Legersnotters zoals ik zijn opgegroeid met het woord ‘paraatheid’. We wisten dat het betekende dat een ouder weken of zelfs maanden weg was voor uitzending, en trainde voor ‘Wat als…’. scenario’s. Een van de redenen waarom zoveel veteranen de succesvolle overstap naar ondernemerschap hebben gemaakt, is dat zij paraatheid op de eerste plaats blijven stellen. Een recente voorgestelde schikking door de FTC dient als een herinnering voor ervaren bedrijfseigenaren – en voor alle bedrijfsleiders – aan de voortdurende bedreigingen voor gevoelige klant- en werknemersinformatie die voortkomen uit phishing. De beste verdediging: paraatheid.
Phishing-oplichters nemen doorgaans contact op met werknemers via e-mail, sms of telefoon en zorgen ervoor dat ze op een link klikken, een bestand downloaden of vertrouwelijke informatie vrijgeven. Hun doel is om malware te installeren of op een andere manier toegang te krijgen tot uw digitale activa. Daarin recent gevalde FTC beweerde dat de lakse beveiligingspraktijken van een onderwijstechnologiebedrijf resulteerden in meerdere datalekken, wat leidde tot het verduisteren van persoonlijke informatie over miljoenen consumenten. Een interessant aspect van de zaak is de beschuldiging dat de datadieven via de digitale voordeur zijn binnengedrongen door werknemers – waaronder enkele senior executives – ertoe te bewegen zich te laten verleiden tot phishing-fraude. In de klacht werd verder beweerd dat het bedrijf lange tijd “niet van werknemers eiste dat ze enige training op het gebied van gegevensbeveiliging volgden, inclusief identificatie en passende reactie op phishing-aanvallen.”
Phishing bestaat al jaren (de eerste phishing-gerelateerde zaak van de FTC dateerde uit 2004), maar het verontrustende nieuws is dat zowel ouderwetse methoden als meer geavanceerde aanvallen succesvol blijven. De FTC heeft stappen die u kunt nemen om uw bedrijf te beschermen tegen phishing-fraude.
Voer bedrijfsbrede trainingen uit. Als iemand op wat voor manier dan ook op uw lijst staat, voeg hem dan toe aan uw trainingslijst voor gegevensbeveiliging. Uit de ervaring van de FTC blijkt dat fraudeurs iedereen als een potentieel doelwit beschouwen, inclusief stagiaires, seizoensarbeiders, aannemers en zelfs mensen die niet routinematig gevoelige gegevens gebruiken. Bovendien is niemand te belangrijk voor training. Zoals uit de laatste zaak van de FTC blijkt, stoppen fraudeurs niet bij de deur van de C Suite, en dat geldt ook voor training.
Plan regelmatige vernieuwingen. Oefening is geen eenmalig vakje om uw TO DO-lijst af te vinken. Uw bedrijfsactiviteiten veranderen waarschijnlijk met enige regelmaat, en dat geldt ook voor de bedreigingen waartegen u zich moet verdedigen. Maar we hebben allemaal interne lezingen moeten volgen die doen denken aan het ‘Whaa Whaa Whaa’-geluidseffect wanneer volwassenen praten over het ‘Peanuts’-aanbod. De sleutel is om de inhoud fris en boeiend te houden met IRL-verhalen, voorpaginanieuws en andere aandachtstrekkers.
Let op veelbetekenende tekenen van phishing. Er bestaat geen 100% nauwkeurige test om te bepalen of een bericht een phishing-scam is, maar bepaalde kenmerken kunnen een tip zijn, bijvoorbeeld spel- of grammaticafouten; claims voor cadeaubonnen, bankoverschrijvingen of cryptocurrency; instructies voor het klikken op links of het downloaden van bijlagen; of een bewoording die gewoon vreemd klinkt. (Een e-mail die we onlangs ontvingen: “Het is uiterst belangrijk dat alle werknemers de volgende verplichte stappen ondernemen.”)
Prijs medewerkers voor het ontwikkelen van een sceptische blik. ‘Is dit echt een bericht van de baas waarin staat dat ik geld moet overmaken of een vertrouwelijk spreadsheet moet sturen?’ ‘De beller zei dat ze van de technische ondersteuning kwamen, maar is dat waar?’ “In de e-mail staat dat het een link is naar ons nieuwe bedrijfscommunicatieplatform. Moet ik erop klikken?” Moedig uw medewerkers aan om even de tijd te nemen om na te denken over onverwachte e-mails, sms-berichten of telefoontjes. Zelfs als het een oprecht verzoek blijkt te zijn, als hun gevoel suggereert dat er mogelijk sprake is van phishing, juich dan werknemers toe die de tijd nemen om het te onderzoeken.
Houd uw verdediging op peil terwijl u op afstand werkt. Dubbele controle was gemakkelijker als je door het gangpad moest lopen om te zien of een verzoek in orde was. Maar dat is niet mogelijk met externe werknemers of zakenreizigers. Moedig uw team aan om de telefoon op te nemen en een nummer te bellen waarvan zij weten dat het legitiem is, om te bepalen of een bericht een bonafide zakelijke communicatie of een phishing-poging is.
Ons beste advies voor ervaren bedrijfseigenaren leent een code van de Amerikaanse kustwacht: Altijd klaar (Altijd klaar). Anticipeer op bedreigingen voor gevoelige gegevens in uw bezit en train uw medewerkers in het opsporen van fraudeurs die proberen uw verdediging te infiltreren. De FTC’s Cyberbeveiliging voor kleine bedrijven bronnen omvatten een segment over het beschermen van uw bedrijf tegen phishing-oplichting. Voor informatie over persoonlijke financiële paraatheid en andere onderwerpen die speciaal zijn voorbereid voor veteranen en militairen, bezoekt u onze Militaire consumentensite.
Deze Veteranendag zijn we vereerd om u te eren – en de familieleden wier steun essentieel was voor uw dienst.
