onboarding

Zo bescherm je je externe werknemers tegen phishing

Jessica Heijmans
October 4, 2023
6
min read
INHOUDSOPGAVE
Stel je voor dat je een phishing-e-mail ontvangt waarin je wordt gevraagd om op een link te klikken of vertrouwelijke informatie te delen. Daar trapt niet iemand in, toch? Veel mensen denken dat ze phishing e-mails gemakkelijk kunnen herkennen, maar helaas is dat verre van de werkelijkheid. Elk jaar worden duizenden personen en bedrijven het slachtoffer van oplichting. Nu meer medewerkers op afstand werken, zijn de risico's alleen maar groter geworden. Hoe bescherm je werknemers op afstand? Wij geven 5 tips om je medewerkers veilig te houden.

Noot van de redactie: Dit bericht is oorspronkelijk gepubliceerd in oktober 2022 en is bijgewerkt met het oog op volledigheid.

Werken op afstand is tegenwoordig steeds gewoner geworden. Volgens een onderzoek van Pew Research Center doet ongeveer een derde (35%) van de medewerkers die op afstand kunnen werken dit nu fulltime, terwijl 41% een hybride werkvorm aanhoudt.

Met de toename van het aantal mensen dat op afstand werkt - als gevolg van Covid-19 - nam helaas ook de cybercriminaliteit toe (Europol). Aangezien het (gedeeltelijk) thuiswerken lijkt te blijven, wordt het steeds belangrijker om prioriteit te geven aan cyberbeveiligingsmaatregelen in externe werkomgevingen.

Ander beveiligingsniveau thuis

"Als je op afstand werkt, is het waarschijnlijk dat je thuis je eigen regels en gewoonten volgt voor het veilig omgaan met informatie," legt Jan-Willem Bullée uit, assistent-professor aan de Universiteit Twente en onderzoeksanalist bij Awareways. "Soms worden de regels en richtlijnen van de organisatie over het hoofd gezien."

"Daarnaast werken mensen op persoonlijke systemen en andere accounts die misschien niet hetzelfde beveiligingsniveau hebben als onze apparaten op kantoor. Daarnaast zijn veilige omgevingen voor het delen van bestanden niet altijd direct beschikbaar. Bovendien wordt het een beetje lastiger om de mening van een collega te vragen over een e-mail als we op afstand werken."

De mens als zwakste schakel

Hoewel spamfilters en andere beveiligingsmaatregelen veel e-mails tegenhouden, is het nog steeds mogelijk dat een valse e-mail in je inbox terechtkomt. Als dit gebeurt, is het de verantwoordelijkheid van de ontvanger om actie te ondernemen. "Mensen zijn de zwakste schakel als het gaat om cybercriminaliteit", legt Jan-Willem uit. "Een van de redenen waarom phishing zo effectief is, is dat de aanvaller psychologische principes gebruikt om slachtoffers te laten meewerken aan de aanval. Ook wel social engineering genoemd."

Kijk bijvoorbeeld eens naar onderstaande e-mail die een collega binnen Appical ontving in zijn persoonlijke e-mail. Je kunt zien dat de afzender autoriteit gebruikt door zich voor te doen als de CEO van Appical. Daarnaast wordt de ontvanger onder druk gezet om zo snel mogelijk te reageren, waardoor een gevoel van tijdschaarste ontstaat.

Hoi Mark,
Ik hoop dat deze e-mail je op het juiste moment treft, want ik heb je nodig voor een belangrijke taak. Ik ben nu bereikbaar via e-mail en wacht op je snelle reactie.
Groet,
Hans van Rijnswoud
CEO van Appical

"Aanvallers en criminelen evolueren ook. Phishingmails worden steeds beter en verplaatsen zich ook naar andere veelgebruikte media, zoals Whatsapp", zegt Jan-Willem. Eén klein moment van afleiding en de gevolgen kunnen enorm zijn. Het openen van een e-mail of het klikken op een link kan een bedrijf veel schade berokkenen, zoals hoge kosten, gegevensdiefstal of schade aan de reputatie van de organisatie. Het is dus belangrijk om een phishingpoging te herkennen en er op de juiste manier mee om te gaan.

5 tips om jouw medewerkers te wapenen tegen scammers

1. Weet hoe je een phishing-e-mail herkent

Vroeger zaten phishingmails vol spelfouten en slecht Engels, maar tegenwoordig zijn nepmails steeds moeilijker te onderscheiden van echte e-mails. Vooral nu aanvallers ook AI kunnen gebruiken om foutloze e-mails te maken.

