Sign in Subscribe

Digitale ongelukken (deel 2)

Last updated on 

Recentelijk heeft Bol.com van de rechter meer dan 750.000 Euro moeten betalen aan Brabantia. Bol.com had de factuur van Brabantia al betaald. Althans dat dachten ze. Maar het mailadres van een medewerker van Brabantia was gehackt. Vanuit dat mailadres was een mail gestuurd naar Bol met de melding dat het bankrekeningnummer gewijzigd was. Een medewerker bij Bol.com had die wijziging van bankrekeningnummer klakkeloos doorgevoerd. Met als gevolg dat de betaling naar criminelen ging in plaats van naar Brabantia.

Op zich had de medewerker bij Bol.com ook even wat zaken kunnen checken. Is het logisch dat er via mail een bankrekeningnummer wijziging wordt doorgegeven van zo’n grote leverancier? Is die medewerker bevoegd om die wijziging door te geven? Misschien even bellen om te dubbelchecken? Is het logisch dat een Nederlandse leverancier een bankrekening in Spanje gaat gebruiken?

De rechter vond ook dat de medewerker van Bol.com iets meer veiligheidsbewustzijn had mogen tonen. Daarom mocht Bol.com nog een keer 750.000 Euro betalen maar nu op de juiste bankrekening.

Sinds het voorbeeld van Bol.com zijn er alleen al in Nederland meer dan 500 organisaties slachtoffer geworden van dit soort praktijken. Dagelijks zijn er nieuwsberichten over datalekken en bedrijven die digitaal gegijzeld worden.

Jouw organisatie gaat er misschien net als veel andere gemakkelijk vanuit dat de ICT-afdeling of ICT-partner de technische maatregelen heeft genomen om alles te beveiligen. Die aanname bevat ten minste drie risico’s. Ten eerste je weet niet of die maatregelen daadwerkelijk zijn genomen. Ten tweede je weet niet of de maatregelen afdoende zijn en of ze up-to-date worden gehouden. Ten derde technische maatregelen bieden je nooit volledige bescherming. Het is altijd maar een deeloplossing.

Want zoals het Bol.com voorbeeld aantoont, het grootste gevaar is gebrek aan veiligheid door onwetendheid, nalatigheid of gemakzucht.

Daarom drie tips om digitale ongelukken te voorkomen.

  • Laat een onafhankelijke partij je veiligheid en compliance checken of vraag om een assurance (ISAE3402 of ISAE3000).
  • Laat je medewerkers periodiek een verplichte veiligheidsbewustzijn training volgen.
  • Laat je bedrijf eens ‘hacken’ zowel technisch als met social enginering.

Meer om over na te denken

Digitale ongelukken (deel 2)
De impact van digitale fraude en 3 tips om digitale ongelukken te voorkomen
mmthinkAnton Loeffen
De prijs van veilig werken
Wat als je primaire bedrijfsproces stil komt te liggen? Beveiliging is kostbaar maar als je slachtoffer wordt van van cybercrime vallen deze kosten al snel in het niet bij de schade.
mmthinkAnton Loeffen