Digitale ongelukken
Recentelijk heeft Bol.com van de rechter meer dan 750.000 euro moeten betalen aan Brabantia. Bol.com had de factuur al betaald. Althans dat dachten ze. Maar het mailadres van een medewerker van Brabantia was gehackt. Vanuit dat mailadres was een mail gestuurd naar Bol met de melding dat het bankrekeningnummer gewijzigd was. Een medewerker bij Bol.com had die wijziging klakkeloos doorgevoerd. Dus ging de betaling naar criminelen in plaats van naar Brabantia.
De medewerker bij Bol.com had ook even wat zaken kunnen checken. Is het logisch dat zo’n grote leverancier via mail een bankrekeningnummerwijziging doorgeeeft? Is die medewerker bevoegd om die wijziging door te geven? Is het logisch dat een Nederlandse leverancier een bankrekening in Spanje gaat gebruiken? De rechter vond ook dat de medewerker van Bol.com iets meer veiligheidsbewustzijn had mogen tonen. Daarom mocht Bol.com nog een keer 750.000 euro betalen, nu op de juiste bankrekening. Sinds het voorbeeld van Bol.com zijn er alleen al in Nederland meer dan 500 organisaties slachtoffer geworden van dit soort praktijken. Jouw organisatie gaat er misschien net als veel andere gemakkelijk vanuit dat de ICT-afdeling of ICT-partner de technische beveiligingsmaatregelen heeft genomen. Die aanname bevat ten minste drie risico’s. Zo weet je niet of die maatregelen daadwerkelijk zijn genomen. Je weet ook niet of ze afdoende zijn en of ze up-to-date worden gehouden. Ten derde: technische maatregelen bieden je nooit volledige bescherming. Drie tips die digitale ongelukken voorkomen:
• Laat een onafhankelijke partij je veiligheid en compliance checken of vraag om een assurance (ISAE3402 of ISAE3000).
• Laat je medewerkers periodiek een verplichte training veiligheidsbewustzijn volgen.
• Laat je bedrijf eens ‘hacken’, zowel technisch als met social engineering.
