Home » Technology » Security » Toegang tot privémail vergroot de risico’s van cybersecurity-inbraken

Toegang tot privémail vergroot de risico’s van cybersecurity-inbraken

Tech Page One

rsz_hands-desk-office-working-Custom

 

E-mail is nog steeds veruit het meest gebruikte zakelijke communicatiemiddel. Veel bedrijven staan toe dat medewerkers ook toegang hebben tot hun persoonlijke e-mail op hun werksystemen. Dit blijkt echter aanzienlijke risico’s met zich mee te brengen, omdat het de kans op cybersecurity-inbraken aanzienlijk vergroot.

Uit een recent online onderzoek van Adobe Systems onder 400 Amerikaanse kantoormedewerkers blijkt dat meer dan 90 procent van hen persoonlijke e-mails leest tijdens het werk. De bevraagde werknemers schatten dat ze gemiddeld 6,3 uur per dag besteden aan het lezen van e-mail, waarvan 3,2 uur werkgerelateerde mail en 3,1 uur persoonlijke mail. Bijna de helft van de respondenten verwacht bovendien dat hun e-mailgebruik voor werk de komende jaren zal stijgen. Maar liefst 19 procent denkt zelfs dat het aanzienlijk omhoog zal gaan. Met zo’n grote toename van e-mailgebruik, zouden de kansen op een beveiligingslek mogelijk nog verder kunnen toenemen.

Beperking en controle

business productivity2Werkgevers hebben in principe het recht om het persoonlijke computergebruik van werknemers te controleren en eventueel te beperken als ze dat nodig vinden. Over het algemeen vallen e-mailberichten niet onder eenpersoonlijke privacywetgeving. Maar ondanks deze controlemogelijkheden, stelt Dell SonicWALL channel partner Michael Crean, President en CEO van Solutions Granted, dat het toestaan ​​van persoonlijke e-mail op zakelijke pc’s, ook als je het controleert, simpelweg het risico niet waard is. Solutions Granted is een klein en ervaren bedrijf, en een gecertificeerd SonicWALL Managed Security Service Provider. Volgens Crean wegen de risico’s van kwaadaardige aanvallen en de daaropvolgende herstelkosten veel zwaarder dan de voordelen van persoonlijk e-mailgebruik toestaan. “Als je medewerkers hun persoonlijke e-mail lezen in de auto, doen ze dat met hun smartphone. Waarom zou dat op de werkvloer anders moeten zijn?”

Risico’s van phishing

Een steeds grotere cybersecurity-bedreiging zijn phishing-e-mails, waarmee door aanvallers pogingen worden gedaan om gevoelige informatie te verkrijgen door zich voor te doen als een vertrouwde entiteit.
“Bij een incident dat door Dell SecureWorks is onderzocht, stuurden aanvallers een phishing-e-mail aan een medewerker van een productiebedrijf om de inloggegevens voor het Citrix-platform te achterhalen. De aanvallers slaagden hierin en kregen toegang tot interne bedrijfsgegevens, waarna ze zich verder een weg door het netwerk baanden. Zo lukte het uiteindelijk om intellectueel eigendom te stelen van het Altris-platform van de organisatie, dat op afstand nieuwe software en patches naar alle endpoints distribueert.”

De meer geavanceerde phishing- aanvallen kun je in twee categorieën verdelen:

  • Indirecte phishing-aanvallen. Aanvallers versturen een reeks van e-mails, meestal gecombineerd met organisatorische informatie uit andere bronnen, zoals LinkedIn, wat uiteindelijk leidt tot een succesvolle phishing-campagne. Een voorbeeld hiervan is dat een werknemer met een phishing-bericht wordt misleid om de inloggegevens van zijn Yahoo e-mail op te geven. Hiermee krijgt de aanvaller toegang tot zijn persoonlijke contactinformatie of agenda. Vervolgens kan hij kwaadaardige e-mails gaan versturen, die ogenschijnlijk van een vertrouwde bron afkomstig zijn.
  • Directe phishing-aanvallen. Cybercriminelen proberen inloggegevens te achterhalen van de bedrijfssystemen. Tijdens Q2 van 2015 vonden security-analisten talloze voorbeelden van phishing-pogingen op Outlook-accounts. Naast e-mailtoegang, worden deze inloggegevens-referenties vaak gebruikt voor domein-logins, waarmee een aanvaller zich vervolgens toegang kan verschaffen tot andere cloud-gebaseerde diensten, zoals Dropbox of Salesforce. Een dergelijke inbraak zou een aanvaller ook direct toegang kunnen geven tot bedrijfsgevoelige informatie.

Phishing wordt ook wel omschreven als een vorm van spam. Volgens Secure List volgen deze berichten veelal hetzelfde patroon. Ze bevatten zeer weinig tekst met een generiek onderwerp van slechts enkele woorden. Verder worden er vaak diverse links naar externe bronnen en felgekleurde afbeeldingen gebruikt. Met extra ‘witte ruis’-tekst, die onzichtbaar is voor de lezer, wordt de rest van de e-mail opgevuld.

Internetportals

De risico’s van phishing mogen duidelijk zijn. Ik adviseer klanten daarom ook om de toegang van medewerkers tot hun persoonlijke e-mail op werkcomputers drastisch te beperken of misschien zelfs te verbieden. Geef de mening van je human resources-team geen voorrang boven de noodzaak van IT-beveiliging. Hanteer daarnaast een strikt internetbeleid en beperk daarmee de risico’s van cybersecurity-inbraken.

 

Kevin Jackson

Kevin Jackson

Kevin L. Jackson is oprichter en CEO van GovCloud Network, een consultancybureau dat zich specialiseert in oplossingen die tegemoetkomen aan belangrijke commerciële en operationele vereisten van de overheid. Daarvoor was hij werkzaam als Vice President en General Manager Cloudservices NJVC, VP Federal Systems bij Sirius Computer Solutions, Worldwide Sales Executive bij IBM, Vice President Global IT Project Office bij JP Morgan Chase en CTO bij SENTEL Corporation. Hij heeft een graad in Computer Engineering aan de Naval Postgraduate School; een graad in National Security & Strategic Studies aan de Naval War College; en een bachelordiploma in Aerospace Engineering van de United States Naval Academy. Hij studeert voor een doctoraat in Applied Information Technology aan de George Mason University Volgenau School of Engineering.

Laatste Artikels:

 

Tags: Security, Technology