Risicokader Business Email Compromise
Onze businesspartner MITE3 heeft een risicokader over e-mailbeveiliging ontwikkeld in de Key2Control software. Dit risicokader is relevant voor elke organisatie. Ontdek welke dreigingen er zijn en hoe je die kunt mitigeren in relatie tot de normen voor informatiebeveiliging en privacybescherming.
Als partner van Key2Control zien we vanuit MITE3 Cybersecurity dat onze klanten zich regelmatig zorgen maken over Business Email Compromise, het oplichten van organisaties via e-mail. Vooral omdat het soms om ontzettende grote bedragen kan gaan. In 2018 werd Pathé bijvoorbeeld opgelicht voor maar liefst 19 miljoen euro.
Door MITE3, businesspartner van Key2Control
Wat is Business Email Compromise
Hoewel er specifieke en minder specifieke definities van Business Email Compromise (BEC) bestaan, gaan ze allemaal over het via e-mail oplichten van of frauderen bij een organisatie. Dit kan bijvoorbeeld door het overnemen van een e-mailadres van de organisatie. Ook is het mogelijk om een e-mailadres van de organisatie te imiteren waardoor het lijkt alsof een bericht vanuit die organisatie is verzonden. Door het overnemen of imiteren van een e-mailadres van een derde partij kunnen diens klanten, partners of leveranciers worden opgelicht. De creativiteit van fraudeurs is helaas uitgebreid, deze creativiteit leidt vaak naar de portemonnee van een organisatie. Er wordt bijvoorbeeld gevraagd om een bankrekening van een medewerker aan te passen voor uitbetaling van het salaris. Een ander veel voorkomend voorbeeld is het versturen van een nepfactuur uit naam van een leverancier die de organisatie inderdaad heeft.
Het goede maar ook wrange nieuws is dat deze vorm van fraude vaak met relatief eenvoudige maatregelen, soms zelfs zonder kosten, te voorkomen is. Om organisaties te helpen met het in kaart brengen van dit risico hebben we daarom voor de software van Key2Control een risicokader ontwikkeld.
Waarom is het risicokader relevant?
Hoewel het incident bij Pathé alweer van 2018 dateert, zijn er helaas ook recente gevallen bekend. In 2022 zijn vijftien incidenten van Business Email Compromise in het nieuws geweest en dit jaar tot nu toe al twee incidenten (bron: https://www.datalekt.nl/). Het gaat daarbij vaak ook om grote bedragen. De vijftien gevallen in 2022 hebben voor 11,6 miljoen euro schade veroorzaakt, en de twee gevallen in 2023 voor 1,1 miljoen euro.
Voor wie is het risicokader relevant?
Voor elke organisatie is dit risicokader relevant. Of het nu om commerciële bedrijven, non-profit organisaties of overheden gaat, allemaal zijn ze slachtoffer geworden. Sinds 2022 zijn er acht gemeenten slachtoffer geworden van Business Email Compromise, dus ook de overheid loopt dit risico. Bijna de helft van alle in de media bekend geworden incidenten van Business Email Compromise sinds 2022 waren zelfs bij overheidsorganisaties.
Wat kun je met het risicokader?
Dit risicokader helpt bij het inzichtelijk maken van de risico’s met betrekking tot Business Email Compromise. Het helpt ook om inzichtelijk te krijgen welke maatregelen al binnen jouw organisatie bestaan en of deze goed werken. Op basis van 10 risico’s en circa 30 maatregelen wordt de algehele weerbaarheid in kaart gebracht. Daarbij wordt er niet alleen gekeken naar technologie, maar zoomt het risicokader ook in op enkele kerntaken in gevoelige financiële processen. Denk hierbij aan HR voor het salaris en financiën voor het betalen van facturen.
Wat levert het risicokader op?
Wanneer het risicokader doorlopen is, is duidelijk waar de grootste knelpunten zitten. Zodoende kan de organisatie doelgericht en op de juiste plekken de juiste maatregelen doorvoeren. Hierdoor wordt de kans op Business Email Compromise significant kleiner. Ook de impact van een mogelijk incident neemt sterk af omdat de organisatie beter in staat is om snel en juist te reageren.
Partner MITE3
MITE3 Cybersecurity is partner van Key2Control. MITE3 Cybersecurity is een onderneming gericht op het leveren van hoogwaardig advies en ondersteuning op het vlak van informatiebeveiliging voor klein-, midden- en grootbedrijf, lokale overheden, en zorgorganisaties.
Ben je benieuwd wat Key2Control kan betekenen voor jouw organisatie?
We zijn ervan overtuigd dat een persoonlijk gesprek altijd van toegevoegde waarde is. Neem gerust vrijblijvend contact met ons op.