Deze week op de agenda bij het managementoverleg bij veel organisaties: “Wat kunnen wij leren van de CEO-fraude bij Pathé?”
Het enorme bedrag van ruim 19 miljoen Euro dat cybercriminelen met CEO-fraude bij de bioscoopketen Pathé hebben buitgemaakt zal deze week in menige managementvergadering worden besproken. En dat is ook belangrijk. We leggen aan de hand van twee vragen uit waarom.
- Hoe groot is de kans dat onze organisatie ook slachtoffer wordt van CEO-fraude of een andere vorm van cybercrime?
- Hoe kunnen wij voorkomen dat onze organisatie ooit zelf slachtoffer wordt van cybercriminaliteit of een menselijke fout van onze eigen medewerkers?
Eigenlijk zou deze vraag ruim vijf maanden na de invoering van de Algemene Verordening Gegevensbescherming (AVG) helemaal niet gesteld hoeven te worden. Want alle organisaties moeten hun privacybeleid eigenlijk nu op orde hebben.
AVG wekelijks op agenda managementoverleg
Aan de andere kant is het juist uitstekend als managers de AVG standaard op de vergaderagenda hebben staan. Is er deze week nog iets gebeurd waar we qua privacybeleid en AVG iets mee moeten doen?
Als het goed is heeft het management alle risico’s in kaart gebracht en zijn er technische en organisatorische maatregelen genomen om problemen zoals bij Pathé te voorkomen.
Budget vragen voor structurele Security Awareness Trainingen
Naar aanleiding van de CEO-fraude bij Pathé is het daarom uitstekend als managers tijdens het managementoverleg nu aandacht en budget vragen voor structurele Security Awareness Trainingen.
Een eenmalige Security Awareness presentatie van een uurtje is dan onvoldoende. Dat levert niets op. De goed opgeleide financieel manager die bij Pathé de mist in ging had jarenlang bij accountantsbureau KPMG gewerkt, had geen goed gevoel bij de opdrachten die hij per mail kreeg, maar ging toch het schip in.
De mens is de zwakste schakel in het cybersecuritybeleid van iedere organisatie.
Die Security Awareness presentatie moet onderdeel zijn van een trainingsprogramma en een privacycampagne binnen de organisatie. Uit onderzoeken blijkt dat alleen medewerkers die regelmatig getraind worden na een jaar werkelijk alert zijn voor alle signalen dat er iets mogelijk niet klopt.
PrivacyZone kan samen met partners een trainingsprogramma en een privacycampagne voor jouw organisatie opzetten. Wij verzorgen presentaties en trainingen op locatie in combinatie met korte maandelijkse security awareness e-learning modules en phishingtests. Medewerkers worden regelmatig op de proef gesteld. Bel 06-31995740 of mail naar info@privacyzone.nl als je meer wilt weten.
Hoe herken je phishing, vishing, shishing, malware of ransomware?
Leer medewerkers – en dus ook managers – hoe ze kunnen herkennen dat er een poging wordt gedaan om door phishing, vishing, shishing, malware of ransomware binnen te dringen in de systemen van de organisatie.
Hoe hadden de verantwoordelijke managers bij Pathé kunnen herkennen dat er iets niet klopte?
Achteraf weet iedereen het beter. Maar wat had jij gedaan als je als manager binnen een bedrijf niet geacht wordt om vragen te stellen over beslissingen van het topmanagement? Als je geacht wordt opdrachten klakkeloos uit te voeren?
Misschien maakt de eigen bedrijfscultuur het cybercriminelen wel erg gemakkelijk om door social engineering autoriteitsgevoelige medewerkers te manipuleren.
AVG houdt niet op bij de website
Veel managers denken ten onrechte nog steeds dat hun organisatie aan de AVG voldoet als de website op orde is.
Sommige managers denken dat het voldoende is om een verwerkingsregister bij te houden.
Veel managers denken dat de AVG pure bureaucratie is.
Pakkans door Autoriteit Persoonsgegevens groter dan je denkt
Denken dat de pakkans als gevolg van een controle klein is omdat de Autoriteit Persoonsgegevens te weinig mensen zou hebben om iedereen te controleren.
Ze vergeten daarbij dan dat de Autoriteit Persoonsgegevens eigenlijk helemaal niet veel hoeft te doen om zwarte schapen op te sporen.
De Autoriteit Persoonsgegevens wordt geholpen door professionele cybercriminelen, slordige medewerkers van bedrijven en slachtoffers van overtredingen van de AVG.
Autoriteit Persoonsgegevens wordt geholpen door proffessionele cybercriminelen
De Autoriteit Persoonsgegevens wordt geholpen door cybercriminelen? Door ethical hackers zeker… Nee echt, door echte professionele cybercriminelen.
Cybercriminaliteit is de snelst groeiende vorm van criminaliteit ter wereld. Er wordt meer geld verdiend met het hacken van computers dan met drugs.
Het risico om slachtoffer te worden van een cybercrimineel is vele maken groter dan het risico om regulier gecontroleerd te worden door de Autoriteit Persoonsgegevens.
Slachtoffers van cybercriminaliteit zijn vanwege de AVG verplicht dat zelf te melden bij de AP
In die zin wordt de Autoriteit Persoonsgegevens geholpen door professionele cybercriminelen. Iedere succesvolle hack door een cybercrimineel heeft voor getroffen organisaties namelijk automatisch tot gevolg dat zij zelf een datalekmelding moeten doen bij de Autoriteit Persoonsgegevens.
Enorme imagoschade door negatieve publiciteit
Daarnaast groeit de kans dat andere slachtoffers van een hack of een datalek door eigen schuld – klanten en medewerkers – een klacht indienen bij de AP en misschien ook publiciteit zoeken.
De directie van Pathé had de CEO-fraude waarschijnlijk graag buiten de media gehouden. De imagoschade is enorm. En daarbij komt nog eens de gigantische financiele schade.
Door de AVG is het echter vrijwel onmogelijk om overtredingen van de privacywet onder de tafel te werken.
Managers lopen persoonlijk enorme risico’s
Managers die dat doen lopen zelf enorme risico’s. Zij zijn volgens de AVG zelf verantwoordelijk en zelfs hoofdelijk aansprakelijk. En ze kunnen door hun werkgever worden ontslagen, weten de managers die slachtoffer waren van de CEO-fraude bij Pathé nu. De rechtbank in Amsterdam heeft het ontslag goedgekeurd.
Neem geen risico. Bel nu met PrivacyZone en maak een afspraak: 06-31995740.