Brouwerijconcern Heineken zet, als het gaat om cybersecurity, voornamelijk in op het creëren van bewustzijn bij zijn medewerkers. Dat zegt Ron Broeren, director global IT office bij Heineken, tijdens zijn presentatie op de Eset Security Day, die heel toepasselijk plaatsvond in de Heineken Experience in Amsterdam.
Ron Broeren start zijn presentatie door te zeggen dat we het niet over techniek gaan hebben. ‘Wij zijn maar een bierbedrijf, dus wij hebben het over de leuke dingen in het leven.’ Het is gemakkelijk om als bedrijf te zeggen dat het waarschijnlijk geen doelwit is voor hackers, legt Broeren uit. ‘Waarom zouden wij gevaarlijk zijn voor hackers, wij maken maar bier.’
Maar als je naar de cijfers gaat kijken en onderzoek doet, kom je er volgens hem wel achter dat hackers het daadwerkelijk ook wel op hen hebben gemunt. Hij zegt dat menselijk gedrag daarbij één van de grootste risico’s is. Heineken heeft verschillende tests gedaan, bijvoorbeeld met het laten rondslingeren van usb-sticks, en heeft vervolgens gekeken wat hiermee gebeurd.
Broeren zet de cijfers op een rijtje. ‘Zeker 27 procent van de usb-sticks die wij in de kantoren plaatsen, werden opgepakt en gebruikt. Daarnaast ontvingen we 2430 phishingmails als onderdeel van de test. Hier werd 875 keer ook daadwerkelijk op geklikt. Tot slot bleek dat 94 procent van de werknemers in een test potentieel gevoelige informatie via de telefoon deelde.’
E-learning Heineken
Op basis van die cijfers is Heineken nu bezig met een e-learning programma, waarbij alle werknemers getraind worden op security awareness. Daarnaast zet de bierbrouwer in op governance, menselijk gedrag, processen en technologie.
Bij dit soort cybersecurity-kwesties moet je volgens Broeren wel eerst helder krijgen wat er nu eigenlijk beveiligd moet worden. ‘Stel jezelf de vraag welke zaken je als organisatie echt belangrijk vindt.’ Dit is volgens hem geen makkelijk vraagstuk, want ‘als je die vraag nu stelt, krijg je veel verschillende antwoorden’.
Computers hebben wel een belangrijk voordeel t.o.v. mensen als het gaat om monitoring en bewaking. Ze drinken niet.
Maar zeker de sociale aanval is nog steeds een belangrijke ingang als het gaat om penetratie in een systeem.
Het voorbeeld met usb-sticks is de klassieke Trojaanse paard. Zelfs daar hebben we met zijn allen niet van geleerd!
De hebberigheid van mensen in combinatie met de wens om te helpen als een ander in de problemen zit, zijn traditionele gaten in de verdediging. Dat was al in de tijd van de Romeinen en zal vermoedelijk altijd zo blijven.
Maar in dit kader geldt: Een goede daad blijft zelden ongestraft.