Afgelopen week werd een zorginstelling in Alkmaar getroffen door een datalek na een phishingmail. Onbedoeld kwamen zo’n 2.500 e-mailadressen in handen van internetcriminelen. Het is een voorbeeld van hoe één klik enorme gevolgen kan hebben voor de mensen die je bedient, maar ook voor je bedrijf zelf.

Dit is geen uitzondering. We zien dit soort incidenten vaker, en vaak bij organisaties die het “best aardig geregeld hebben”. Maar met een wankele digitale basis kan één phishingmail of gestolen wachtwoord je hele organisatie platleggen. Klantgegevens op straat, reputatieschade, stilgevallen processen: het gebeurt sneller dan je denkt.

Daarom is onze boodschap helder: richt de basis goed in voordat je gaat stapelen met losse maatregelen.

Begin bij Microsoft 365 Business Premium

Wij adviseren standaard een Microsoft 365 Business Premium licentie. Niet omdat we Microsoft partner zijn of deze licenties verkopen (dat doen we niet) maar omdat we simpelweg geen gelijkwaardig Europees alternatief kennen dat zo’n totaaloplossing biedt.

Met Business Premium kun je:

• Toegang strak beheren: alleen inloggen vanuit specifieke landen, alleen via moderne authenticatie en alleen vanaf apparaten die je organisatie beheert.
• Al je apparaten centraal beheren, van laptops en MacBooks tot smartphones. Als een apparaat kwijtraakt wis je het op afstand.
• Direct je e-mail en data beter beveiligen: phishinglinks worden automatisch gescand, kwetsbaarheden worden inzichtelijk gemaakt en virusscanners zijn inbegrepen.

Veel alternatieve e-mailproviders kunnen niet eens multifactor authenticatie (MFA) afdwingen. Dat betekent dat criminelen met alleen een gebruikersnaam en wachtwoord al toegang kunnen krijgen. Het grootste risico zit hier in het hergebruik van wachtwoorden: als jouw inloggegevens ooit bij een ander lek zijn buitgemaakt, kunnen ze die zonder moeite hergebruiken om jouw e-mailaccount over te nemen. Je hoeft zelf niet eens iets fout te doen om kwetsbaar te zijn.

Maak onderscheid tussen beheer en dagelijks gebruik

We zien vaak dat ondernemers met één account werken dat tegelijk gebruiker en beheerder is. Dat lijkt handig omdat je alles onder één login hebt maar het maakt je organisatie extreem kwetsbaar.

Ons advies: Haal beheerdersrechten van je reguliere werkaccount af

Als je werkt met een account dat tegelijk beheerder is en je klikt op een phishinglink, loop je het risico dat een crimineel via app registraties of API koppelingen diep in je omgeving kan komen. Zonder dat je het doorhebt kunnen ze machtigingen aanvragen waarmee ze toegang krijgen tot e-mail, bestanden, klantgegevens en zelfs back-ups.
Door de beheerdersrechten te verwijderen van je reguliere account verklein je dat risico aanzienlijk.

Gebruik een apart beheeraccount alleen voor belangrijke wijzigingen.

Je gebruikt ook niet dezelfde sleutel voor je voordeur en je kluis. Waarom zou je dat met je accounts wel doen?

Maak een apart beheeraccount dat je alleen gebruikt voor belangrijke wijzigingen in je IT-omgeving, zoals het toevoegen van een nieuwe medewerker of het aanpassen van instellingen. Je dagelijkse werkaccount gebruik je uitsluitend voor je normale werkzaamheden. Zorg er daarbij voor dat dit beheeraccount een sterk en uniek wachtwoord heeft dat je nergens anders gebruikt.

Omdat je het beheeraccount nauwelijks gebruikt, is de kans veel kleiner dat het slachtoffer wordt van phishing of malware. En nog een voordeel: dit account heeft geen licentie nodig, dus het kost je niets extra.

Denk verder dan techniek alleen

De digitale basis staat of valt niet alleen met goede tools maar vooral met hoe je ze gebruikt. Er zijn drie dingen die wij altijd aanraden omdat ze de grootste impact hebben op je digitale veiligheid.

Apparaten automatisch bijwerken

Iedere laptop, telefoon of server heeft regelmatig updates nodig. Die updates bevatten vaak beveiligingspatches: reparaties van fouten die criminelen kunnen misbruiken.

Waarom belangrijk?
Als je updates uitstelt of overslaat laat je bekende beveiligingsgaten openstaan. Cybercriminelen weten precies welke kwetsbaarheden er in oudere softwareversies zitten en scannen continu het internet op zoek naar apparaten die niet up-to-date zijn. Eén apparaat met zo’n open deur kan al genoeg zijn om toegang te krijgen tot jouw computer en vanaf daar verder het netwerk in te gaan.

Wat kun je doen?
Met Business Premium kun je ervoor zorgen dat apparaten zoals Windows pc’s, MacBooks en iPhones automatisch hun systeemupdates installeren. Let wel: dit geldt vooral voor updates van het apparaat zelf. Applicaties zoals Zoom of 7-Zip moet je nog steeds apart goed bijhouden.

Back-ups maken en testen

Back-ups zijn je reddingslijn als er iets misgaat door een cyberaanval, menselijke fout of hardwareprobleem.

Waarom belangrijk?
Veel ondernemers denken “we hebben een back up dus we zitten veilig”. Maar bij een incident blijkt die back-up vaak niet volledig of niet terug te zetten. Dan ben je alsnog alles kwijt en ligt je bedrijfsvoering stil.

Wat kun je doen?
Maak een back-up van je belangrijkste data en test regelmatig of je die ook echt kunt herstellen. Let op: Microsoft 365 maakt standaard geen volledige back-ups van je gegevens. Daarom is het belangrijk om een aanvullende back-upoplossing te gebruiken die je hele M365 omgeving veilig opslaat.

Medewerkers structureel trainen

De meeste cyberincidenten beginnen bij mensen en niet bij techniek. Een verkeerd geklikte link of per ongeluk doorgestuurde gegevens: zo begint het merendeel van de cyberincidenten.

Waarom belangrijk?
Je kunt je techniek nog zo goed regelen maar als medewerkers niet weten hoe ze risico’s herkennen blijft je organisatie kwetsbaar. Lange e-learningmodules verdwijnen vaak in de la zonder dat iemand er echt iets van opsteekt.

Wat kun je doen?
Zorg voor korte regelmatige trainingen met herkenbare voorbeelden. Realistische phishingtests kunnen daarbij helpen, niet als toets maar om even dat bewustwordingsmoment te creëren: zo simpel en snel kan het fout gaan.

Conclusie: bouw een digitale basis die meegroeit met je organisatie

Als je deze onderdelen combineert multifactor authenticatie, goed updatebeheer, het beheren van apparaten, betrouwbare back-ups, bewustwording bij medewerkers en het scheiden van beheerders- en gebruikersaccounts – leg je een solide fundament. Je verkleint niet alleen de kans dat criminelen binnenkomen maar je zorgt er ook voor dat je organisatie kan doorgroeien zonder steeds opnieuw te moeten sleutelen aan de basis.

Microsoft 365 Business Premium helpt je om dit mogelijk te maken. Je kunt apparaten centraal beheren en automatisch up-to-date houden, toegangsregels instellen die passen bij jouw organisatie en e-mailbeveiliging goed inregelen. Back-ups moet je aanvullend nog steeds apart regelen maar ook daar biedt dit platform de juiste mogelijkheden om dat goed te ondersteunen.

En hoewel wij geen Microsoft partner zijn en geen licenties verkopen zien we simpelweg geen gelijkwaardig Europees alternatief dat dit zo compleet en schaalbaar in één pakket biedt.

Wacht niet tot een incident je dwingt om in actie te komen. Zet vandaag de stap om je digitale fundament goed neer te zetten. Wij helpen je daar graag bij: Samen met je huidige IT partner of zelfstandig: Als je maar in beweging komt.