Informatiebeveiliging: hoe voorkom je phishing?
De gevolgen van een hack bij een organisatie als WBL kunnen groot zijn. Voor medewerkers, voor partners en voor alle inwoners van Limburg. Daarom werken we continu aan de beveiliging van onze systemen, maar vooral ook aan het vergroten van de bewustwording van de risico’s bij medewerkers.
IT Security Officer Patrick Nooijen: ‘Op dit moment zijn we bezig met het vernieuwen van onze ISO 27001 certificering. Dit is een wereldwijd erkende norm die beschrijft hoe je het beveiligen van informatie inbedt in je processen. Belangrijk omdat wij veel samenwerken met partners die deze norm verplicht stellen.’ Bij de audit van het ISO-certificaat wordt ook met medewerkers van verschillende afdelingen gesproken. ‘Informatiebeveiliging gaat ook over menselijk gedrag. Je kunt wel procedures bedenken, maar uiteindelijk gaat het erom dat ze gevolgd worden.’
Phishing
Een datalek of informatiebeveiligingsincident wordt in negen van de tien gevallen veroorzaakt door phishing: een e-mail die mensen naar een nepwebsite lokken en hen vraagt gegevens in te vullen. Patrick Nooijen: ‘Om de medewerkers van WBL alert te houden bieden we verplichte trainingen aan en doen we phishing-simulaties. In december stuurden we bijvoorbeeld een mail naar alle collega’s over een kerstpakket. Na het klikken op de link, kreeg je het verzoek om een account aan te maken met je e-mailadres en wachtwoord. De mail paste natuurlijk perfect in de tijd van het jaar. Ik begrijp wel dat mensen in eerste instantie kunnen denken dat het echt is. Toch zijn er een paar zaken waarop je kunt letten. Zoals het e-mailadres van de afzender en de URL waar de link naar toe gaat. Ook uit de aanhef en de opmaak kun je vaak afleiden dat een mail niet echt is.’