende tips van belang:

    • Installeer alleen apps uit een betrouwbare bron zoals de download omgevingen van Android en Apple. In deze omgevingen is een (beperkte) controle op de betrouwbaarheid van apps;
    • Installeer alleen apps die echt noodzakelijk zijn voor jouw bedrijfsvoering. Hoe meer apps je installeert, hoe groter de kans dat je iets verkeerds binnen krijgt;
    • Vermijd het installeren van gratis apps zoals spelletjes en vrijetijdsapps in combinatie met een zakelijke omgeving. Voor deze apps ‘betaal’ je vaak met het weggeven van je persoonlijke informatie. Dat is meestal het verdienmodel achter gratis apps.
    • Bij het installeren van een app wordt vaak toegang gevraagd tot andere functies op je apparaat. Dat kan zijn de camera, locatiegegevens, je contactenlijst of zelfs je betaalmogelijkheden. Geef niet standaard alle toegang die gevraagd wordt maar bedenk wat echt noodzakelijk is voor goed gebruik van deze app. Daarmee beperk je het risico op lekken van informatie en je verkleint de kans dat je slachtoffer wordt van een hackaanval.
  4. Beperk de installatiemogelijkheden van software

    Mogen jouw medewerkers zelf software installeren op de bedrijfscomputers? Als je deze mogelijkheden beperkt, kun je voorkomen dat er besmette programma’s worden geïnstalleerd die mogelijk je bedrijfsnetwerk infecteren.

Thuiswinkel.org en het Digital Trust Center

Thuiswinkel.org neemt haar verantwoordelijkheid als het om veiligheid gaat en informeert haar leden via onder meer nieuwsbrieven over digitale veiligheid. Daarnaast biedt de belangenvereniging haar leden informatie en advies aan die zij kunnen gebruiken om digitaal weerbaarder te worden. Samen met het Digital Trust Center (DTC) van het Ministerie van Economische Zaken en Klimaat willen we onze leden voorzien van praktische informatie en adviezen om de digitale veiligheid van onze leden te verhogen. 

Lees meer over het Digital Trust Center en digitale veiligheid