Nu de cijfers de goede kant opgaan en het openbare leven weer op gang komt, snakken we met z’n allen naar een deugddoende vakantie. Meteen is dit ook de topperiode voor jobstudenten. Binnenkort stromen ze weer massaal binnen in de bedrijven, misschien nog niet altijd effectief aanwezig op de werkvloer want thuiswerk heeft ook bij studentenjobs zijn intrede gedaan. Er is veel kans dat er ondertussen nieuwe collega’s gestart zijn, die we zelfs nog nooit persoonlijk ontmoet hebben. Zal alles meteen vlot verlopen of moeten er toch extra afspraken gemaakt worden? Hans Claeskens van Sophos Benelux maakt zich zorgen over de kansen die cybercriminelen in de vakantiemaanden zullen krijgen in bedrijven. Je leest zijn opinie hieronder.

Niet enkel de vakantiegangers kijken uit naar deze periode. Ook de cybercriminelen houden zich klaar. De vakantieperiode is een topperiode voor hen. Hoe kan het ook anders? Collega’s nemen taken van anderen over. Duizenden externen krijgen toegang tot de bedrijfsnetwerken, al dan niet met een eigen computer of smartphone. Nu deze jobstudenten deels van thuis zullen werken, wordt het helemaal een makkie. De meest succesvolle cyberaanvallen gebeuren namelijk via de zogenaamde endpoints, de toestellen die u en ik, en dus ook onze jobstudenten, gebruiken.

Eigen schuld

En eigenlijk is het voor een groot deel onze eigen schuld. Tijdens de komende maanden zullen wijzelf en de jobstudenten taken overnemen van onze collega’s die met vakantie zijn. Velen delen dan met gemak login en wachtwoord van allerlei applicaties, gewoon via een e-mail. Dat is ideaal voor cybercriminelen. Eens binnen in de mailbox, liggen de wachtwoorden voor het grijpen.

Na zo lang op afstand gewerkt te hebben, zijn we bovendien nog minder dan anders op de hoogte van de contacten van onze collega’s die we moeten vervangen. Met wie mogen we, al dan niet gelinkt aan GDPR, informatie delen en met wie niet? In deze setting komen jobstudenten ons deze zomer helpen.
We laten hen vervolgens zonder enig voorbehoud toe op onze netwerken. We stellen ons geen vragen bij de handige tools en applicaties die deze ‘digital natives’ kennen en snel voor ons installeren. Want ach, ze willen toch gewoon helpen?

Inderdaad, het zijn zeker niet de jobstudenten die je moet verdenken van cybercriminele activiteiten. Dat hoeft ook niet. De echte criminelen maken deel uit van professionele organisaties. Zij zorgen er wel voor dat ze al toegang hebben tot de smartphone of de computer van de jobstudent vooraleer deze in het bedrijfsnetwerk inlogt. De betere phishing- en smishingtechnieken zijn namelijk geëvolueerd naar een tweetrapsraket: ze werken deels via geautomatiseerde processen en deels via handmatige technieken. Eén verkeerde klik een paar maanden geleden kan ervoor zorgen dat een cyberaanvaller al die tijd al ongemerkt aanwezig was op een toestel, wachtend op het juiste moment om toe te slaan en een heel netwerk te infecteren. Onlangs nog raakte het nieuws bekend dat cybercriminelen al twee jaar lang ongemerkt toegang hadden tot het netwerk van de Federale Overheidsdienst Binnenlandse Zaken. Uiteraard zijn deze lekken niet exclusief toe te schrijven aan jobstudenten. Ook thuiswerkers zijn het voorbije anderhalf jaar bestookt met valse e-mails en sms-berichten. Of een klik ook schade toebrengt, hangt dan in de eerste plaats af van de al dan niet consistente beveiliging op al onze toestellen en het netwerk.

Geen enkele organisatie is veilig. Ook kleine bedrijven zijn interessant, net omdat cybercriminelen hun aanvallen geautomatiseerd hebben. Elke organisatie is een doelwit maar je hebt het wel zelf in de hand of je organisatie ook een slachtoffer wordt.

Goeie voorbereiding

Vooraleer je de jobstudenten aan het werk zet, neem je dus best nog even de tijd om de volgende voorzorgen te nemen:
Installeer een applicatiecontrole op alle toestellen zodat niemand zomaar nieuwe zaken op zijn toestellen of het netwerk kan installeren.
Zorg voor een webfilter die bepaalde verdachte en gekende malware websites op alle toestellen kan blokkeren.
Ontwikkel een anti-phishing e-mail-testsysteem om je medewerkers regelmatig een valse phishingmail te sturen. Training en herhaling zijn erg belangrijk om iets te leren en te onthouden en dat is zeker ook zo bij cybersecurity, temeer omdat de tactieken van phishing snel evolueren. Betrek ook de jobstudenten hierbij. Zij zijn je toekomstige werknemers.
Zijn de cybercriminelen je toch te slim af? Nadat je alle systemen gezuiverd hebt en alle back-ups teruggeplaatst zijn, zit het werk er nog niet op. Dan is het tijd om naar de echte oorzaak, dé zwakke plek van je systeem, te zoeken en daar een oplossing voor te vinden. Anders heb je binnen de kortste keren opnieuw prijs. Zorg dus voor een zorgeloze zomer voor je medewerkers en de jobstudenten die je engageert. Maar maak er een heel moeilijke tijd van voor cybercriminelen.

Contributor : Hans Claeskens, Channel Sales Director bij Sophos Benelux