Online bedrijven, denk vooruit: praat al met klanten over cyberveiligheid

Bedrijven in e-business en e-commerce zouden er goed aan doen openlijk met klanten te spreken over cyberveiligheid. Banken geven daarin al het goede voorbeeld. En niet zonder reden: in de genoemde sectoren worden phishing e-mails en ransomware namelijk een steeds groter probleem. Bedrijven worden er van twee kanten aangevallen: op de eigen werkvloer, maar ook indirect via de klant.

Zo’n tien jaar terug raakten we bekend met de eerste vorm van ransomware, kwaadaardige software die computers ‘gijzelt’. Na versleuteling van bestanden stuit de gebruiker op de eis van losgeld. Blijft de betaling van bijvoorbeeld bitcoins uit dan zijn bestanden of bedrijfsgegevens niet meer te gebruiken.

Destijds was zo’n gijzeling nog geregeld ongedaan te maken, nu is de encryptie meestal niet meer te kraken. Niet voor niets gaf een veiligheidsdeskundige van de FBI recent toe in praktijk te adviseren om het losgeld maar gewoon te betalen. Op een conferentie zou hij naar verluidt hebben opgemerkt dat de ‘kwaliteit’ van ransomware nu zo hoog is, dat dit vaak de makkelijkste oplossing is voor het probleem. Hoewel de FBI later ontkende ooit adviezen te geven, geeft het maar aan hoe groot het risico is.

Ransomware in Nederland

Ook Nederlandse online bedrijven kunnen er niet meer omheen. Ons land duikt geregeld op in onze onderzoeken naar de ‘populariteit’ van ransomware.

De recentere variant ‘CryptoWall’ is bijvoorbeeld populair en vindt toegang tot Nederlandse computers via dat wat ‘malvertising’ wordt genoemd. Online advertenties sturen gebruikers via een lek in Adobe Flash Player door naar een ‘kit’ die een trojaans paard binnenrijdt. Deze kaapt vervolgens een deel van de computer. Gebruikers van diverse Nederlandse nieuwssites werden er afgelopen zomer nog mee geconfronteerd. Die bleken onbewust een doorgeefluik te zijn.

Een andere variant, de TorrentLocker, belandt op menig computer via e-mailcampagnes die een bijzonder sterke geografische focus hebben. Criminelen misbruiken daarvoor doelbewust de bekendheid van een lokaal bedrijf. Uit hun naam wordt een e-mail gestuurd die vraagt te klikken op een link naar een besmet bestand. De afgelopen jaren werden Nederlanders bestookt met nep-e-mails van PostNL en DHL. Hierin wordt met bijna perfect taalgebruik gevraagd de vertrouwde track en trace-tool te gebruiken. Via een pdf-bestand belandt de ransomware uiteindelijk op de computer.

Gijzelnemers volgen bedrijf en klant op de voet

De manier waarop ransomware wordt verspreid, hangt sterk samen met de manier waarop we online zaken doen, zei beveiligingsexpert Paul Ducklin onlangs tegen me. Dat betekent dat bedrijven in e-business en e-commerce in toenemende mate worden aangevallen. Namelijk: via medewerkers – het meer bekende risico – en via de klant. Aan beide kanten groeit immers de afhankelijkheid van het web.

Juist omdat criminelen het aanbod van digitale services volgen, is het zaak als bedrijf in e-business en e-commerce nu al voor te sorteren. Het is niet ondenkbaar – zelfs voorstelbaar – dat die bedrijven straks een nog belangrijker doelwit zijn.

Leer daarom van banken. Toen die doorkregen dat criminelen uit hun naam visten naar inloggegevens, gingen zij uiteindelijk op zoek naar een manier klanten te ‘onderwijzen’. Ter bescherming van hun merk en de klant ontwikkelden banken diverse campagnes: ‘Hang op, klik weg, bel uw bank’ is daarvan een voorbeeld. In andere landen kan er om diezelfde reden bij geldautomaten contact worden gezocht met de bank. Iets verdachts is zo direct en makkelijk te verifiëren.

Voor andere bedrijven geldt daarom ook:

• Communiceer nu al ‘regels’ waarmee een klant zelf in staat wordt gesteld veilig van onveilig te onderscheiden.
• Is één van die regels bijvoorbeeld om klanten nooit in communicatie-uitingen te vragen om in te loggen, stem dit dan ook intern af. Ook een marketingafdeling moet zich ervan bewust zijn geen inloglinks te versturen via e-mailmarketing. Op dat vlak gaat het in praktijk nog geregeld mis.
• Online veiligheid bestaat voor een belangrijk deel uit communitymanagement en aangeven van richting: licht in een dialoog niet alleen toe hoe de klant echt van nep onderscheidt. Leg ook vooral uit waarom maatregelen die dit onderscheid benadrukken, worden genomen. Stel je als bedrijf een tweestapsverificatie in – bijvoorbeeld een extra controlemechanisme via SMS – leer de klant dan waarom dit bij voorbaat nodig is. Met de juiste communicatie wordt duidelijk waarom een iets minder gebruiksvriendelijke procedure goed is voor de klant zelf.

Zeker nu de nieuwe wetgeving in werking is getreden en een datalek altijd moet worden gemeld, zijn transparantie en communicatie over veiligheid onontbeerlijk. De Wet meldplicht datalekken schrijft immers voor dat bedrijven iedere inbreuk openbaar moeten maken. Wordt een webwinkelbedrijf intern getroffen door ransomware en besluit het bedrijf het losgeld te betalen dan is moeilijk te bewijzen dat de ongenodigde de gegijzelde persoonsgegevens niet heeft ingezien. Ook hiervoor geldt: door in een vroeg stadium de dialoog te zoeken, wordt aan het vertrouwen van de klant gewerkt.