Op het internet zijn wel een miljoen tips te vinden over hoe je een start-up overeind houdt. Gewoonlijk vestigen adviseurs de aandacht op kwesties als bedrijfsplanning, marketingstrategie, het werven van extra investeringen, enzovoort, maar in al die artikelen wordt zelden gesproken over het probleem van het opbouwen van een solide cyberbeveiligingssysteem. Het ontbreken van een duidelijk inzicht in bedreigingen kan een start-up echter een potentieel succesvolle onderneming kosten. We besloten om het eens te hebben over de meest typische cyberbeveiligingsfouten en, belangrijker nog, hoe deze te voorkomen.
De bron van het probleem
Dit is een typisch start-upverhaal: jij en je vriend hebben een briljant idee, je bespreekt het met je inner circle, je verzamelt een groep enthousiastelingen, en het dreamteam is klaar. Dit is hoe de verhalen van Airbnb, Pinterest, Twitter, Uber en vele andere beroemde projecten begonnen.
Er ontstaan echter problemen wanneer een start-up van een initieel idee overgaat naar het opbouwen van echte workflows en het inhuren van extra personeel. Op dit punt breidt de kleine groep van gelijkgestemden zich uit en wordt het een team van willekeurige mensen met verschillende visies op het leven en verschillende levenservaringen. In een dergelijk team kunnen de werknemers zeer verschillende opvattingen hebben over welke informatie als vertrouwelijk moet worden beschouwd en hoe deze veilig moet worden bewaard.
Een voorbeeld: een werknemer besluit dat het handig zou zijn om het wachtwoord voor een online dienst op een krijtbord te schrijven – hun gedachte is dat iedereen die het nodig heeft het zo snel en gemakkelijk kan vinden. Een ander personeelslid plaatst een selfie op kantoor op een sociaal netwerk en schrijft daarbij “wie zou er nou iets vertrouwelijks op het krijtbord schrijven, waar iedereen het kan zien”? Dit soort misverstanden is een van de redenen waarom jonge start-ups in de problemen kunnen komen als het gaat om cybersecurity. Het probleem kan alleen worden opgelost door een bedrijfscultuur op het gebied van cyberbeveiliging te ontwikkelen.
Tegelijkertijd zijn mensen die bij start-ups komen werken vaak enthousiastelingen en avonturiers – ze worden snel verliefd op het idee, en kunnen vaak net zo snel weer van interesse veranderen en vertrekken. Bovendien zijn moderne startende ondernemingen vaak afhankelijk van IT-specialisten die in de loop van een aantal jaren van bedrijf naar bedrijf verhuizen.
De combinatie van deze twee feiten kan leiden tot een hoog personeelsverloop. In dergelijke omstandigheden kunnen allerlei fouten gemakkelijk in aantal toenemen, vooral op het gebied van cybersecurity. Daarom is het gemakkelijk om een cyberdreiging over het hoofd te zien die eenvoudig kan worden vermeden.
Typische fouten op het gebied van cybersecurity
Stelt u zich eens voor: u had niet in de gaten hoe uw kleine start-up een volwaardig bedrijf werd. Welke cyberbeveiligingsfouten zou u tot nu toe gemaakt kunnen hebben?
Te veel toegangsrechten
Wanneer een beginnende werknemer toegang nodig heeft tot bedrijfsmiddelen of -diensten, krijgt hij vaak onmiddellijk beheerdersrechten. De persoon die deze toegangsrechten deelt, denkt meestal dat het gemakkelijker is één keer overal toegang toe te geven, zonder de werkelijke behoeften van een bepaalde werknemer en zijn verantwoordelijkheden te begrijpen, dan om elke week nieuwe verzoeken tot toegang te krijgen. Maar hoe meer toegangsrechten een werknemer heeft, hoe groter de kans op een fout wordt. Als u het aantal cyberincidenten tot een minimum wilt beperken, moet elke deelnemer aan de workflow alleen die toegangsrechten hebben die nodig zijn voor zijn of haar taken.
Gebrek aan regels voor informatieopslagsystemen
In het algemeen is dit slecht voor elk bedrijf. Maar binnen een start-up kan het, door het al eerder vermelde personeelsverloop, op een dag gebeuren dat u belangrijke werkbestanden gewoon niet meer kunt vinden. Waarschijnlijk bestaan ze ergens, maar waar precies is de vraag. Een ontwikkelaar of marketing-stagiair wist hier ooit van, maar verliet onlangs het bedrijf zonder het iemand te vertellen.
