Cybersecurity
Nieuws
Bij de eerste phishingmails klikten ook mensen waarvan je het niet zou verwachten.
Cyberverzekering nodig?
Gedrag analyse
Odyssey heeft sinds 2012 een flinke groei doorgemaakt en Griffioen merkt dat dit de groep ook in het vizier van cybercriminelen heeft gebracht: “Wat we zien is dat naarmate we, door middel van bijvoorbeeld persberichten over hotelopeningen, uit de luwte zijn gekomen er meer aandacht is. Ik zie in mijn eigen mailbox dingen langskomen die te maken hebben met CEO-fraude. Naarmate je meer in het nieuws komt, merk je dat de interesse vanuit de cybercrimehoek groter wordt.” Vissers merkt ook dat cybercriminelen steeds geraffineerder te werk gaan: “Zij analyseren het gedrag van bepaalde keyposities binnen het bedrijf op basis van zaken als woordgebruik, de aanhef en de afsluiting van e-mails. Hiermee creëert men bijvoorbeeld phishingmails, die vanuit een vergelijkbaar e-mailadres als de directie gebruikt worden rondgestuurd met het bericht dat er met spoed een bedrag overgemaakt moet worden.” Bergmans neemt bij Hotel Wesseling een vergelijkbare trend waar: “Bij de receptie komt dagelijks spam binnen, daar heeft iedereen mee te maken. Ons personeel krijgt voorlichting over wat ze wel of niet moeten openen, of wat ze bijvoorbeeld moeten doorsturen.” Voorlichting is voor beide partijen een belangrijke pijler onder het cybersecuritybeleid en bij Odyssey wordt dit gedaan door de Managed Service Provider waar de groep mee samenwerkt. Door middel van campagnes met phishing-simulaties kan bewustzijn bij het personeel worden gekweekt: “Bij de eerste phishingmails klikten ook mensen waarvan je het niet zou verwachten. Het leek natuurlijk ook alsof het bericht van een collega kwam. Mensen zijn toch altijd de zwakste schakel, zij klikken op een link of sturen een mailtje door dat eigenlijk niet doorgestuurd had moeten worden. Dat begint met awareness”.
Word er iets aangedaan?
Bij Odyssey is er sprake van elf verschillende niveaus: “In onze Sharepoint werken we met verschillende levels op het gebied van toegang tot bepaalde data”, voegt Vissers toe. “Bij een bepaalde rol op het hoofdkantoor en/of in een van onze hotels horen passende toegangsniveaus. Hiermee zorgen we dat medewerkers geen toegang hebben tot gevoelige (gasten)data waar zij niet de autorisatie voor hebben. Dit alles wordt ingesteld op basis van locatie en functie en beveiligd met multifactorauthenticatie indien mogelijk, en anders conditional access ingesteld op device. Hoe minder mensen toegang hebben tot gevoelige data, hoe beter.”
Bergmans stipt daarbij aan dat het belangrijk is om niet alleen naar de eigen systemen te kijken: “Mensen mogen niet op hun eigen computer thuis inloggen. Ik niet weet of ondernemers daar wel altijd aan denken. Personeel wil thuis bijvoorbeeld misschien even kijken wat ze zullen aantreffen ’s avonds, hoeveel mensen er nog ingecheckt moeten worden. Als je dan zelf een verouderde computer hebt staan zonder beveiliging, kan dat ook misgaan. Werknemers mogen dus vanuit huis niet zomaar inloggen op het PMS. Thuiswerken op een computer van de zaak met beveiliging van de zaak kan wel.” Het opstellen van een succesvol cybersecuritybeleid heeft nogal wat voeten in de aarde en Vissers merkt dat niet iedereen altijd even doordrongen is van de belangen: “Veel mensen vinden het allemaal wel heel erg veel werk: ‘Moet dat nou en kan het allemaal niet veel makkelijker?’ Daardoor ligt er ook een serieuze taak bij het IT-team en bij externe partijen om niet zomaar voor die druk te zwichten.
Verzekering nodig?
Hotel Wesseling heeft vanwege de belangen en risico’s die het cybersecuritybeleid met zich meebrengt al geruime tijd een cyberverzekering: “Wij doen alles wat nodig is”, legt Bergmans uit. “Er is duidelijk omschreven aan welke eisen je moet voldoen en dat is voor ons geen punt van discussie. De ondernemer die hier nog niet mee bezig is neemt een onverantwoord risico. Gegevens kwijt, geen omzet kunnen draaien, je moet geld betalen voor de ransom, je kunt aansprakelijk gesteld worden door degenen wiens gegevens op straat komen te liggen. Inmiddels moet je cybersecurity gewoon scharen naast de brandverzekering of voedselhygiëne, je moet meegaan met de tijd. Je zet je systeem open voor reserveringen die binnenkomen via een OTA, als dat niet beveiligd is kan men zo gewoon bij je binnenkomen. Alle creditcard-gegevens van alle gasten staan ook in het systeem, die moeten gecodeerd of vercijferd zijn. Als je dan je koffie tien cent duurder moet maken om de cybersecurityverzekering te betalen, dan is dat maar zo. Ik vind die risico’s te groot.”
'Verwacht het onverwachte'
- Nationaal Coördinator Terrorismebestrijding en Veiligheid
Ministerie van justitie en veiligheid.
Munt IT online
Specialist op het gebied van cybersecurity, netwerken Inrichten van kantoren en thuisnetwerken. Onderhoud en service contracten van workstations servers printers en nog veel meer.
Blijf met ons in contact