Financieel advieskantoren zijn steeds vaker doelwit!

Hackers en andere kwaadwillenden vinden steeds nieuwe manieren om data te stelen en controle over devices te verkrijgen voor losgeld. Daarom is het met name voor financieel advieskantoren belangrijk om van security een prioriteit te maken. Immers, juist een financieel advieskantoor beschikt over erg veel persoonlijke en financiële data van haar klanten.

De afgelopen jaren zijn er veel voorbeelden voorbij gekomen waaruit bleek dat ook Nederlandse bedrijven kwetsbaar zijn  voor cyberaanvallen. Nagenoeg alle financieel advieskantoren zijn in hoge mate afhankelijk geworden van digitale processen. Hierdoor lopen zij een groter risico op financiële schade, imagoschade en wettelijke opgelegde schade wanneer ze bijvoorbeeld gehackt worden of als er een datalek plaatsvindt.

Wat zijn de risico's van cybercrime?

Cybercrime is een breed begrip

Op welke specifieke gevaren moet u alert zijn? En hoe beperkt u de risico’s zoveel als mogelijk.


Phishing is een belangrijk risico. Er zijn legio voorbeelden van e-mails en websites van banken die zelfs door kenners vrijwel niet te ontmaskeren zijn. Wanneer u of uw medewerker vervolgens zijn of haar gegevens en een wachtwoord invult, krijgen de criminelen vrij spel. Zij kunnen dan rondkijken binnen de rechten van een gebruiker. Waar je bij ransomware vaak direct het gevolg ziet, kan het bij phishing lang duren voordat de hacker toeslaat. U kunt dus ongemerkt maandenlang een securitylek hebben.

Tegenwoordig zie je ook steeds vaker een speciale variant van phishing: spearfishing. Hierbij worden personen nauwkeurig getarget. Zo krijgen uw financiële medewerkers bijvoorbeeld een mailtje van ‘de baas’, met de vraag of ze direct geld kunnen overmaken. Of een juridisch medewerker krijgt de vraag van iemand die ze vertrouwen om gevoelige documenten meteen op de mail te zetten. Ook voor bedrijven die veel werken met persoonsgegevens kan phishing grote gevolgen hebben.

De oplossing
Zet in op het veilig gebruik van wachtwoorden, die geregeld veranderd worden. Dat kan bijvoorbeeld met een password manager. Werk daarnaast niet alleen met wachtwoorden, maar ga standaard voor multifactor authenticatie. Dit kan onder meer met biometrische herkenning (van gezicht of vinger), in combinatie met een app of dongle (bijvoorbeeld YubiKey), waarmee u unieke, tijdelijke, inlogcodes kunt genereren. Werk daarnaast aan de kennis van uw medewerkers, bijvoorbeeld door middel van trainingen.

YORON heeft een verdedigingstool ontwikkeld om phishing-awareness te vergroten. Dat doen we me door gecontroleerde phishingtesten uit te voeren, waarbij een nepmail wordt verstuurd. Verderop leest u er alles over.

‘Voorheen was het gevaar dat uw data vernietigd werd. Tegenwoordig is de schade groter wanneer de data openbaar gemaakt wordt’

Bij ransomware wordt een device vergrendeld, zodat u niet meer bij uw systemen en data kunt. Voorheen was hierbij het gevaar vooral dat uw data vernietigd zou worden. Tegenwoordig is de schade voor bedrijven groter wanneer de data openbaar gemaakt wordt. Wanneer bijvoorbeeld financiële gegevens of persoonsgegevens in handen van criminelen zijn gevallen, kan je dat als bedrijf duur komen te staan. In de financiële sector ligt dit risico vooral op het gebied van imagoschade en een verlies aan vertrouwen in uw organisatie.

De oplossing
Om uzelf te wapenen tegen ransomware, moet u in elk geval een plan hebben waarin u beschrijft wat u kunt doen in geval van een aanval. Zorg ervoor dat u voldoende back-ups hebt van uw gegevens. Deze kunt u ook (versleuteld) bij een goed beveiligde clouddienst onderbrengen. U kunt uzelf ook tegen ransomware beschermen door systemen en kritieke software en processen te isoleren. Wanneer een cybercrimineel uw organisatie aanvalt, blijft deze aanval dan in een soort container. Tot slot kunt u een verzekering afsluiten om de kosten van dataverlies te verzekeren. Het is tenslotte niet mogelijk om uw systemen altijd 100% veilig te houden.