Vergeten wachtwoorden
Een ander veelvoorkomend probleem zijn vergeten wachtwoorden voor sociale bedrijfsnetwerken of andere zelden gebruikte diensten. Misschien maakt een nieuw personeelslid een Facebook- of LinkedIn-account aan om het bedrijf te promoten, maar deelt hij of zij de accountgegevens niet met andere personeelsleden en vertrekt diegene prompt naar een andere functie. Die inloggegevens zijn nu verdwenen, met weinig kans op herstel.
Gedeelde wachtwoorden
Sommige mensen denken misschien dat het bij een groot verloop een goed idee is om gedeelde accounts te gebruiken. Maar hoe meer mensen een wachtwoord kennen, hoe groter de kans dat het uitlekt door phishing, nalatigheid of kwaad opzet. Bovendien wordt het onderzoek naar een incident, wanneer het zich voordoet, hierdoor aanzienlijk bemoeilijkt. Stel dat blijkt dat iemand toegang heeft gekregen tot een account. De deskundigen vermoeden dat het wachtwoord is onderschept door malware en willen de computer van een werknemer die toegang had controleren. Maar dan blijkt dat iedereen er toegang tot had!
Wachtwoorden in clouddiensten
Een andere fout in verband met wachtwoorden is ze op te slaan in een of ander bestand in Google Docs, omdat een onjuiste configuratie betekent dat zo’n document toegankelijk is voor iedereen met alleen de link. Het voor de hand liggende voordeel is dat het heel handig is om de nodige informatie aan alle werknemers door te geven; het volstaat om alle nodige paswoorden in één document te zetten en een link te sturen. Maar dit soort Google-documenten kan door zoekmachines worden geïndexeerd. Met andere woorden, het bestand met al uw wachtwoorden kan in verkeerde handen vallen.
Gebrek aan tweestapsverificatie
Sommige problemen in verband met wachtwoorden zouden minder gevaarlijk zijn als start-ups de tweestapsverificatie op werkaccounts niet zouden verwaarlozen. Zo kunt u belangrijke gegevens çtegen verschillende diefstalmethoden beschermen, zoals phishing. In de eerste plaats moet een tweestapsbeveiliging worden ingevoerd voor alle financiële diensten, zoals Upwork.
Universele tips voor de preventie van cyberdreigingen
Om de ‘typische’ fouten te vermijden die veel kleine bedrijven en start-ups maken, kunt u proberen deze tips op te volgen:
- Bij het verlenen van toegang tot middelen of diensten dient u het least privilege-principe te volgen. Dat wil zeggen dat een werknemer een minimum aan toegangsrechten moet hebben – precies genoeg om alleen zijn of haar taken uit te voeren.
- Weet precies waar de belangrijke informatie van uw start-up is opgeslagen, en wie er toegang toe heeft. Ontwikkel op basis hiervan richtlijnen voor het aanwerven van nieuwe werknemers, waaronder een duidelijke omschrijving van welke accounts elke werknemer nodig heeft en welke alleen voor bepaalde rollen mogen worden gebruikt.
- Een volwassen bedrijfscultuur op het gebied van cyberbeveiliging helpt veel cyberdreigingen te voorkomen. U kunt bijvoorbeeld beginnen met het opstellen van een cyberbeveiligingshandboek voor werknemers, zodat iedereen op één lijn zit. Hier is een goed voorbeeld voor nieuwe werknemers.
- Alle wachtwoorden moeten worden opgeslagen in een veilige wachtwoordmanager. Het zal uw werknemers helpen om ze niet te vergeten of te verliezen en ook om de kans te minimaliseren dat een buitenstaander toegang krijgt tot uw accounts. Gebruik waar mogelijk ook tweestapsverificatie.
- Adviseer uw werknemers om hun computer te vergrendelen als ze weglopen van hun bureau. Zij moeten er rekening mee houden dat een kantoor kan worden bezocht door allerlei derden, zoals koeriers, klanten, onderaannemers of werkzoekenden.
- Overweeg de installatie van antivirussoftware om apparaten te beschermen tegen virussen, trojans en andere schadelijke programma’s.
Een groot aantal bedreigingen kan worden voorkomen met Kaspersky Small Office Security. Deze oplossing beschermt niet alleen de apparaten van uw werknemers tegen ransomware en andere veelvoorkomende cyberbedreigingen, maar omvat ook een wachtwoordmanager.