Geef medewerkers de nodige kennis om de waarschuwingssignalen van een cyberaanval te herkennen en te begrijpen als ze gevoelige gegevens in gevaar zouden kunnen brengen
In cyberbeveiliging wordt gezegd dat mensen de zwakste schakel in de beveiligingsketen zijn. Dat is steeds meer waar, daar cybercriminelen wedijveren om goedgelovige of onvoorzichtige werknemers uit te buiten. Maar het is ook mogelijk om van die zwakke schakel een super eerste verdedigingslinie te maken. De oplossing ligt in het uitrollen van een effectieve trainingsprogramma voor veiligheidsbewustzijn (security awareness training program).
Onderzoek laat zien dat bij 82% van de datalekken in 2021 geanalyseerd, een ‘menselijk element’ betrokken was. Het is een vaststaand feit bij moderne cyberdreigingen dat werknemers een belangrijk doelwit zijn voor aanvallen. Maar geef ze de kennis om de waarschuwingssignalen van een aanval te herkennen en te begrijpen, als ze gevoelige gegevens in gevaar zouden brengen, en er is een serieuze kans dat de inspanningen voor risicobeperking toenemen.
Wat is security awareness training?
Wellicht is bewustwordingstraining niet de beste benaming voor wat IT- en beveiligingsleiders met hun programma’s willen bereiken. Doorgaans is het doel om het gedrag te veranderen door middel van betere voorlichting over de belangrijkste cyberrisico’s en welke eenvoudige best practices kunnen aangeleerd worden om deze te verminderen. Het is een proces dat idealiter een reeks onderwerpen en technieken moet behandelen om werknemers in staat te stellen de juiste beslissingen te nemen. Het kan gezien worden als een fundamentele pijler voor organisaties die een security-by-design (security-by-design) bedrijfscultuur willen creëren.
Waarom is een security awareness training nodig?
Zoals bij elk trainingsprogramma, is het de bedoeling om van elk individu hen een betere werknemer te maken. Hier zal het verbeteren van het beveiligingsbewustzijn niet alleen het individu goed van pas komen bij het doorlopen van verschillende taken, maar het zal ook het risico op mogelijk schadelijke inbreuken in beveiliging verminderen (damaging security breach).
Bedrijfsgebruikers zijn het kloppend hart van elke organisatie. Kunnen ze gehackt worden, dan kan de organisatie ook gehackt worden. Hun toegang tot gevoelige gegevens en IT-systemen verhoogt het risico op problemen met een mogelijke negatieve invloed op het bedrijf.
Meerdere trends benadrukken de behoefte aan trainingsprogramma’s voor beveiligingsbewustzijn:
Wachtwoorden: Statische inloggegevens bestaan al zo lang als computersystemen. Ondanks de smeekbeden van beveiligingsexperts, blijven ze de meest populaire methode voor gebruikersauthenticatie. De reden: mensen weten instinctief hoe ze te gebruiken. De uitdaging is dat ze ook een belangrijk doelwit voor hackers zijn (huge target for hackers). Slaagt men erin een medewerker te misleiden om ze te overhandigen of kan men die raden, dan staat niets in de weg om een volledige toegang tot het netwerk te hebben.
Naar schatting heeft meer dan de helft van de Amerikaanse werknemers op papier geschreven wachtwoorden. Slechte wachtwoordpraktijken (Poor password practices) openen de deur voor hackers. En naarmate het aantal inloggegevens dat werknemers moeten onthouden toeneemt, groeit ook de kans op misbruik.
Social engineering: mensen zijn sociale wezens. Het maakt ons vatbaar voor overreding. We willen de verhalen geloven die ons worden verteld alsook de persoon die ze vertelt. Social engineering werkt: het gebruik, door cybercriminelen, van persuasieve technieken zoals tijdsdruk en verpersoonlijking om het slachtoffer te misleiden en hun bevelen uit te voeren. Het beste voorbeeld is een phishing-mail, sms (smishing) of telefoontje (vishing), maar het wordt ook gebruikt bij BEC-aanvallen (business email compromise (BEC) attacks) en andere vormen van oplichting.
De cybercrime-economie: tegenwoordig hebben deze cybercriminelen een complex en geavanceerd ondergrondnetwerk van dark sites om data en diensten te kopen en verkopen – van kogelvrije hosting tot ransomware-as-a-service. Miljarden waard, wordt gezegd (said to be worth trillions). Deze ‘professionalisering’ van de cybercrime-industrie heeft er toe geleid dat criminelen hun inspanningen concentreren waar het rendement op hun investering het hoogst is. Vaak betekent het dat men zich richt op de gebruikers: zakelijke medewerkers en consumenten.
Hybride werken: Telewerkers zouden meer geneigd zijn om op phishing-links te klikken en risicovol gedrag te vertonen, zoals werkapparatuur voor persoonlijk doeleinden gebruiken. De opkomst van een nieuw tijdperk voor hybride werken heeft de deur geopend om zakelijke gebruikers aan te vallen als ze het meest kwetsbaar zijn. Om te zwijgen over het feit dat thuisnetwerken en computers mogelijk minder goed beschermd zijn dan hun equivalenten op kantoor.
Waarom is opleiding belangrijk?
Een ernstige inbreuk op de beveiliging, als gevolg van een aanval door derden of het per ongeluk vrijgeven van gegevens, kan leiden tot grote financiële en reputatieschade. Uit recent onderzoek blijkt dat 20% van de bedrijven die te maken kregen met zo’n inbreuk bijna failliet ging. Afzonderlijk onderzoek (Separate research) beweert dat de gemiddelde kosten van een datalek wereldwijd nu hoger zijn dan ooit: meer dan 4,2 miljoen dollar.
Voor werkgevers is het niet alleen een kostenberekening. Voorschriften, zoals deze van HIPAA, PCI DSS en Sarbanes-Oxley (SOX) eisen dat organisaties eraan voldoen en trainingsprogramma’s voor beveiligingsbewustzijn voor werknemers voorzien.
Hoe werken bewustmakingsprogramma’s?
Het “waarom” werd uitgelegd, maar hoe zit het met het “hoe”? CIO’s moeten beginnen met het raadplegen van HR-teams, die doorgaans bedrijfstrainingsprogramma’s inrichten. Zij kunnen ad-hoc advies of meer gecoördineerde ondersteuning geven.
De te behandelen onderwerpen zijn:
• Social engineering en phishing/vishing/smishing
• Per ongeluk verspreiden van e-mail
• Webbeveiliging (veilig zoeken en openbare wifi gebruik)
• Best practices voor wachtwoorden en multi-factor authenticatie
• Veilig tele- en thuiswerken
• Hoe bedreigingen van binnenuit herkennen.
De ideale opleiding is:
• Leuk en speels (denk aan positieve nadruk in plaats van op angst gebaseerde berichten)
• Gebaseerd op real-world simulatieoefeningen
• In korte sessies, het hele jaar door (10-15 minuten)
• Voor elk personeelslid, inclusief leidinggevenden, parttimers en freelancers
• Genereren van resultaten die kunnen gebruikt worden om programma’s aan te passen aan individuele behoeftes
• Op maat gemaakt voor verschillende jobs.
Als het besluit genomen is, is het belangrijk om de juiste trainingsaanbieder te vinden. Het goede nieuws is dat er online tal van opties zijn in verschillende prijsklassen, waaronder gratis tools. Door het huidige dreigingslandschap is niets doen geen optie.
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.