Nieuwe technieken bieden niet alleen maar kansen, ze kunnen ook een groot risico vormen voor uw organisatie. Zo gebruiken criminelen algoritmes om social media af te struinen, op zoek naar informatie om een dataprofiel mee te maken. Dit wordt vervolgens gebruikt voor spearfishing of identiteitsdiefstal. Denk ook aan apps als TikTok en WOMBO, waarbij het algoritme achter de app biometrische data verzamelt. Op basis hiervan zijn deepfakes te maken.

Het is zelfs mogelijk om complete vingerafdrukken uit foto’s af te leiden. Dit maakt eenvoudige biometrische authenticatie onveilig. En ook de techniek Internet of Things brengt naast voordelen ook risico’s met zich mee. De techniek draait erom dat steeds meer apparaten met het internet verbonden zijn. Vrijwel iedereen heeft tegenwoordig een slimme lamp, thermostaat of koelkast, maar niet iedereen kent de beveiligingsrisico’s.

Zo zagen we bij een grote Franse supermarktketen dat de ‘slimme’ kassa’s gehackt konden worden. Denk ook bijvoorbeeld aan industrie. Wanneer machines gekoppeld zijn aan het internet, kan een hacker complete productieprocessen platleggen.

Oplossing
Naast technologie ligt de oplossing deels in voorlichting. Biometrische sensoren moeten minstens kunnen herkennen dat ze te maken hebben met een levend persoon om veiliger te zijn. Het is belangrijk dat uw medewerkers de gevaren van nieuwe technologieën kennen en niet onderschatten. 

Financieel advieskantoren zijn een kwetsbare groep. Er is bij deze doelgroep weinig budget voor security, terwijl er wel waardevolle data opgeslagen wordt. Cybercriminelen kiezen voor advieskantoren vanwege het hoge 'rendement'. Binnen onze branche is de kans groter dat een financieel kantoor tegen ernstige problemen aanloopt bij een groot datalek. Zij zijn dus eerder geneigd om te betalen wanneer ze aangevallen worden.

YORON zet u en uw medewerkers op scherp met phishing simulatie

Uit de praktijk blijkt dat veel financieel advieskantoren onvoldoende aandacht hebben voor cybercrime. De oorzaken zijn onder andere:

1. Gebrek aan interesse

Een simpel gebrek aan interesse is vaak de oorzaak van een laag bewustzijn als het gaat om cyberrisico`s. De gedachte dat iedereen een potentieel doelwit is, is nog niet doorgedrongen. Dit zien we regelmatig bij kleinere organisaties. Deze organisaties realiseren zich vaak niet dat criminelen niet kijken naar de omvang.

2. Andere prioriteiten

De waan van de dag: vaak zijn er tal van andere zaken die meer prioriteit behoeven. Het verhogen van security awareness komt daardoor onderaan het prioriteitenlijstje te staan. We horen vaak dat een campagne niet ten koste mag gaan van de arbeidsproductiviteit. 

3. Er is geen noodzaak

Vaak is er (nog) geen noodzaak om te investeren in security awareness, want er hebben nog geen incidenten plaatsgevonden. Totdat er wel iets gebeurt. En dan ben je te laat! Criminelen kondigen natuurlijk niet aan dat ze een phishingmail gaan versturen.

4. Geen direct resultaat

Security awareness geeft geen direct resultaat en de schade van afgeweerde incidenten is niet meetbaar. Een hoop afgeweerde incidenten zullen ook nooit aan het licht komen. Security awareness lijkt dus alleen maar tijd en geld te kosten.

1. Noodzaak

Door een echt incident, zoals een datalek of ransomware-infectie, zal security awareness bovenaan de prioriteitenlijst komen te staan. Dit druist natuurlijk tegen alles in waar de security awareness manager voor staat: het voorkomen van incidenten veroorzaakt door medewerkers. Een goede manier om de noodzaak aan te tonen is om een aanval te simuleren. Een phishing simulatie kost niet veel en toont goed aan hoe kwetsbaar een organisatie is.

2. Compliancy

Compliancy-richtlijnen (denk bijvoorbeeld aan de AVG) stellen de eis dat er ‘redelijke maatregelen’ getroffen worden om incidenten te voorkomen. Wat redelijke maatregelen zijn wordt niet gespecificeerd. 

In de praktijk zien we dat veel incidenten te wijten zijn aan onvoldoende maatregelen, waarna waarschuwingen, sancties of aansprakelijkheid volgen (AP, AFM, DNB...). Natuurlijk is 100% veiligheid niet mogelijk. Het is dan ook aan het betreffende advieskantoor om aan te tonen dat er alles aan gedaan is om risico’s te verkleinen. Het adequaat trainen van medewerkers is daar één onderdeel van. Als er na een incident niet aangetoond kan worden dat medewerkers adequaat getraind worden zeg je als advieskantoor eigenlijk dat het onderwerp niet belangrijk genoeg was.