Hoe kun je valse e-mails herkennen? "Controleer allereerst de afzender, de bestemming van de link en of je deze e-mail kunt verwachten", adviseert Jan-Willem. "Stel dat je op LinkedIn deelt dat je HR-consultant bent, dan vind je een e-mail over de nieuwste tuingereedschappen misschien verdacht. Als de e-mail echter gerelateerd is aan je persoonlijke context, kan het veel moeilijker zijn om een potentiële aanval te herkennen."

"Kennis is macht. Voor de aanvaller, maar ook voor jou. Ten eerste, doe het rustig aan. Het is prima om te wachten met reageren en een collega te vragen om mee te kijken naar een e-mail. Vergeet niet dat veel organisaties een speciale hotline voor IT-beveiliging hebben. Zij kunnen je ook adviseren."

2. Breng medewerkers op de hoogte van de meldingsprocedure

“Medewerkers zijn de oren en ogen van de organisatie. Zij zien, horen en maken dingen mee. Ook dingen die verdacht zijn. Een gek telefoontje met een vraag naar persoonlijke informatie, een e-mail met een link die naar een onbekende website verwijst. Wanneer medewerkers verdachte situaties melden, krijg je een beeld van wat er binnen de organisatie gebeurt, en hoe er geprobeerd wordt de medewerker te strikken.”

Communiceer hier ook over. Als medewerkers niets melden, kan de beveiligingsafdeling aannemen dat alles in orde is. Maar als de organisatie de medewerkers regelmatig informeert over cyberbeveiliging, helpt dat om het probleem onder de aandacht te brengen. Dit laat bovendien aan je medewerkers zien dat ze niet de enige zijn die iets vreemds meemaken.

> In deze blog leggen we uit hoe we je gegevens beschermen

3. Herhaal de boodschap

Dus je hebt je medewerkers al voorgelicht over hoe je phishing-e-mails kunt herkennen en waar je cyberaanvallen kunt melden. Je bent klaar, toch? Nou, niet helemaal. "Als je kennis of vaardigheden niet vaak gebruikt, zal het afnemen", legt Jan-Willem uit. "Herhaal je boodschap en het blijft top of mind."

"Door voortdurend te oefenen, krijg je een vaardigheid onder de knie. Denk maar aan schrijven, fietsen of autorijden. Weet je nog hoe uitdagend het was in het begin? Maar nu, na een paar jaar, ben je aanzienlijk beter geworden. Hetzelfde principe geldt voor het veilig omgaan met informatie. Behandel training en bewustwording dus niet als iets eenmaligs, maar als een doorlopend proces. Besteed er dus ook aandacht aan buiten de maand van de cyberveiligheid."

4. Maak duidelijk dat het iedereen kan overkomen

"Phishing kan iedereen overkomen. Mensen zijn druk en zijn nu eenmaal niet altijd maximaal alert. Aanvallers weten dit ook en spelen hier op in. Daarnaast bestaat er een cognitieve denkfout die hier niet bij helpt. We denken vaak dat iemand anders meer kans heeft om doelwit te worden van een cyberaanval dan wijzelf."

Hierdoor ben je minder alert, denk je dat security awareness-materiaal niet op jou van toepassing is en besteed je er minder aandacht aan. Het gevaar hiervan? Als je toch slachtoffer wordt van phishing, zul je de aanval minder snel herkennen en er niet snel op reageren."

5. Zorg voor een open cultuur

"Het is belangrijk om medewerkers het gevoel te geven dat ze phishingpogingen kunnen bespreken. "Door cybersecurity met collega's te bespreken, kun je elkaar om hulp vragen en elkaar op de hoogte houden. Twee mensen weten immers meer dan één en vier ogen zien meer dan twee! Navraag bij een collega kan helpen om de urgentie (schaarste in tijd) uit een actie te halen."

Dus controleer, controleer en dubbelcheck!

Deel deze post

Sluit je aan bij 6.956 HR- en onboardingspecialisten

Ontvang al ons laatste onboardingnieuws in jouw inbox. Schrijf je in voor onze maandelijkse nieuwsbrief.

Gerelateerde blogs

Meer weten over onboarding? Bekijk onze andere blogs

5 min lezen

Digital accessibility: How to make your digital product inclusive?

An estimated 1.3 billion people – about 16% of the global population – currently live with some form of disability (WHO).

5 min lezen

Vic’s Learnings: Onboarding draait altijd om mensen

Ontdek het belang van personalisatie bij onboarding en hoe dit bijdraagt aan het succes van nieuwe Medewerkers in deze blogpost.

5 min lezen

7 Tips voor het schrijven van onboardingcontent met AI (+ voorbeelden)

Ontdek 7 tips om onboarding-content te verbeteren met AI! Leer hoe kunstmatige intelligentie (ChatGPT) boeiende ervaringen kan creëren voor nieuwe werknemers.