...

Ga niet uit van bescherming, ga uit van een aanval en wees erop voorbereid. Hou dat zinnetje steeds in je achterhoofd als je met digitale technologie werkt om je zaak draaiende te houden. Niet in het minst omdat je als apotheker met privacygevoelige gegevens van patiënten te maken krijgt. De uitwisseling van gegevens tussen professionele zorgverleners en met patiënten gebeurt hoe langer hoe meer digitaal. Idem voor de boekhouding en het beheer van bestellingen en voorraden: je werkt met data en toepassingen op een eigen server of in de cloud. Een plus qua gebruiksgemak voor alle partijen. Een min omdat cybercriminelen beseffen dat ze munt kunnen slaan uit die vertrouwelijke data. Akkoord, cybercriminelen richten hun pijlen vaak op grote bedrijven en banken, maar denk vooral niet dat ze een apotheek te min vinden. Iedereen is een mogelijk doelwit, zeker bij een breed ingezette techniek als phishing. Het fenomeen kent een enorme stijging sinds de lockdown en het bijhorende thuiswerk. Phishing doet je misschien denken aan vissen... en op die piste zit je meteen goed. Het woord betekent letterlijk 'hengelen'. Via een nagemaakte e-mail probeert de hacker toegang te krijgen tot een applicatie. Hij hengelt als het ware naar toegang tot je data. Phishing is erop gericht mensen zo ver te krijgen dat ze een betaling uitvoeren, een paswoord geven of een pincode delen. Mensen die onoplettend of goedgelovig zijn, of die menen een goede reden te hebben om op de link in het bericht te klikken, zijn hapklare brokken voor phishers. Bekende voorbeelden van phishingmails die de ronde doen zijn de berichten die zogenaamd van de FOD Financiën afkomstig zijn, met als boodschappen: 'registreer je hier voor je coronatoelage' of 'meld je aan voor je overbruggingsrechten'. Er doen ook phishingmails de ronde die eruit zien als een bericht van je bank, zogezegd omdat je kaart geblokkeerd is en met de dringende vraag je gegevens te bevestigen. Klik je op de link in de mail, dan kom je niet bij je bank uit, maar bij de hackers. Met jouw pincode krijgen ze vrij spel om je rekeningen te plunderen. Soms hebben die misleidende mails nog een ander doel en zijn ze erop gericht je systemen te besmetten met ransomware. Dat is malware die alle data en applicaties op je pc blokkeert. De hackers geven ze pas vrij als je losgeld betaalt. Een inbraak in je digitale omgeving en gestolen data kunnen je financiële kopzorgen bezorgen. Als je apotheek niet langer kan draaien omdat niets op je pc nog werkt, dan gaat dat gepaard met omzetverlies. Een potentieel groter probleem is het feit dat je zo niet langer in orde bent met de GDPR-privacywetgeving. Als apotheker moet jij zorgdragen voor je patiënten én hun privacygegevens. Liggen die zomaar op straat na een bezoekje van een hacker? Dan ben jij uiteraard het eerste aanspreekpunt én verantwoordelijk. Dat is niet goed voor je imago, een serieuze boterham om uit te leggen aan je patiënten en leveranciers, en levert je mogelijk nog een fikse boete op ook. Een van de oplossingen is een klassieke firewall, een beschermingstechnologie die delen van een netwerk van elkaar scheidt. De firewall houdt alle inkomende en uitgaande gegevenspakketten in de gaten. Deze digitale poortwachter controleert of het dataverkeer effectief is toegestaan. De firewall werkt volgens vooraf gedefinieerde regels om de inkomende en uitgaande toegangspunten (poorten) te openen, te blokkeren en te controleren. De firewall gebruik je in combinatie met antivirussoftware. Dat is een interne beveiligingsmaatregel voor het opsporen, onschadelijk maken en verwijderen van malware en virussen die zich al op je computer of netwerk bevinden. Volgens experts volstaat de klassieke combinatie van firewall en antivirus echter niet langer. Daarom grijpen ze voor de bescherming van de toestellen almaar vaker naar zero-trust security. Het principe is eenvoudig: het draait het uitgangspunt van de firewall om. Bij een firewall is alle verkeer toegelaten, behalve wat verboden is op basis van een lijst van malafide adressen. Bij zero-trust security is alle dataverkeer verboden, behalve wat expliciet is toegelaten via een lijst van veilige adressen. Ondanks alle geavanceerde bescherming blijft de mens de zwakste schakel. Phishing speelt overduidelijk in op je goodwill of ongerustheid om iets in orde te brengen, door ergens op te klikken of data te delen. Daarom is het heel belangrijk om de medewerkers van je zaak bewust te maken van de gevaren van dat soort berichten. Leer je medewerkers om phishingmails te herkennen (zie kader). Zorg daarnaast ook steeds voor een goede back-upstrategie. Wanneer je back-up in orde is, ben al meteen een stuk minder gevoelig voor ransom- ware en kun je bij een incident dankzij je back-up toch snel doorstarten. Voor de beveiliging van je digitale werkomgeving is het sowieso een goed idee om bij je ICT-partner aan te kloppen.