In het digitale tijdperk van tegenwoordig vormt e-mail de basis van communicatie voor bedrijven van elke omvang, maar ook een aanzienlijke uitdaging op het gebied van beveiliging, met name voor kleine bedrijven. Omdat cyberbedreigingen zich blijven ontwikkelen en steeds geavanceerder worden, is het nog nooit zo belangrijk geweest om gevoelige informatie te beschermen en de vertrouwelijkheid van e-mailcorrespondentie te waarborgen.
De afgelopen jaren is het aantal cyberaanvallen via e-mailservers van bedrijven over de hele linie enorm gestegen. Dit zou geen verrassing moeten zijn, gezien in de afgelopen jaren over de hele wereld steeds meer mensen op afstand zijn gaan werken. Maar nu werken op afstand niet meer weg te denken is, komt het voor de meeste specialisten op het gebied van cyberbeveiliging als verrassing dat veel organisaties (met name kleine bedrijven, die het meest kwetsbaar zijn voor dit soort aanvallen) geen basispraktijken voor cyberbeveiliging hebben geïmplementeerd om hun systemen te beschermen tegen Business Email Compromise (BEC) en andere traditionelere vormen van cyberaanvallen via e-mail.
Business Email Compromise (BEC) is een ernstige vorm van digitale fraude en afpersing waarbij wordt geprobeerd te profiteren van de dagelijkse massale e-mailcommunicatie tussen bedrijven. Cybercriminelen doen zich via een gecompliceerd proces van social engineering voor als een werknemer of vertrouwde zakenpartner en overtuigen slachtoffers bij hetzelfde bedrijf om gevoelige informatie of geld naar een verborgen account te sturen. Deze soorten aanvallen variëren in ernst, maar zijn meestal zeer kostbaar voor het bedrijf waarop de aanval gericht is. Om die reden hebben we ervoor gekozen deze gids te maken met best practices, richtlijnen, protocollen en beleid betreft e-mailbeveiliging, speciaal ontwikkeld voor kleine bedrijven (deze praktijken gelden evenzeer voor organisaties van elke omvang). Het is tijd om ervoor te zorgen dat de e-mails van je kleine bedrijf veilig blijven en dat gevoelige informatie uit handen blijft van ongewenste kijkers.
Best practices voor e-mailbeveiliging in kleine bedrijven
De best practices betreft e-mailbeveiliging voor kleine bedrijven zijn vergelijkbaar met die voor grote organisaties, ze helpen namelijk bescherming te bieden tegen de drie voornaamste typen cyberaanvallen via e-mail: phishingscams, spearphishingaanvallen en factuurfraude. Laten we beginnen met de essentiële beveiligingsmaatregelen voor e-mails:
Zakelijke e-mailaccounts zijn voor zaken
Het lijkt misschien vrij simpel en duidelijk, maar het is de moeite waard om er voor het geval dat op te wijzen. Het kan verleidelijk zijn om je zakelijke e-mail te gebruiken om je aan te melden voor of in te loggen bij bepaalde services waar je met je persoonlijke accounts geen toegang toe hebt. Door het e-mailadres van je bedrijf te gebruiken voor je persoonlijke online activiteiten, geef je een oplichter echter de mogelijkheid om je gemakkelijker te profileren, wat kan leiden tot een veel gerichtere cyberaanval. Ook als je je pc of Wi-Fi-thuisnetwerk gebruikt, die beide meestal niet zo veilig zijn als een zakelijke verbinding of de aangepaste apparaten die op je werkplek worden gebruikt, is de kans groter dat hackers je zakelijke gebruikersgegevens stelen. Dit brengt ons ook bij de volgende best practice.
Gebruik je zakelijke e-mail niet op openbare Wi-Fi
Openbare Wi-Fi is de perfecte gateway voor hackers en cybercriminelen om toegang te krijgen tot je apparaat en je gevoelige gegevens te stelen, zelfs als je gebruikmaakt van het veilige apparaat van je bedrijf om je zakelijke e-mailaccount te openen. Als je toch gebruik moet maken van een openbare verbinding, raden we aan een VPN te gebruiken om verbinding te maken met je belangrijke zakelijke servers en je algehele endpointbeveiliging te verbeteren. Een Virtual Private Network (VPN) werkt door een soort versleutelde privétunnel te creëren tussen de externe computer van de gebruiker en de speciale servers van de organisatie. Hiermee worden alle gegevens die je over een onbeveiligd netwerk verstuurt beschermd door middel van realtime encryptie. Kijk eens naar ons artikel "Wat is een VPN?" voor meer informatie over VPN's en hoe ze werken.
