"We nemen hen niets kwalijk"

  • 22 september 2023

Phishing is een serieus onderwerp en dan moet je daar niet nonchalant over zijn. Als een wethouder zegt: "De medewerkers zijn er goed ziek van, maar we nemen hen niets kwalijk." dan vraag ik die bestuurder: "Doen jullie dan ook niet moeilijk over een verkeersboete van een ambtenaar met de dienstauto van de gemeente?" Je maakt als medewerker van een bedrijf over overheidsinstelling gewoon een fout als je 'slachtoffer' wordt van CEO-fraude...

Vandaag stond in Trouw een artikel over het feit dat gemeenten steeds vaker het slachtoffer worden van phishing via een vorm die ook wel CEO-fraude wordt genoemd. Het werkt zo: een medewerker krijgt een e-mail die lijkt te komen van een lid van de directie. In de mail een spoedopdracht om een factuur goed te keuren en te betalen. Op deze wijze verdween ruim 2 ton aan gemeenschapsgeld richting internetcriminelen. De wethouder vertelt: "De criminelen wisten precies wie ze moesten hebben om deze valse factuur te laten betalen."

Toen ik het las, dacht ik: zulke praktijken zijn toch algemeen bekend? Blijkbaar niet. Al geeft een woordvoerder van de VNG (Vereniging Nederlandse Gemeenten) wel toe dat dit een gevolg is van menselijk handelen waarbij bestaande procedures niet gevolgd worden. Als er bij overheidsinstellingen duidelijke protocollen zijn, dan moeten deze onvoorwaardelijk gevolgd worden. Het 'overtreden' van zulke protocollen verdient niet vergoeilijkt te worden, maar bestraft.

In juni 2022, nu dus zo'n 1,5 jaar geleden, verscheen een leuk boek met de titel: "Wij zijn de zwakste schakel, maar dat hoeven we niet te zijn". Het gaat over de menselijke factor van cybercrime. Ik heb het met veel interesse gelezen. Diverse voorbeelden van CEO-fraude worden uitgebreid beschreven. Een mooi begrip in dit verband is 'social engineering', een begrip dat best positief klinkt, maar op een geraffineerde manier de zwakten van ons mensen verbindt aan de mogelijkheden van de techniek. Je gaat uitgebreid op zoek naar persoonlijke informatie van werknemers om een zwakke plek te vinden om het betreffende bedrijf slachtoffer te maken van phishing of andere vormen van internetfraude - ook veel slachtoffers van ransomware zijn zo gemaakt...

Dit is niet nieuw en volgens mij mag je van overheidsinstellingen, maatschappelijke organisaties en bedrijven verwachten dat medewerkers op dit gebied getraind worden. Elk bedrijf, elke instelling zou expertise in huis moeten hebben om het risico op phishing zo klein mogelijk te maken.

En ja, misschien moet ook ieder mens wat minder online informatie delen, wat minder actief zijn met socials en smartphone. Bewustwording betekent vaak dat je een stapje terug moet doen...


Reageer!

Neem contact met mij op als je denkt dat ik over dit onderwerp iets voor jou of je bedrijf kan betekenen!