Legersnotters zoals ik zijn opgegroeid met het woord ‘gereedheid’. We wisten dat het weken of zelfs maanden betekende dat een ouder op uitzending was en moest trainen voor ‘Wat als…’ scenario’s. Een van de redenen waarom zoveel veteranen de succesvolle overstap naar ondernemerschap hebben gemaakt, is dat zij paraatheid op de eerste plaats blijven stellen. Een recente door de FTC voorgestelde schikking dient als een herinnering voor veteranen die een bedrijf runnen – en voor alle bedrijfsleiders – over de voortdurende bedreigingen voor gevoelige klant- en werknemersinformatie als gevolg van phishing. De beste verdediging: paraatheid.
Phishing-oplichters nemen doorgaans contact op met werknemers via e-mail, sms of telefoon en zorgen ervoor dat ze op een link klikken, een bestand downloaden of vertrouwelijke informatie vrijgeven. Hun doel is om malware te installeren of op een andere manier toegang te krijgen tot uw digitale activa. Daarin recent gevalbeweerde de FTC dat de lakse beveiligingspraktijken van een onderwijstechnologiebedrijf resulteerden in meerdere datalekken, wat leidde tot het verduisteren van persoonlijke informatie over miljoenen consumenten. Een interessant aspect van de zaak is de beschuldiging dat de datadieven via de digitale voordeur zijn binnengedrongen door werknemers – waaronder enkele senior executives – zover te krijgen dat ze zich met phishing-fraude bezighouden. In de klacht werd verder aangevoerd dat het bedrijf gedurende een lange periode “niet van zijn werknemers eiste dat ze enige training op het gebied van gegevensbeveiliging volgden, inclusief het identificeren van en adequaat reageren op phishing-aanvallen.”
Phishing bestaat al jaren – de eerste phishing-gerelateerde zaak van de FTC dateerde uit 2004 – maar het verontrustende nieuws is dat zowel ouderwetse methoden als meer geavanceerde aanvallen nog steeds succesvol zijn. De FTC heeft stappen die u kunt nemen om uw bedrijf te beschermen tegen phishing-fraude.
Implementeer bedrijfsbrede training. Als iemand, in welke hoedanigheid dan ook, op uw rooster staat, voegt u deze toe aan uw trainingslijst voor gegevensbeveiliging. Uit de ervaring van de FTC blijkt dat oplichters iedereen als potentiële doelwitten beschouwen, inclusief stagiaires, uitzendkrachten, contractanten en zelfs mensen die niet routinematig gevoelige gegevens gebruiken. Bovendien is niemand te belangrijk voor training. Zoals de recente zaak van de FTC aantoont, stoppen oplichters niet bij de deur van de C Suite en zou training dat ook niet moeten doen.
Plan regelmatig opfriscursussen. Trainen is geen eenmalig vakje dat u op uw TO DO-lijst kunt afvinken. Uw bedrijfsactiviteiten veranderen waarschijnlijk met enige regelmaat, evenals de bedreigingen waartegen u zich moet verdedigen. Maar we hebben allemaal wel eens interne lezingen moeten bijwonen die doen denken aan het ‘Whaa Whaa Whaa’-geluidseffect wanneer volwassenen praten over de ‘Peanuts’-specials. De sleutel is om de inhoud fris en boeiend te houden met IRL-verhalen, voorpaginanieuws en andere aandachtstrekkers.
Zoek naar tekenen die wijzen op phishing. Er bestaat geen 100% nauwkeurige test om te bepalen of een bericht een phishing-scam is, maar bepaalde kenmerken kunnen een tip zijn, bijvoorbeeld spelfouten of grammaticafouten; verzoeken om cadeaubonnen, bankoverschrijvingen of cryptocurrency; instructies om op links te klikken of bijlagen te downloaden; of bewoordingen die gewoon raar klinken. (Eén e-mail die we onlangs hebben ontvangen: “Het is van het allergrootste belang dat alle arbeiders de volgende verplichte stappen ondernemen.”)
Geef medewerkers een compliment voor het ontwikkelen van een sceptische blik. ‘Is dat echt een bericht van de baas waarin staat dat ik geld moet overmaken of een vertrouwelijk spreadsheet moet sturen?’ ‘De beller zei dat ze van Tech Support waren, maar is dat waar?’ “In de e-mail staat dat het een link is naar ons nieuwe bedrijfscommunicatieplatform. Moet ik erop klikken?” Moedig uw medewerkers aan om even de tijd te nemen om na te denken over onverwachte e-mails, sms-berichten of telefoontjes. Zelfs als het een oprecht verzoek blijkt te zijn, als hun gevoel suggereert dat phishing op de loer ligt, juich dan werknemers toe die de tijd nemen om het te onderzoeken.
Houd uw verdediging op peil tijdens werken op afstand. Dubbelchecken was gemakkelijker als je door de gang moest lopen om te zien of een verzoek op gelijke hoogte was. Maar dat is niet mogelijk met externe werknemers of zakenreizigers. Moedig uw team aan om de telefoon op te nemen en een nummer te bellen waarvan zij weten dat het legitiem is, om te bepalen of een bericht een bonafide zakelijke communicatie of een phishing-poging is.
Ons beste advies voor veteranen die een bedrijf bezitten, ontleent een wachtwoord aan de kustwacht van de Verenigde Staten: Altijd klaar (Altijd klaar). Anticipeer op bedreigingen voor gevoelige gegevens die u in uw bezit heeft en train uw medewerkers in het herkennen van oplichters die proberen uw verdediging te infiltreren. De FTC’s Cyberbeveiliging voor kleine bedrijven bronnen omvatten een segment over het beschermen van uw bedrijf tegen phishing-oplichting. Bezoek onze informatie over persoonlijke financiële paraatheid en andere onderwerpen die speciaal voor veteranen en militairen zijn samengesteld Militaire consumentensite.
Deze Veteranendag zijn we vereerd om u te eren – en de familieleden wier steun essentieel was voor uw dienstverlening.
