Eind januari had ik een weekje vakantie, heerlijk! Omdat er op dit moment niet gek veel te doen is (iets met Corona), had ik mezelf als doel gesteld om in ieder geval het boek “Ik weet je wachtwoord” van Daniël Verlaan te lezen. Nou, dat heb ik geweten… Binnen no-time was ik door het boek heen, alleen het veranderen van alle wachtwoorden voor al mijn 170 (!) online accounts en het aanpassen van diverse privacy instellingen, nam vervolgens twee volledige dagen in beslag. Ik heb me in ieder geval geen moment hoeven te vervelen die week.

Dat het slecht gesteld was met mijn wachtwoorden – en daarmee mijn online veiligheid – wist ik overigens eigenlijk wel – shame on me als online marketeer… Maar dat het zo erg was, dat was ook voor mij even schrikken. Sowieso zou ik iedereen aan willen raden om “Ik weet je wachtwoord” te lezen, maar omdat het dusdanig belangrijk is – niet alleen voor personen, maar juist ook voor bedrijven – wil ik vandaag toch graag vast 6 tips delen waarmee je jouw bedrijf veilig online kunt houden.

Waarom is online veiligheid voor bedrijven zo belangrijk?

“Het internet is een wereld vol mogelijkheden – ook voor criminelen”, aldus Daniël Verlaan op de achterkant van zijn succesvolle boek. Als online marketeer was ik daar natuurlijk al wel van op de hoogte, maar ik besef me nu pas dat ik eigenlijk de voordeur wagenwijd open had staan voor deze criminelen. Nou ben ik als individu in de meeste gevallen een “leuk” target voor een paar honderd (of duizend) euro. Maar het grote geld zit natuurlijk bij bedrijven. Dat daar de voordeur óók vaak wagenwijd openstaat, blijkt wel uit de vele nieuwsberichten over gelekte data en hacks die je wekelijks voorbij ziet komen.

Groot datalek bij de GGD

Denk bijvoorbeeld maar eens aan het datalek bij de GGD in januari 2021. Onbegrijpelijk hoe dat mogelijk is. Namen, adressen, BSN-nummers en andere persoonsgegevens van mensen die zich de afgelopen periode hebben laten testen op corona liggen voor het oprapen, zo ontdekte toevallig ook Daniel Verlaan (schrijver van het boek). Genoeg potentie om weer zeer gerichte aanvallen mee uit te voeren: de eerste pogingen tot phishing en WhatsApp-fraude zijn al opgedoken. Een ander voorbeeld is de recente hack van de database met personen die ooit een ‘Ledger’ gekocht hebben, een beveiligde USB-stick waar men onder andere Bitcoin-codes veilig op kan opslaan. Gebruikers worden nu zelfs bedreigd, want ja: wie een Ledger heeft, die zal ook wel Bitcoin hebben, toch?

AVG

Volgens mij is het wel duidelijk waarom het dus zo belangrijk is voor bedrijven om de online veiligheid op orde te hebben. Dagelijks werken we met tal van gevoelige persoonsgegevens en bedrijfsdata, zowel interne als externe data. Deze data dien je als bedrijf te beschermen. Het is niet voor niks dat een wet als de AVG in het leven is geroepen.

Goed, genoeg angst gezaaid, tijd voor tips om jouw bedrijf te beveiligen:

Tip 1: gebruik goede wachtwoorden!

Wachtwoorden zijn de sleutels om deuren te openen. Ben je eenmaal binnen – bijvoorbeeld in een e-mailprogramma – dan kun je vaak óveral bij. Een slecht wachtwoord heeft een hacker binnen enkele seconden gekraakt. Voorbeelden van slechte wachtwoorden zijn 12345, 54321, welkom, Welkom01, wachtwoord, etc. Toch zijn dit wachtwoorden die – zeker bij de indiensttreding van nieuwe medewerkers of bij het aanmaken van nieuwe accounts – veelvuldig door bedrijven (en overigens ook particulieren) gebruikt worden.

Gebruik lange wachtwoorden met veel random woorden, cijfers en tekens

Natuurlijk zijn bovenstaande voorbeelden gemakkelijk te onthouden en door te geven, maar laten we met z’n allen beginnen om hiervoor gewoon sterke wachtwoorden te gebruiken. Het liefst lekker lange wachtwoorden, bestaande uit meerdere random woorden, cijfers en tekens. Je zou er bijvoorbeeld een zinnetje van kunnen maken om te onthouden. Dus niet meer Welkom01, maar Tm!FD*tJ#RBnt (Tim! Fijn dat je er bent). En verzin voor de nieuwe medewerker Thijs dan iets anders, dus niet Ts!FD*tJ#RBnt, maar YtOR!Wb*n5 (Yo Thijssie Ouwe Reus! Welkom bij Ons). Anders wordt het na verloop van tijd door herhaling weer te makkelijk.

