Antimalware is geen product

  • Iedere dag worden 560.000 nieuwe malwarevarianten ontdekt
  • Gemiddeld wordt €141.000,- ‘losgeld’ gevraagd bij een cryptowareaanval
  • Met alleen een antimalwareproduct bescherm je je gebruikers niet optimaal
  • Lees in dit artikel hoe je jouw gebruikers optimaal kunt trainen

Malware, cryptoware, ransomware, spyware, virussen. Schadelijke software is er in veel soorten en maten. En het is nog steeds een groeiend probleem. Securitybedrijf Sophos becijfert in haar jaarlijkse ‘The State of Ransomware’ in 2021 dat de gemiddelde herstelkosten van een malwareaanval in 2021 verdubbeld zijn ten opzichte van 2020. En de €141.000 aan ‘losgeld’ die bedrijven betalen, is daar slechts een klein deel van.

De kosten van een ransomewareaanval

Ransomware is een type malware waarbij bestanden en databases worden ‘versleuteld’. Er is daardoor geen toegang meer tot de bestanden tenzij ze weer worden ontsleuteld. De directe kosten die bedrijven maken na een ransomwareaanval zijn duidelijk: er moet losgeld betaald worden om de versleutelde bestanden terug te krijgen. Steeds meer bedrijven doen dit: het percentage bedrijven dat losgeld betaalt steeg van 26% naar 33% in 2021, becijfert Sophos in hetzelfde rapport. Betalen voor ontsleuteling is een laatste redmiddel. Door te betalen, faciliteer je de misdadigers en houd je het systeem in stand.

Naast de directe kosten zijn er ook veel indirecte kosten: de bestanden moeten worden hersteld; vaak door een externe IT partij. Je medewerkers kunnen niet werken gedurende de herstelacties en er komen geen orders binnen. Daarnaast is er sprake van reputatieverlies, een malwareaanval staat niet mooi in de media.

voorbeeld van een phishing email die lijkt op een echte mail van ING bank.

Een malwareaanval voorkomen

Een groot deel van alle malware-aanvallen begint met phishing. Bijna iedereen heeft wel eens te maken gehad met een phishingmail. Met een phishingmail probeert een aanvaller het slachtoffer naar een malafide website te lokken, waar vaak geprobeerd wordt een wachtwoord aan de gebruiker te ontfutselen of direct malware op de pc te installeren. Soms wordt ook een kwaadaardige bijlage in de mail meegestuurd om hetzelfde doel te bereiken.

Trap er niet in!

Vaak zijn de mails overduidelijk nep en je vraagt je dan ook af hoe iemand daar dan in kan trappen. Maar vergis je niet: mensen die grote hoeveelheden mails ontvangen, gaan hier zeer routinematig mee om en binnen een seconde wordt besloten of er actie moet worden ondernomen en of een button geklikt moet worden. Binnen die seconde wordt de daadwerkelijke mail vaak niet of nauwelijks gelezen en wordt er direct geklikt.

Er is geen silver bullet

Een phishingaanval is op veel plekken een halt toe te roepen: voordat de mail bij de eindgebruiker komt kan deze tegengehouden worden door een spamfilter. De website die bezocht wordt kan geblokkeerd worden door beveiligingssoftware. Het uitvoeren van een bijlage kan voorkomen worden met bepaalde instellingen in windows. Er is software die ieder invulveld op een website scant, om te voorkomen dat één van je medewerkers zijn of haar wachtwoord invult op een malafide website.

Echter: geen enkel systeem werkt feilloos. Aanvallers proberen een spamfilter te omzeilen met steeds geavanceerdere emails, webfiltersoftware is afhankelijk van meldingen van gebruikers en aanvallers proberen beveiligingssoftware te omzeilen door het gedrag van hun malware zo aan te passen dat ze niet herkend worden.

Train je medewerkers

Omdat software niet feilloos werkt, blijft er altijd een menselijke factor aanwezig. En je mensen kun je trainen. Door je medewerkers te trainen op het herkennen van phishingmails, kun je een aanval helpen voorkomen. Dit doe je op meerdere manieren:

  • Creëer awareness
    • Breng je medewerkers op de hoogte van de manier waarop aanvallers werken en wat de risico’s en potentiële kosten zijn van een aanval.
  • Vertel je medewerkers over hun rol
    • Leg uit wat jouw organisatie allemaal al doet om een aanval te voorkomen: spamfiltering, beschermingssoftware, een backupbeleid, etcetera. Máár dat er ook een rol voor hen is weggelegd
  • Train je medewerkers
    • Er zijn heel veel tools waarmee je zogeheten phishingsimulaties kunt uitvoeren. Hierbij stuur je je medewerkers bewust phishingmails, om ze te leren ze te herkennen en er bewust mee om te gaan. Wij gebruiken bijvoorbeeld Surelock.
  • Herhaal dit regelmatig
    • Als je je medewerkers regelmatig traint, blijft phishing ’top of mind’. Bovendien worden nieuwe medewerkers dan ook goed op de hoogte gebracht van de gevaren.

Laat ons je helpen!

Middels een nulmeting testen wij gratis of jouw medewerkers gevoelig zijn voor malwareaanvallen en phishing. We sturen een geavanceerde phishingmail uit aan een selectie van je medewerkers en controleren de resultaten. We verzorgen een training, waarbij alle aspecten van informatiebeveiliging aan bod kunnen komen en waarbij je medewerkers uitgebreid vragen kunnen stellen.

Samen bepalen we welke technische en organisatorische maatregelen nog meer nodig zijn om jouw organisatie optimaal te beschermen tegen aanvallers. Dit kunnen we doen conform een norm als ISO27001 of NEN7510. Daarnaast bepalen we samen met jou of en hoe vaak we jouw medewerkers zullen trainen door middel van een phishingsimulatie.

Interesse? Vul onderstaande formulier in.





    Het invullen van dit formulier is geheel vrijblijvend. Je komt niet op een mailinglist en we verkopen je gegevens niet door.

    Tags: , ,

    Dit bericht heeft één reactie

    Reageren is niet mogelijk.