Management

Dit is een bijdrage van KnowBe4
Security
Draagt HR verantwoordelijkheid bij het tegengaan van ceo-fraude?

Draagt HR verantwoordelijkheid bij het tegengaan van ceo-fraude?

Organisaties moeten beter nadenken over bescherming tegen dit type fraude

19 januari 2021
Door: KnowBe4, partner

Organisaties moeten beter nadenken over bescherming tegen dit type fraude

Van voetbalclubs en bioscoopketens tot de mkb’er op de hoek: allemaal worden ze slachtoffer van ceo-fraude. Hoe stop je deze vorm van fraude via e-mail, waarbij grote bedragen worden buitgemaakt? En is het een taak voor HR-professionals om daarbij te helpen?

Door Jelle Wieringa, security awareness advocate bij KnowBe4

Plaats jezelf eens in de positie van een ietwat gemakzuchtige internetcrimineel. Je hebt geld nodig, maar weinig tijd. Je weet hoe je mensen online kan bedriegen, maar een doorgewinterde hacker ben je niet. Op welke manier kun je dan succesvol een organisatie aanvallen?

Grote kans dat je voor Business Email Compromise (BEC) – ook bekend als ceo-fraude – zou kiezen. Het is een relatief makkelijke manier om slachtoffers te maken. Je hoeft alleen te weten wie de directeur van een organisatie is, met welke klanten de organisatie zakendoet en hoeveel geld je redelijkerwijs kunt vragen. Met een eenvoudig technisch trucje, het spoofen van het e-mailadres van de directeur, kun je een medewerker in een mailtje overtuigen om geld over te maken naar jou in plaats van een legitieme ontvanger.

Waarom vertel ik dit? Omdat het goed is om je te realiseren hoe gemakkelijk cybercriminaliteit soms kan zijn. En omdat Nederlandse organisaties beter moeten nadenken over hoe ze zichzelf beschermen tegen dit type fraude. Want wie is binnen de organisatie eigenlijk verantwoordelijk voor het tegengaan van BEC?

Weinig met technologie te maken

In de praktijk zie ik vaak dat het tegengaan van ceo-fraude op het bordje van de IT-afdeling ligt, net als de beveiliging tegen vrijwel alle andere vormen van cybercriminaliteit. In het geval van BEC is dat een probleem. IT-afdelingen proberen zich met technologie tegen de dreiging te beschermen. Maar BEC heeft weinig met technologie te maken. De e-mail die een internetcrimineel stuurt, is in dit geval een ‘gewoon’ mailtje. Er zit geen virus aan vastgeplakt dat de alarmbellen doet afgaan bij spamfilter of firewall. Het enige dat de technologie zou kunnen oppikken is het nagemaakte e-mailadres, maar software die in staat is de gebruiker daarvoor te waarschuwen is zeldzaam en zeer kostbaar.

Het verhinderen van BEC bij de IT-afdeling neerleggen is niet genoeg. Verschillende onderdelen van een organisatie zullen moeten samenwerken om het gevaar af te wenden. Grote bedrijven betrekken de HR-afdeling heel actief. Bij BEC is het namelijk de mens die wordt misleidt, niet zozeer de technologie. HR kan een sturende rol vervullen bij het opzetten van controleprocessen en risicomanagement. Bovenal heeft HR de mogelijkheid en ervaring om bewustzijn over BEC te creëren bij medewerkers. Met het aanbieden van training die actuele voorbeelden toont, en medewerkers in een veilige omgeving met die voorbeelden laat omgaan, kan de kans op een geslaagde aanval sterk worden verkleind.

Dat betekent niet dat HR het alleen hoeft te doen. Nog veiliger is het als ook de andere afdelingen meewerken aan het verminderen van de risico’s van de BEC. Als veiligheidsprocessen zoals het vierogenprincipe op iedere afdeling worden nageleefd en er daarnaast effectieve sociale controle is, zal er minder snel geld overgemaakt worden naar louche figuren. Dat een medewerker hulp zoekt op het moment dat hij een verdachte e-mail ontvangt, moet ingebakken zijn in de bedrijfscultuur én de cultuur op de afdeling.

Holistische aanpak

Het afwenden van ceo-fraude vraagt dus om een holistische aanpak, waarbij mens, proces en technologie aandacht krijgen. IT’ers kunnen het gevaar in kaart brengen en het e-mailverkeer monitoren, HR-professionals kunnen zich richten op het bewustzijn en de leercurve van personeelsleden, de afzonderlijke afdelingen kunnen zorgdragen voor een veilige manier van werken.

Deze aanpak is in coronatijd misschien wel belangrijker dan ooit. Thuiswerkers moeten extra beschermd worden tegen valse e-mails die onder tijdsdruk vragen om transacties. Wie niet even bij een collega langs kan lopen om zo’n email te controleren – en daar dus meer moeite voor moet doen – is mogelijk eerder geneigd een bedrag over te maken. Blijf ook thuiswerkers trainen, zorg dat ze werken volgens de afgesproken richtlijnen en ondersteun ze zoveel mogelijk met kennis en oplossingen vanuit de IT-afdeling. Organisaties die daar niet goed over nadenken of naar handelen, kunnen slachtoffer worden van die ietwat gemakzuchtige internetcrimineel.

Reactie toevoegen