Van LinkedIn tot X, van Facebook tot Instagram: er zijn volop mogelijkheden voor medewerkers om werkgerelateerde informatie te delen. Maar zulke berichten kunnen ook serieuze risico’s voor de organisatie opleveren.
De keerzijde van employee advocacy
Employee advocacy, medewerkers die op eigen initiatief hun werkgever promoten, is al ruim tien jaar een bekend fenomeen. Wat begon als een goedbedoeld initiatief om de zichtbaarheid van een organisatie, thought leadership en marketing te versterken, kent ook een keerzijde. Medewerkers die berichten plaatsen over hun werk, hun rol of hun organisatie, hopen daarmee potentiële klanten, partners of zelfs werknemers te bereiken.
Zodra informatie openbaar wordt gedeeld, kan deze worden gebruikt om overtuigende spearphishing-aanvallen of vormen van Business Email Compromise (BEC) op te zetten. Dit is een vorm van fraude waarbij cybercriminelen zich via e-mail voordoen als een leidinggevende of zakenpartner om medewerkers te misleiden, vaak met als doel het ontfutselen van geld of vertrouwelijke informatie. Hoe meer informatie er beschikbaar is, hoe groter de kans dat deze wordt misbruikt, met mogelijk gevolgen voor je organisatie.
Waar delen medewerkers informatie?
De belangrijkste platforms waar medewerkers werkgerelateerde informatie delen zijn bekende namen:
- LinkedIn is waarschijnlijk het grootste openbare netwerk van bedrijfsinformatie ter wereld. Het biedt inzicht in functietitels, verantwoordelijkheden en interne verhoudingen. Ook vacatures bevatten soms technische details die later als kapstok kunnen dienen voor spearphishing.
- GitHub is in cybersecuritycontext berucht om ontwikkelaars die per ongeluk hardcoded geheimen, intellectueel eigendom of klantgegevens uploaden. Maar ook ogenschijnlijk onschuldige informatie, zoals projectnamen, gebruikte tech stacks of open source-bibliotheken, kan bruikbaar zijn. Zelfs e-mailadressen van collega’s kunnen in Git-commits terechtkomen.
- Instagram, Facebook en X (voorheen Twitter) worden vaker gebruikt voor persoonlijke updates. Medewerkers delen hier vaak hun aanwezigheid op conferenties of zakelijke reizen, details die tegen hen of hun organisatie gebruikt kunnen worden.
Hoe informatie wordt misbruikt
Een typische social engineering-aanval begint met het verzamelen van informatie. Daarna wordt de verkregen informatie ingezet in een spearphishing-aanval, bedoeld om het slachtoffer malware te laten installeren of inloggegevens prijs te geven. Dit kan via e-mail, sms of zelfs telefonisch. In sommige gevallen wordt de informatie gebruikt om een leidinggevende of leverancier te imiteren, en zo via een deepfake-video of telefoongesprek een dringende betaling te forceren.
De meest effectieve aanvallen combineren drie elementen: imitatie, urgentie en relevantie. Enkele hypothetische scenario’s:
- Een cybercrimineel ziet op LinkedIn dat een nieuwe IT-medewerker is gestart bij organisatie A. Hij doet zich voor als leverancier van beveiligingssoftware en vraagt de medewerker om met spoed een beveiligingsupdate te installeren, via een link naar malware.
- Een aanvaller vindt op GitHub informatie over een lopend project en de bijbehorende teamleden. Hij stuurt een e-mail uit naam van een collega met een bijlage die malware bevat.
- Een fraudeur ziet op LinkedIn of de bedrijfswebsite een video van een executive. Op diens Instagram of X-kanaal leest hij dat deze persoon een week op conferentie is. Hij start een deepfake BEC-aanval en doet zich in een video voor als deze executive, om een lid van het financiële team te overtuigen een spoedbetaling te doen.
Hoe verminder je de risico’s?
De risico’s van oversharing zijn reëel, maar gelukkig zijn er effectieve maatregelen:
- Bewustwording is je krachtigste wapen. Zorg dat security awareness-programma’s alle medewerkers, inclusief het management, uitleggen waarom ze vooraf goed moeten nadenken over welke informatie ze online delen.
- Herzie de balans tussen employee advocacy en informatiebeveiliging. Soms betekent dit: minder delen, zeker als het gevoelige details betreft.
- Waarschuw medewerkers voor verdachte privéberichten, ook als deze afkomstig lijken van bekenden. Het account kan zijn overgenomen.
- Beoordeel en actualiseer je bedrijfswebsite en corporate kanalen. Verwijder of beperk informatie die misbruikt kan worden.
- Gebruik altijd sterke wachtwoorden en multi-factor authenticatie (MFA) voor zakelijke accounts, inclusief sociale media, om te voorkomen dat je account gehackt wordt.
- Stimuleer een veilige meldcultuur. Medewerkers moeten zich veilig voelem om verdachte berichten of mogelijke fouten direct te melden. Zo kan de organisatie snel ingrijpen en schade beperken.
Zet digitale hulpverleners (DHV’ers) in binnen de organisatie
Wat is een DHV’er? Een digitale hulpverlener, of DHV’er, is iemand binnen een organisatie die getraind is om digitale veiligheid te bevorderen en collega’s te ondersteunen bij technologische vraagstukken en incidenten. Vergelijkbaar met een BHV’er (bedrijfshulpverlener) voor fysieke noodgevallen, richt een DHV’er zich op digitale incidenten en veiligheid.
Met getrainde DHV’ers heb je intrinsiek gemotiveerde mensen die ambassadeurs zijn voor digitaal veiliger werken, en doordat DHV’ers dichtbij hun collega’s staan, verlaag je de drempel om vragen te stellen of incidenten te melden.
Door bewust om te gaan met wat we delen, elkaar scherp te houden en incidenten tijdig te melden, versterken we stap voor stap de weerbaarheid van de organisatie. Met duidelijke richtlijnen, betrokken collega’s en goed ingerichte ondersteuning – zoals DHV’ers – creëren we een veilige digitale werkomgeving waarin iedereen een rol speelt. Zo maken we veilig digitaal werken de norm, niet de uitzondering.
