Hoe bescherm je je thuiswerkers tegen phishing?

Na maanden van thuiswerken voor vrijwel iedereen wiens beroep dat mogelijk maakte, lijkt het “normale arbeidsleven” weer flink op gang te komen. Steeds meer van ons werken weer op kantoor. Echter, de pandemie heeft ons wel laten zien wat grootschalig thuiswerken kan betekenen voor cybercrime en phishing. Zo stelt Europol dat in deze tijd van thuiswerken vormen van online criminaliteit als phishing flink zijn gestegen.

Het is niet moeilijk te bedenken waarom thuiswerkers kwetsbaarder zijn voor phishing: minder tech-savvy collega’s hebben niet even een collega die over hun schouder kan meekijken of een e-mail wel betrouwbaar lijkt. Ze hebben soms minder goede veiligheidsoplossingen (denk aan firewalls en geavanceerde spamdetectie) tot hun beschikking. Tot slot krijgen thuiswerkers misschien minder mee over phishingdetectie dan collega’s op kantoor. Kortom, phishing is een serieus gevaar voor werknemers die vanuit huis werken. Daarom noemen we hieronder vier strategieën en hulpmiddelen waarmee je als werkgever je thuiswerkers tegen phishing kunt beschermen. Dit is van groot belang om je bedrijfs- en klantengegevens veilig te houden.

Kennis is macht, niet alleen voor phishers

Phishers nemen graag kennis van de (gevoelige) data van je klanten en bedrijf. De beste manier om dat te bestrijden is, ironisch genoeg, met kennis. Maar dan van phishers en hun praktijken. Juist voor thuiswerkers, die meer moeten kunnen vertrouwen op hun eigen beoordelingsvermogen, is het kunnen detecteren van phishing berichten essentieel. 

Er zijn verschillende manieren om werknemers bewust te maken van het gevaar van phishing en hoe ze het kunnen herkennen. InfoSecure en Threadstone zijn bijvoorbeeld twee Nederlandse bedrijven die zich specialiseren in werknemers “cyberbewust” maken. Dit doen ze allebei onder andere door een phishing-simulatie. Dit houdt in dat werknemers op onverwachtse momenten neppe (maar realistische) phishing e-mails krijgen zodat getest wordt of ze hierop voorbereid zijn. Ook bieden beide bedrijven e-learning tegen phishing aan. 

Het handige is dat dergelijke oplossingen erg bruikbaar zijn voor thuiswerkers, omdat werknemers niet in dezelfde ruimte hoeven te zijn om getrained te worden.

Maak tijd voor thuiswerkers en geef ze het gevoel dat ze gehoord worden

Iets waar we vaak niet bij stil staan is dat op afstand van elkaar werken een extra barrière kan creëren om elkaar even snel om hulp te vragen. Dit is natuurlijk het laatste dat je wilt als het gaat om phishing. Het is zonde als een werknemer een bericht niet helemaal vertrouwt, maar door tijdsdruk of omdat hij/zij niet het gevoel heeft een collega/baas hiermee “te kunnen storen” een inschattingsfout maakt en de phisher aan gevoelige informatie helpt.  

Om dit te voorkomen is het belangrijk om werknemers duidelijk te maken dat ze met dit soort vragen bij hun leidinggevende of een collega die veel over IT en cybersecurity weet (bijvoorbeeld de IT-specialist) terecht kunnen, al lijkt deze vraag voor de werknemer nog zo triviaal. 

Zorg dat firewalls en spamfilters op orde zijn

Het is lastiger om toezicht te houden op thuiswerkers en een idee te krijgen van hoe serieus ze cybersecurity nemen. Sommige thuiswerkers werken misschien zelfs op een privé laptop of PC die niet voorzien is van basismaatregelen tegen phishing. Denk hierbij aan een degelijke firewall en antivirussoftware (hier later meer over). Dan zijn er ook nog (spam)filters die de meeste e-mailprogramma’s bieden. Gmail bijvoorbeeld, een mailprogramma dat tegenwoordig ook steeds meer door bedrijven wordt gebruikt, biedt een functie die “filters en geblokkeerde adressen” heet. Hiermee kun je e-mails en e-mailadressen filteren om (een deel van de) phishingmails die medewerkers ontvangen te blokkeren. 

Een firewall moet je juist zien als “de volgende beschermlaag” tegen phishing. Als spamfilters een phishing mail er niet uit filteren, kan een goede firewall soms nog voorkomen dat een naïeve medewerker via een phishingmail naar een onbetrouwbare en gevaarlijke website wordt geleid. 

• Zorg dat thuiswerkers goede antivirussoftware hebben

Vaak wordt onderschat hoe belangrijk antivirussoftware is in het licht van phishing. Dit is begrijpelijk, omdat een virusscanner zelf uiteraard geen phishing voorkomt. Echter, behalve de speciale anti- spam en phishing opties die veel virusscanners bieden, is een virusscanner ook zeer belangrijk bij het inperken van de schade van een “succesvolle” phishing email. Veel phishing-aanvallen worden namelijk uitgevoerd met behulp van schadelijke malware (zoals een keylogger) in de e-mail bijlage bijvoorbeeld. Als je geen goede virusscanner op je apparaat hebt, heb je een grote kans dat dit soort malware niet wordt opgespoord voor het grote schade aanricht. 

Daarbij biedt goede antivirussoftware meestal ook een degelijke firewall die helpt bij het blokkeren van gevaarlijke links die vaak in phishing mails zitten. 

Mensenwerk

Uiteindelijk is het herkennen en voorkomen van phishing toch vaak mensenwerk. Echter, de juiste tools en hulpmiddelen kunnen hier zeker bij helpen. Zo kunnen ze ervoor zorgen, bijvoorbeeld in het geval van goede spamfilters, dat werknemers minder grote aantallen phishing e-mails ontvangen en zo minder overweldigd worden. Op deze manier kunnen werknemers hun aandacht selectiever inzetten en houden ze energie over om de meest gevaarlijke phishing mails te herkennen. Daarnaast kunnen antivirussoftware en een goede firewall een laatste redmiddel zijn als er toch iets misgaat. Zodoende besprak dit artikel zowel strategieën gericht op de werknemer en strategieën gericht op tools die de werknemer kunnen beschermen tegen (de gevolgen van) phishing.