Direct inschrijven
Telefoon 030 29 19 888
ICM
Telefoon
Inloggen leeromgeving
Hoe voorkom je cybercriminaliteit? ICM Campus
Artikelen

Hoe voorkom je cybercriminaliteit?

Theun van der Hoeven Theun van der Hoeven
± 4 minuten

Wat kan er allemaal misgaan als je op een verkeerd linkje klikt? En wat zijn de gevolgen voor jou en je organisatie als je slachtoffer wordt van cybercriminaliteit? Bij ICM organiseerden we de ‘Week van de Cybersecurity’ om medewerkers op de hoogte te brengen van de gevaren én om ze te leren hoe ze zich ertegen kunnen beschermen. Ik interviewde Jorine van der Pas, kwaliteitsmanager bij ICM en initiatiefnemer van het project, over cybersecurity en de organisatie van deze week.

Wat is cybersecurity?

“Goede vraag om mee te beginnen! Cybersecurity is super breed. Voor een bedrijf als ICM betekent het dat je je digitale gegevens zo goed mogelijk beveiligt. Bijvoorbeeld met lange, complexe wachtwoorden met tweefactor authenticatie en intelligente, lerende spamfilters. Maar dus ook door je medewerkers op de hoogte te brengen van de gevaren van cybercriminaliteit. Vergelijk het met het kantoorgebouw waarin je werkt goed op slot doen, om te zorgen dat mensen met slechte intenties niet binnenkomen.”

Wat kan er misgaan?

“Veel! Dat alle systemen van een bedrijf worden platgelegd en essentiële bestanden worden versleuteld. Dit kan meer kwaad dan de meeste mensen denken. Je kunt een groot deel van je werkzaamheden dan namelijk niet meer verrichten. Vervolgens eisen de hackers een flink bedrag om de systemen en bestanden weer vrij te geven. Dit gebeurde in Nederland bijvoorbeeld op een van onze universiteiten. Daar kon geen enkele student meer in de online omgeving.

Het ingewikkelde is dat cybersecurity niet echt een tastbaar en levendig onderwerp is. Daarnaast kun je er niet van uitgaan dat mensen de gevaren herkennen en weten wat de gevolgen zijn. De meeste mensen hebben het idee dat antivirus-software en een spamfilter je volledig beschermen, maar dit is helaas niet het geval.”

Waarom besloot je dit cybersecurityproject bij ICM op te zeten?

“Voornamelijk omdat ik op de hoogte ben van de gevaren van cybercriminaliteit. Ik zie bijvoorbeeld steeds meer in het nieuws dat er bedrijven worden gehackt. En ook omdat ik weet dat de meeste hacks voortkomen uit menselijk handelen. Dus door mensen die bijvoorbeeld niet weten dat een link een neplink is waarmee ze gehackt kunnen worden. Deze dingen gebeuren in zoveel bedrijven, ondanks dat ze een IT-afdeling hebben die heel hard werkt om alles te beveiligen. Je moet dus vooral de medewerkers bewust maken van de trucs en de gevaren. Kijk, je kunt een heel goed slot op een deur zetten, maar als niemand hem op slot doet, heb je er niks aan.”

Hoe zag het project eruit?

“We hadden gewoon een paar e-learnings over cybersecurity rond kunnen sturen en medewerkers kunnen vragen deze te doorlopen. Maar we realiseerden ons dat vanwege drukte uiteindelijk niet iedereen dit zou doen. Dus de vraag was: hoe creëren we nou écht bewustwording van de gevaren van cybercriminaliteit?

Dat antwoord bleek even simpel als doeltreffend: via een shockeffect. Midden op een normale werkdag werden de beeldschermen van alle medewerkers rood en werd duidelijk dat ze gehackt waren. Dit was een webpagina die beeldvullend getoond werd, zodat de mensen echt even schrokken. Je kon de pagina wel gewoon wegklikken en de computer blijven gebruiken, zodat er geen werk verloren ging. Toch geloofden de medewerkers echt dat het bedrijf in de problemen was geraakt.

Op deze manier schrikken mensen en raken ze gemotiveerd om er iets mee te doen, dus in dit geval het doorlopen van de e-learnings. Na een paar minuten kreeg iedereen een SMS waarin stond dat het om een nep-aanval ging, dus konden ze gerustgesteld het werk hervatten.