Sterke wachtwoorden en wachtwoordzinnen
Als het gaat om het hacken van een e-mailaccount voor een bedrijf, is de eerste stap een brute force-aanval uitvoeren op het account en proberen je wachtwoord of wachtwoordzin te raden. Daarom raden we al onze werknemers aan 'sterke' wachtwoorden of wachtwoordzinnen te gebruiken. Een wachtwoord wordt als 'sterk' beschouwd wanneer het lang genoeg is (12-14 tekens) en een mix van speciale tekens, cijfers, kleine letters en hoofdletters bevat. Ook voor 'sterke' wachtwoordzinnen gelden ongeveer dezelfde regels, behalve dat deze 15-20 tekens lang moet zijn en (indien mogelijk) letters van andere talen moet bevatten.
Voor elk van deze is het belangrijk te onthouden dat ze uniek moeten zijn en voor slechts één applicatie mogen worden gebruikt. Dit betekent dat je nogal wat wachtwoorden of wachtwoordzinnen nodig hebt, afhankelijk van hoeveel systemen je op je werkplek gebruikt. Om die reden raden we aan een password manager of wachtwoordkluis te gebruiken, die ook een wachtwoordgenerator biedt voor het maken van sterke wachtwoorden, om al je unieke wachtwoorden en wachtwoordzinnen op te slaan. Hoewel wachtwoordkluizen en password managers kunnen worden gehackt, blijven je wachtwoorden evengoed veilig omdat ze versleuteld zijn. Het ontcijferen van encryptie die voldoet aan de industriestandaard, zoals 256-bits AES (Advanced Encryption Standard), is bijna onmogelijk. Dus zelfs als de hacker 'in' de kluis zelf zit, betekent dat niet meteen dat hij iets kan doen met je versleutelde gegevens.
Bewustwordingstraining voor phishingscams en bijlagen
Een van de gemakkelijkste manieren om je bedrijf te beschermen is om te investeren in eenvoudige cyberbeveiligingstraining voor al je werknemers. Als dit voor jouw bedrijf geen optie is, raden we aan je personeel informatie te geven over de gevaren van phishingscams en aanvallen via e-mailbijlagen, ook wel kwaadaardige bijlagen of 'HTML smuggling' genoemd. De belangrijkste punten om te bespreken zijn:
- Bewustwording van veelvoorkomende phishingscams, zoals frauduleuze websites en inlogvensters die de inloggegevens van gebruikers verzamelen en veelvoorkomende pop-upvensters nabootsen, zoals het inlogvenster van Microsoft Outlook.
- Kennis van de meest voorkomende vectoren van e-mailbijlagen waarin malware kan worden verborgen, zoals .DOCX, .HTML en .EXE. Hiertoe behoort ook een recente en populaire vorm van cyberaanvallen via e-mail genaamd HTML smuggling.
- Waarschuw je werknemers om nooit op koppelingen te klikken die er verdacht uitzien of van een onbekende afzender komen. Kwaadaardige koppelingen zijn het makkelijkste middel voor oplichters om een geslaagde cyberaanval uit te voeren op je bedrijf en je werknemers, meestal via een soort phishingwebsite.
Multifactorauthenticatie inschakelen
Een beveiligingspraktijk die vanwege zijn effectiviteit steeds populairder wordt, is multifactorauthenticatie. Multifactorauthenticatie (ook wel MFA, tweefactorauthenticatie of 2FA genoemd) biedt meerdere niveaus van beveiligingscontrole voor je zakelijke e-mailaccounts voordat een werknemer toegang krijgt tot diens berichten. Voorbeelden hiervan zijn een extra wachtwoord, een code uit een beveiligd sms'je of een antwoord op een vooraf bepaalde beveiligingsvraag.
Vergeet niet uit te loggen
Ook dit lijkt misschien het meest voor de hand liggend om te doen wanneer je je zakelijke e-mail gebruikt, maar het is belangrijk om te onthouden dat een groot deel van de cyberbeveiligingsaanvallen begint met ontevreden werknemers die het bedrijf van een voormalige werkgever schade willen toebrengen. Iemands account overnemen en je voordoen als een andere werknemer is een van de eenvoudigste manieren om cybermisdaad te plegen en detectie te omzeilen. Dus, om te voorkomen dat jij of je werknemers nietsvermoedende verdachten worden, moet je ervoor zorgen dat iedereen in je bedrijf niet vergeet uit te loggen na elke sessie en nooit zijn inloggegevens met anderen deelt.
Systemen voor het scannen en beschermen van e-mails
Met de toenemende complexiteit van social engineering-bedreigingen en e-mailgerelateerde cyberaanvallen, is een speciaal systeem voor het scannen en beschermen van e-mails de beste verdediging tegen geavanceerde kwaadaardige e-mailbijlagen en ingesloten scriptaanvallen. We raden een geautomatiseerde anti-virusoplossing aan met machine learning en statische analyse van codes, die de werkelijke inhoud van e-mails evalueert, en niet alleen maar het bestandstype van de bijlage. Voor een geavanceerde online cyberbeveiligingsoplossing raden we Kaspersky Security for Microsoft Office 365 aan. Ons premium pakket, een bekroond systeem voor zowel bedrijven als particuliere gebruikers, wordt geleverd met hulp op afstand en 24/7 ondersteuning.