3. Een veilige werkomgeving

Welke financieel advieskantoor wil nou geen professionele uitstraling, waarbij uiterst zorgvuldig wordt omgegaan met de uiterst privacygevoelige informatie waarover zij beschikken? Informatie is goud waard voor advieskantoren, dus ook voor criminelen. Dat wilt u dan toch zo goed mogelijk beschermen?

Door medewerkers te trainen worden zij bewust van hun rol en verantwoordelijkheden op het gebied van informatiebeveiliging. Ze zullen bewuster worden van de waarde van informatie en zorgvuldiger en alerter te werk gaan. Daarnaast kunnen medewerkers de kennis ook in hun privésituatie gebruiken, zodat ze ook daar weerbaarder worden.

4. Reputatie en imago

Een incident, zoals een datalek, kan desastreuze gevolgen hebben voor de reputatie van een financieel advieskantoor. Dit is misschien wel de grootste schadepost die je als organisatie kan hebben, want het vertrouwen in de organisatie wordt ernstig geschaad.

Daarnaast vragen (potentiële) klanten steeds vaker welke maatregelen een advieskantoor treft op het gebied van informatiebeveiliging. Klanten vertrouwen u immers hun data toe. Door medewerkers te trainen laat u zien dat u veel waarde hecht aan de gegevens van klanten, medewerkers, burgers, et cetera. Het aantoonbaar zorgvuldig omgaan met gegevens kan uw reputatie ten goede komen en u net dat streepje voor geven ten opzichte van de concurrentie.

YORON introduceert een effectieve phishing simulatie tool

Houd medewerkers alert met phishing simulatie

YORON heeft een 'awareness' programma opgezet in samenwerking met Solvisoft, een erkend specialist op het terrein van IT-security.

YORON maakt hierbij gebruik van een ruime selectie aan zeer realistische phishing-emails waarmee wij u en uw medewerkers gaan confronteren.  Iedereen die op de link klikt, krijgt via de landingspagina direct gerichte feedback over de signalen waaraan u phishing kunt herkennen. Zo houden wij u scherp en zijn uw medewerkers beter voorbereid op een volgende phishingaanval.

Vanaf 1 januari 2023 starten wij met uitrollen van het abonnement 'Phishing simulatie'. Het abonnement omvat het testen en trainen van u en uw medewerkers.

De actie brengt kosten met zich mee. Om deze zoveel als mogelijk te minimaliseren maken wij gebruik van de zogenoemde 'negatieve optie': u krijgt het abonnement aangeboden en u wordt daarvoor belast voor 24,00 euro per jaar, per e-mailadres. Wilt u geen gebruik maken van deze service dan kunt u dat aan ons doorgeven via een mailtje of een telefoontje. U ontvangt dan per direct een creditnota. U heeft deze terugboekingsmogelijkheid tot 01-04-2023. 

Phishing is en blijft de grootste digitale dreiging voor organisaties. Kunnen u en uw collega's phishing herkennen en de dreiging het hoofd bieden? Test het met periodieke phishingsimulaties. Houd medewerkers alert en maak hen weerbaar tegen phishing!

Het phishing awareness programma besteedt aandacht aan de volgende aspecten van gedragsverandering:

  • Kennis: leer potentieel gevaarlijke situaties herkennen.
  • Ervaring: ervaar gevaarlijke situaties in een vertrouwde omgeving.
  • Gedrag: wordt gemotiveerd om adequaat te reageren op risicovolle situaties.

Door een situatie te ervaren blijft de kennis en ervaring goed hangen, waardoor gedrag blijvend positief beïnvloed wordt. U en uw medewerkers zijn dan beter in staat om adequaat te reageren op de échte phishingmails.

YORON verstuurt naar de e-mailadressen van de medewerkers met enige regelmaat ‘spam-mail’. Op het moment dat een van uw medewerkers de bijlage opent of op de aangeboden link klikt, verschijnt de boodschap dat uw medewerker er met open ogen ingetuind is.

Natuurlijk sturen wij ook naar uw eigen e-mailadres deze 'spam-mail'.

En wilt u over cijfers beschikken als het gaar om de impact van cybercrime? Download dan onderstaande brochure!

 

Download brochure 'Hap niet in het aas!"