Daarnaast moet je de gevaren koppelen aan zaken waar mensen dagelijks mee te maken hebben, dus bijvoorbeeld e-mail. Daarom hebben we een dag na de rode pop-up een nep-phishingmail rondgestuurd binnen ICM. Dit was een mail die bijna niet van echt te onderscheiden was. Ik dacht dat iedereen nu wel alert zou zijn en niet op de link in de mail zou klikken en zijn of haar gegevens zou invoeren. Alsnog hebben 25 mensen dit wel gedaan, wat voor mij de bevestiging was dat we er goed aan doen hier aandacht aan te besteden.

Deze nep-phishingmail zorgde weer voor een shockeffect en voor nog meer bewustwording bij onze medewerkers. Die zullen zich nu wel drie keer bedenken voor ze op een link in een e-mail of op een website klikken. De e-learning die na deze nepmail volgde maakte concreet hoe je dit soort situaties kunt voorkomen.”

Welke stappen heb je gezet om tot deze uitvoering te komen?

“Het was een behoorlijk proces! Ik had de ideeën van het rode scherm en de phishingmail al langer in mijn hoofd, maar was vooral zoekend naar hoe we dit konden realiseren. Samen met Eric Kaim (onze IT-man) en een externe partij ben ik het in elkaar gaan zetten. We kwamen erachter dat we e-learnings nodig hadden, en laten we daar nou net de kennis, software en de mensen voor in huis hebben! Op die manier hebben we er een mooi en goedwerkend product van gemaakt, met heldere voorbeelden en koppelingen naar de praktijk, waardoor het goed blijft hangen.

Wat ook leuk was, was dat alleen dit groepje mensen op de hoogte was. Voor de rest, zelfs voor het managementteam, was het behoorlijk schrikken toen ineens alle schermen rood werden. Juist dát creëert die bewustwording die zo nodig is!”

Wat waren die e-learnings dan precies?

“Na het shockeffect werden de mensen naar een module geleid die uitleg gaf over wat er mis kan gaan en waar ze in de toekomst precies op moeten letten. Dus bijvoorbeeld dat je bij e-mails altijd goed het e-mailadres van de afzender en het webadres waar naartoe wordt gelinkt moet controleren. Dit gebeurt aan de hand van uitleg met quizvragen en visuele voorbeelden. We hebben ook nog een competitie-element toegevoegd: degene die de meeste quizvragen goed had beantwoord kreeg een prijs! Dat motiveerde nog meer.

Ik heb overigens al meerdere malen van medewerkers van ICM de vraag gehad of ze de e-learnings door mochten sturen naar vrienden en familie, om ook hen op de hoogte te brengen van de gevaren van cybercriminaliteit. Hierdoor werd mij duidelijk dat de e-learnings hun werk goed doen. Wij bieden ze daarom nu ook extern en op maat gemaakt aan.”

Wat zijn jouw tips voor andere organisaties om meer bewustwording van cybercriminaliteit te creëren?

“Zorg ervoor dat het gaat leven! Dus vermijd de saaie PowerPoint met informatie maar laat de mensen schrikken en maak daarmee duidelijk dat cybercriminaliteit een serieuze zaak is. Misschien niet voor iedereen even leuk, maar het creëert de broodnodige bewustwording. Want dit is wel wat er gebeurt als je wordt gehackt: alles ligt plat. Maak vervolgens de slag naar hoe je dit soort situaties voorkomt.

Die shockervaring is essentieel. Wij hebben dit uitgespreid over meerdere dagen, met meerdere onderwerpen en e-learnings. Zo gaat het echt leven en kunnen de medewerkers de gevaren koppelen aan de dagelijkse praktijk.”

Laatste woorden?

“Het project heeft mijn verwachtingen zwaar overtroffen. Ik merk dat cybersecurity nu echt leeft binnen ICM. Het heeft indruk gemaakt en de ogen van onze medewerkers zijn geopend. Missie geslaagd!”

Jezelf en je bedrijf ook beveiligen tegen cybercriminaliteit?

Wil jij jezelf en je bedrijf ook beveiligen tegen de gevaren van cybercriminaliteit? Met op maat gemaakte e-learnings en eventueel zelfs met een shockeffect zoals wij gedaan hebben? Vraag een offerte aan of plan een vrijblijvend telefonisch gesprek in met onze Learning & Development consultants om te kijken hoe we binnen jouw organisatie bewustwording van cybercriminaliteit kunnen creëren.

Ook interessant voor jou