E-mailbeveiligingsprotocollen en -normen
Een van de meest belangrijke manieren waarop je je zakelijk e-mailsysteem kunt beschermen is door de juiste e-mailbeveiligingsprotocollen te implementeren. E-mailprotocollen worden meestal beschouwd als de eerste verdedigingslinie bij e-mailgerelateerde cyberaanvallen en ze zijn ontworpen om je communicatie veilig te houden wanneer deze door de webmailservices loopt. Voor de duidelijkheid: mailservers leveren e-mailberichten af tussen e-mailprogramma's van ontvangers aan de hand van e-mailprotocollen. De protocollen bepalen hoe de server de berichten moet verwerken en afleveren. Beveiligingsprotocollen verifiëren en authenticeren dit proces.
Er zijn een aantal verschillende protocollen die je kunt gebruiken om je zakelijke e-mail te beveiligen:
- SPF - hiermee kunnen eigenaren van e-maildomeinen identificeren en verifiëren wie bevoegd is om hun domeinnamen te gebruiken bij het verzenden van e-mails.
- DMARC - hiermee kunnen domeineigenaren op de hoogte worden gebracht en reageren wanneer een bericht niet is geauthenticeerd.
- SMTPS en STARTTLS - versleutelen e-mailverkeer tussen klanten en servers.
- DKIM - hiermee kan de gebruiker worden gekoppeld aan een digitale handtekening voor authenticatie.
- S/MIME - bepaalt hoe je gegevens versleutelt en authenticeert die in MIME zijn geformatteerd.
- OpenPGP - is gebaseerd op het Pretty Good Privacy-framework en is een encryptie- en authenticatienorm voor e-mails.
- Digitale certificaten - bieden de mogelijkheid om de gegevens van de afzender te verifiëren via eigendom van de publieke sleutel.
- SSL/TLS - wordt niet direct gebruikt voor e-mailbeveiliging, maar versleutelt netwerkverkeer tussen servers (omvat webmailberichten) omdat dit voor HTTPS wordt gebruikt.
Veel populaire e-mailproviders gebruiken SPF, DKIM en DMARC (geconfigureerd via de DNS-records) om de privacy van hun gebruikers te beschermen. We raden aan om ten minste deze drie te implementeren voor je zakelijke e-mailsysteem.
Beleid, richtlijnen en naleving voor e-mailbeveiliging
Beleid, richtlijnen en naleving voor e-mailbeveiliging definiëren de regels en voorschriften voor het gebruik van zakelijke e-mailaccounts op het werk. Elk van de bovenstaande punten zou een belangrijk onderdeel moeten zijn van het e-mailveiligheidsbeleid van je organisatie. Daarnaast moeten deze richtlijnen ook regels bevatten betreft:
- Gebruikerstoegang en apparaatgebruik.
- Gegevensverwerking en -opslag.
- Regels voor het doorsturen, verwijderen en bewaren van e-mails.
- De reikwijdte van het beleid, inclusief netwerk- en systeemgebruik.
- Ethisch handelen en gepast gedrag.
- Wachtwoordencryptie en overige beveiligingstools die worden gebruikt in e-mailclients.
- Trainingsmateriaal voor cyberbeveiliging gerelateerd aan e-mailmalware en hoe je frauduleuze bijlagen, koppelingen of berichten kunt herkennen.
- E-mailmonitoring en registratiepraktijken voor werknemers door je bedrijf.
- Waar en hoe je melding moet maken van malware, bedreigende of illegale inhoud die je via e-mail hebt ontvangen.
Kortom, elke organisatie, van een klein bedrijf tot een grote onderneming, zou een Security Compliance Model (SCN) moeten hebben waarin het bovenstaande onderwerp duidelijk wordt uitgelegd en gedefinieerd. Deze richtlijnen dienen als een wettelijk kader (afdwingbaar door de nationale overheid) dat de privacy en beveiliging van alle inhoud in de e-mails van het bedrijf kan waarborgen. Dit is met name belangrijk omdat klanten en partners meer op hun hoede zijn voor bedrijven die de digitale communicatie schenden.
In het huidige digitale landschap is e-mail onmisbaar voor zowel kleine als grote bedrijven, maar e-mail is ook een doelwit bij uitstek voor cyberaanvallen. Nu werken op afstand steeds gebruikelijker wordt, neemt het risico op cyberaanvallen via e-mail toe. Bescherm je klein bedrijf moeiteloos met Kaspersky Small Business Security, dat speciaal is ontworpen om aan de behoeften van je kleine bedrijf te voldoen.
Gerelateerde artikelen:
- Wat zijn Password Managers en zijn ze veilig?
- Hoe versleutel je e-mails in Outlook, Gmail, iOS en Yahoo?
- Spammails stoppen: tips en advies?
- Phishinge-mails: hoe herken en ontwijk je oplichting via phishinge-mails?
Aanbevolen producten: