Spear phishing, deep fake en ransomware zijn de belangrijkste aanvalsmethoden waar security-professionals komend jaar mee in aanraking verwachten te komen.
Dit blijkt uit onderzoek onder securityexperts – zoals chief information en security officers (ciso’s), privacy officers (po’s) en functionarissen gegevensbescherming (fg’s). Het onderzoek is uitgevoerd door Brooklyn Partners, Computable en Erasmus Universiteit Rotterdam.
Spear phishing blijft belangrijkste aanvalsmethode
Spear phishing, het gericht verleiden van slachtoffers om gevoelige informatie te delen of malafide software te downloaden, wordt in 2020 ‘gehaaider’ uitgevoerd. Door professionele hackers worden bestuurders en andere risicodoelgroepen zoals klantcontactcentra en it-experts gericht aangevallen waarbij de phishing aansluit op de natuurlijke communicatiewijze van het doelwit. Phishing-e-mails zijn in het Nederlands en zijn vrij van spelfouten.
Immer populair blijft ook de ceo-fraude waarbij een hacker zich voordoet als de directeur van een bedrijf. Door gebruik van op artificiële intelligentie (ai) gebaseerde ‘deep fake’, weten criminelen stemmen en video’s van belangrijke personen uit de organisatie na te doen en het doelwit aan te zetten tot actie. Cico’s ervaren ook een stijgende trend in het aantal en de geraffineerdheid van phishing-aanvallen. Bijna de helft, 47 procent, geeft aan dat phishing blijvende aandacht nodig heeft binnen hun organisatie.
Bijna iedereen kan erin trappen
Hoewel managementteams en ict-afdelingen een hoog weerbaarheidsniveau hebben als het gaat om informatieveiligheid, lukt het met spear phishing om bij ongetrainde managementteams tot wel vijftig procent te laten klikken op de phishinglinks. Naast multifactor-authenticatie blijft training van medewerkers op het herkennen, valideren, veilig verwijderen en informeren van collega’s belangrijk, aldus de experts. Het voorkomen van phishing vraagt volgens hen om een integrale aanpak, waarbij gedurende langere periode collega’s op verschillende manieren leren en geconfronteerd worden met phishing. Phishingcampagnes moeten daarbij niet als meetinstrument, maar als leer- en confronteer-instrument ingezet worden.
Bij phishing is directe feedback naar de deelnemer volgens de ondervraagden essentieel. Een effectieve feedback creëer je bijvoorbeeld door het direct starten van een kleine online-les over phishing – een positieve videoboodschap met lessen over het herkennen van phishing-aanvallen van de ciso – zodra men op de phishing-e-mail heeft geklikt. In deze integrale aanpak moet er ook plaats en ruimte zijn voor het besef van mensen wat de impact is van ‘klein onschuldig’ gedrag, zoals het klikken op een phishing-e-mail. Notoire klikkers moeten ten slotte betrokken worden bij het opstellen van de volgende phishingmail, inclusief het slim verwerken van de psychologie die echte hackers ook gebruiken.
Terug van weggeweest is volgens de security-experts ransomware. Nederland blijkt een gewild doelwit. Organisaties zijn steeds vaker verzekerd voor de financiële schade van cybercriminaliteit, waardoor het vergrendelen en ontoegankelijk maken van data letterlijk een miljoenenbusiness is geworden. De uitstekende klantenservice van de criminelen zorgt er volgens de ondervraagden voor dat zelfs de meest digibete bestuurder weet hoe hij het losgeld moet overmaken.
Goede meetmethode voor weerbaarheid ontbreekt
Negen van de tien securityexperts is ervan overtuigd dat organisaties het weerbaarheidsniveau van medewerkers op het gebied van informatiebeveiliging en privacy structureel moeten meten. Dit cijfer blijft ongeveer gelijk aan vorig jaar (93 procent). Veel van de toegepaste metingen zijn echter subjectief en het meetinstrument wisselt vaak. Zo is een voorwaarde van het meten van trends dat het meetinstrument hetzelfde blijft. Dat is bij phishingtesten niet het geval. In de praktijk gebruiken de securityexperts veelal subjectieve observaties (50 procent), het bijhouden van incidenten (40 procent) en deelnamecijfers aan awareness-activiteiten (40 procent). Kortom, structureel meten met wetenschappelijk onderbouwde methodieken ontbreekt.
Ruim de helft, 55 procent, van de security-experts geeft aan dat een online-enquête wel een geschikte meetmethode is. Als voorbeelden worden kwantitatieve cyberweerbaarheid-enquêtes genoemd, zoals de Human Aspects of Information Security Questionnaire (HAIS-Q) en de Brooklyn Partners Cyber Barometer. Beide zijn gebaseerd op wetenschappelijke theorieën. De resultaten worden gebruikt om interventies toe te passen en de voortgang te meten en te rapporteren. Door deze cyclische aanpak kan veilig gedrag geborgd worden in de organisatie.
Meedoen aan vervolgonderzoek
In november 2019 startte het jaarlijkse onderzoek Security & Privacy Awareness Gedragtrends 2020 van Brooklyn Partners, Computable en Erasmus Universiteit Rotterdam met een enquête onder meer dan honderdvijftig securityexperts. In opvolging van de kwantitatieve analyse zijn de resultaten met meer dan twintig ciso’s bediscussieerd en hebben geleid tot de uiteindelijk gepubliceerde trendupdates.
Het volgende onderzoek vindt eind 2020 plaats. Computable-lezers kunnen zich aanmelden en ontvangen vervolgens in het vierde kwartaal een uitnodiging.