image

"Laat werknemers privémail niet voor werk gebruiken"

maandag 1 mei 2017, 16:46 door Redactie, 2 reacties

Organisaties en bedrijven die cybercriminelen en cyberspionnen buiten de deur willen houden moeten het gebruik van privémail door hun werknemers voor werkzaken verbieden. Dat adviseert anti-virusbedrijf Trend Micro. Vorige week publiceerde de virusbestrijder een uitgebreid rapport (pdf) over een groep hackers genaamd Pawn Storm, die ook bekendstaat als APT28 en Fancy Bear.

De groep maakt voornamelijk gebruik van phishingaanvallen om toegang tot accounts te krijgen, alsmede OAuth, waarbij slachtoffers naar domeinen worden geleid die erg op die van bijvoorbeeld Google of hun werkgever lijken. Er zijn echter verschillende maatregelen die organisaties kunnen nemen om de kans op een succesvolle aanval te verkleinen. Zo wordt geadviseerd om het aantal beheerde domeinen te beperken en e-mailservers te centraliseren. Verder moeten werknemers die op afstand werken verplicht een vpn gebruiken om toegang tot de bedrijfssystemen te krijgen.

Ook doen organisaties er verstandig aan om tweefactorauthenticatie voor de zakelijke webmail in te stellen, waarbij inloggen via een fysieke usb-sleutel de voorkeur heeft. Trend Micro adviseert organisaties ook om hun personeel te onderwijzen om hun eigen gratis webmail- en socialmedia-accounts te beveiligen en deze accounts niet voor werk te laten gebruiken. Verder moet gevoelige informatie niet onversleuteld in e-mailboxes worden opgeslagen en mag gevoelige informatie niet onversleuteld worden verstuurd.

In het geval werknemers naar het buitenland moeten reizen, bijvoorbeeld om een conferentie bij te wonen, wordt aangeraden een schone "leencomputer" mee te geven en die na de reis te wissen en opnieuw te installeren. "Hoewel groepen zoals Pawn Storm personen als Colin Powell en Hillary Clinton als doelwit hebben, of groepen zoals het Democratic National Committee (DNC) en het Wereld Anti-Doping Agentschap (WADA), zijn er proactieve beschermingsmaatregelen die genomen kunnen om de beveiliging aan te scherpen", aldus Ed Cabrera van Trend Micro.

Reacties (2)
02-05-2017, 09:35 door Anoniem
Tjonge, als je dit nog moet regelen in je bedrijf ben je wel aardig laat.

Dat centraliseren is inderdaad een punt. Tegenwoordig heb je van die trendy providers (die zich bij voorkeur laten leiden door de marketing afdeling) die dan ineens het .email tld gaan gebruiken voor andere services.
Als klant betekend dat dan dat je elke keer weer een certificate moet gaan checken voor een ander gebruikt tld, echt dom. Ik heb opensrs hier ook al opgewezen, ben benieuwd of ze er wat aan doen.

Voor een nieuw initiatief ga ik nog een stap verder.

- tijdens dienst verband, geen publieke communicatie over je huidige functie. (Dus geen linked in profiel, dat update je maar als je de toko hebt verlaten)
03-05-2017, 22:51 door Anoniem
Door Anoniem:
Voor een nieuw initiatief ga ik nog een stap verder.

- tijdens dienst verband, geen publieke communicatie over je huidige functie. (Dus geen linked in profiel, dat update je maar als je de toko hebt verlaten)

Nu Microsoft LinkedIn heeft overgenomen en het overal begint in te verwerken, good luck met uw initiatief.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.