Of nog beter: gebruik een Password Manager voor jouw bedrijf (zie tip 2).

Kies een WordPress wachtwoord zorgvuldig

Een veel voorkomend probleem: je surft naar jouw website en in plaats van je eigen website word je doorgelinkt naar een pagina vol advertenties en links die niets met jouw bedrijf of organisatie te maken hebben: jouw WordPress-account is gehackt. Dat is vervelend voor je bezoekers, maar zorgt er ook voor dat hackers wellicht bij persoonsgegevens kunnen óf zelfs jouw database hacken om deze te gebruiken voor bijvoorbeeld phishing. Gebruik dus ook voor WordPress (voor alle gebruikers!) een goed wachtwoord.

Bonustip: wil je weten of jouw e-mailadres gehackt is (en zelfs de exacte wachtwoorden inzien die op straat voor het oprapen liggen)? Check dan eens de websites ‘ScatteredSecrets en ‘Have I been Pwned’.

Tip 2: gebruik een Password Manager (wachtwoordmanager)

Wil je een stapje verder gaan met goede wachtwoorden gebruiken? Maak dan gebruik van een Password Manager voor jouw bedrijf. Weet je nog dat ik het hierboven had over de 170 accounts waarvan ik mijn wachtwoord heb aangepast? Toen ik voor al deze accounts één van de 4 variaties van 2 wachtwoorden gebruikte, was dit wel te onthouden (of je moest hooguit een paar keer gokken). Maar met 170 goede, lange, unieke wachtwoorden wordt dit een stuk lastiger. De oplossing: een Password Manager.

Extra sloten op de voordeur

Werk je voor jezelf dan volstaat in de meeste gevallen een ingebouwde Password Manager, zoals bijvoorbeeld die van Google Chrome of de Password Manager van Apple. Een nadeel van deze ingebouwde Password Managers is wel dat ze vaak (nog) niet met elkaar samenwerken (dus gebruik je Apple dan moet je ook Safari gebruiken en werkt het niet in Chrome, en visa versa met Google). Gelukkig zijn er ook diverse Password Managers die wél in verschillende applicaties te gebruiken zijn. En mocht je meer medewerkers in dienst hebben en ook wachtwoorden willen delen, ook dan is het gebruiken van Password Manager-software een betere optie. Bedenk voor de Password Manager het beste wachtwoord dat je ooit hebt gehad en genereer vervolgens automatisch voor elk account een uniek wachtwoord. Het duurt even om alles aan te passen en in de manager te zetten, maar daarna kan hooguit één account per keer gehackt worden. Dat zijn heel wat extra sloten op de voordeur.

Beste Password Manager

Zelf heb ik al mijn wachtwoorden in LastPass gezet. Deze tool heeft een uitgebreide gratis versie die voor particulieren zeer goed te gebruiken is. Andere veelgebruikte Password Managers zijn 1Password en Dashlane. Deze laatste gebruiken wij bij Pure voor het hele bedrijf. Wil je een Password Manager voor het hele bedrijf gebruiken? Dan moet je vaak wel betalen. Maar die “paar euro” om gevoelige data te beschermen, moet nooit een probleem zijn.

Bonus: Niemand weet het wachtwoord meer!

Password Managers kunnen dankzij apps en extensies gebruikersnamen en wachtwoorden automatisch invullen. Zo hoef je jouw personeel nooit meerdere wachtwoorden te verstrekken om in te kunnen loggen, maar slechts één hoofdwachtwoord om aan te melden voor de Password Manager. Vervolgens geef je ze toegang tot de accounts die voor hem of haar relevant zijn. Scheelt ook weer alle wachtwoorden aanpassen wanneer iemand uit dienst gaat (want dat doen we al wel, toch?).

Tip 3: stel tweestapsverificatie in waar mogelijk

Met tweestapsverificatie is het niet langer mogelijk om enkel met een gebruikersnaam en wachtwoord in te loggen. Dit heb je ongetwijfeld al wel eens meegemaakt: nadat je jouw gebruikersnaam en wachtwoord hebt ingevuld (of automatisch in hebt laten vullen door jouw Password Manager), krijg je dan bijvoorbeeld een sms’je of een code per e-mail om te bevestigen dat jij het écht bent. Pas na het invoeren van die code krijg je toegang tot het account.

Wanneer een hacker toegang heeft tot jouw sms-account of e-mailbox heeft dit natuurlijk weinig toegevoegde waarde. Maar ervan uitgaande dat je deze goed beveiligd hebt, is dit een uitstekende manier om jouw accounts beter te beveiligen. Er zijn tal van diensten die dit automatisch aan hebben staan of die je de mogelijkheid bieden om tweestapsverificatie aan te zetten, zoals Mailchimp, Google en Facebook. Indien je écht een stap verder wilt gaan, zijn er ook Authenticator Apps en zelfs USB-sticks die dit óók kunnen verzorgen. Maar begin eerst maar eens met een sms’je of code per e-mail. 

Tip 4: wacht niet met het installeren van updates

Programma’s en besturingssystemen, zowel online als op jouw computer, laptop of telefoon blijven zich continu updaten om ervoor te zorgen dat jij hier zo veilig mogelijk gebruik van kunt (blijven) maken. Een voorbeeld van updates zijn de nieuwe besturingssystemen van Apple en Windows, updates van browsers als Chrome en Internet Explorer, programma’s als Word, Excel en Photoshop, website CMS’en als Drupal, Joomla en WordPress (inclusief de verschillende plug-ins) en ga-zo-maar-door. De redenen voor deze updates zijn soms het verbeteren van het programma of het veranderen van het uiterlijk. Ook komt het regelmatig voor dat er met de update “gaten” en “veiligheidslekken” gedicht worden, waardoor hackers zich niet langer naar binnen kunnen werken.

In januari 2021 kondigde Apple aan dat gebruikers zo snel mogelijk de iOS en iPadOS naar 14.4 moesten updaten, omdat in de vorige update een gat gevonden was. Dit is echt een unicum voor het doorgaans meest veilige besturingssysteem op de markt. Maar het geeft ook aan dat zélfs Apple hiermee te maken kan krijgen. Goed, lang verhaal kort: updates altijd zo snel mogelijk installeren!

Tip 5: ‘medewerkers’

Wellicht niet direct een tip die je hier verwacht had, maar wel een zeer groot veiligheidsrisico: medewerkers. Een heel groot deel van ‘hacks’ en het lekken van informatie komt – al dan niet bewust – door medewerkers (of vrienden, kennissen, bekenden). Dit kan tal van oorzaken hebben. Bijvoorbeeld wanneer een medewerker een laptop of USB-schijf kwijt raakt; of onveilige wachtwoorden gebruikt; of in de trein net iets te hard praat over een bepaalde klant; of zijn laptop in het vliegtuig gebruikt, terwijl de personen op de rij achter hem of haar vrolijk alles mee kunnen lezen. Maar het kan ook dat een medewerker gewoonweg een export maakt van alle data om die vervolgens door te verkopen, zoals bij het voorbeeld van de hack van de GGD het geval was.

Niet alles is te voorkomen, maar veel wel. Stel daarom duidelijke regels op over het gebruik van (gevoelige) data en maak het onderwerp bespreekbaar. Voorbeelden zijn dat medewerkers een goed wachtwoord op hun laptop moeten instellen of geen gebruik mogen maken van openbare wifinetwerken die vaak erg onveilig zijn (in plaats daarvan bied je ze dan de mogelijkheid een hotspot via een eigen mobiele telefoon te kunnen maken). Maar het kan ook al zoiets simpels zijn als het uitdelen van ‘privacy screenprotectors’ ter voorkoming van meelezen wanneer veel medewerkers in het openbaar vervoer hun werk doen.

Tip 6: Maak Back-ups

Soms is er in het geval van een hack een weg terug. De ene keer is dit heel vervelend doordat er bijvoorbeeld ransomware op de computer of server is geïnstalleerd en je diep in de buidel moet tasten om deze op te heffen, waarna je de regie weer terugkrijgt. Maar je hebt dan in ieder geval wel alle data weer terug. Er zijn echter ook situaties denkbaar waarbij alle data in één klap verloren gaat. Van een USB-stick met een volledig project waar dagen werk in zit, tot een gehackte website waar je al jaren energie in steekt, tot een complete server met alle boekhouding, klanten en veel, veel meer.

Tip numero 6 is daarom: maak back-ups. Zorg voor een back-up-server, zet bestanden in de Cloud, maak gebruik van een externe harde schijf. Het maakt niet uit hoe, maar maak back-ups. En ik hoef nu uiteraard niet meer uit te leggen dat je deze back-ups ook goed moet beveiligen. Niet dat je opeens per ongeluk een externe harde schijf in de trein achterlaat die niet beveiligd is, waardoor opeens weer een bak aan data op straat komt te liggen.

Waar wacht je nog op?

Zo, volgens mij genoeg huiswerk om mee aan de slag te gaan! Hopelijk heb ik je zonder al te bang te maken enkele zinvolle tips gegeven om jullie bedrijfsdata beter te beschermen en het bedrijf veilig online te houden. Online veiligheid is niet iets dat wij als dienst aanbieden, maar wel iets waar wij dagelijks mee te maken hebben, gezien de grote hoeveelheden data die wij voor al onze klanten verwerken. Wij nemen dit onderwerp bij Pure dan ook zeer serieus! Mocht je na het lezen van deze tips nog vragen hebben, neem dan zeker contact op. En ook wanneer wij je kunnen helpen met online marketing natuurlijk.