Wereldwijd zien organisaties zich geconfronteerd met een snel veranderend bedreigingslandschap. Nederlandse en Belgische organisaties vormen hierop geen uitzondering. Waar cybercriminelen ooit hun aandacht richtten op onze netwerken en infrastructuur, worden nu steeds vaker onze mensen aangevallen.
Of het nu gaat om schadelijke links, gecompromitteerde accounts of social engineering, cybercriminelen richten zich op wat voor veel organisaties hun laatste verdedigingslinie is. Een laatste linie die vaak slecht is voorbereid: hun mensen.
Onderzoek laat zien dat het aantal aanvallen toeneemt en bestuurders beter op de hoogte zijn van algemene dreigingen. Toch slagen veel organisaties er nog steeds niet in om effectieve cybersecurity-strategieën te implementeren. De training is vaak onvoldoende en de kennis van eindgebruikers slecht.
Er is een nieuwe aanpak nodig. Een aanpak die mensen in het hart van de cyberverdediging plaatst. Deze aanpak moet ervoor zorgen dat medewerkers niet alleen in staat zijn aanvallen te herkennen en tegen te gaan, maar dat ze zich ook bewust zijn van hun rol in het veilig houden van onze organisaties.
Een omslag in mentaliteit
Mensgerichte cyberaanvallen vragen om een mensgerichte cyberverdediging. De wetenschap dat cybercriminelen steeds vaker gebruikmaken van gecompromitteerde gegevens om toegang te krijgen tot e-mailaccounts, gevoelige informatie en bedrijfssystemen is niet genoeg. Net als het bewustzijn dat deze gegevens meestal via phishing-e-mail worden verkregen. We moeten begrijpen waarom zo veel aanvallen succesvol zijn.
Het zijn de mensen binnen je organisatie die het antwoord daarop hebben – van het hoger management tot en met de eindgebruiker. Dat bijna één op de vier mensen toegeeft dat ze phishing-e-mails openen, zou voor zowel cso’s als ciso’s een grote zorg moeten zijn. Dat tien procent toegeeft te klikken op schadelijke links in e-mails is niet minder dan schrikbarend. Dit menselijke probleem in veel cyberverdedigingen komt voort uit een gebrek aan bewustwording en opleiding. En dat is iets wat veel organisaties nog steeds niet hebben aangepakt.
We kunnen niet verwachten dat medewerkers de motieven en methoden van veelvoorkomende bedreigingen begrijpen met zo weinig voorlichting. Laat staan dat ze begrijpen wat hun rol is bij het opsporen en tegengaan van dergelijke aanvallen.
Menselijke fouten worden nu gezien als de primaire toegangsweg naar onze organisaties. Medewerkers op alle niveaus en op alle afdelingen kunnen je bedrijf in gevaar brengen. Om een robuuste verdediging op te bouwen, moeten we de kennis over veelvoorkomende bedreigingen vergroten. Daarnaast moeten we gebruikers leren hoe hun acties het verschil kunnen maken tussen slechts een poging tot een aanval en ernstige financiële gevolgen.
Het World Economic Forum schat dat tussen 2019 en 2023 ongeveer 5,2 biljoen dollar aan economische waarde in gevaar komt door cybercriminelen. De FBI schat de wereldwijde schade als gevolg van BEC alleen al vorig jaar op 1,7 miljard dollar. De belangen zijn nog nooit zo groot geweest. Dat moet in onze opleidingsprogramma’s weerspiegeld worden.
Mensgerichte cybersecurity
Of het nu gaat om oplichters die zich voordoen als collega’s of om steeds overtuigendere phishing-aanvallen, eindgebruikers hebben steeds vaker de taak om cyberaanvallen op te sporen en tegen te gaan. Daarom moeten we deze gebruikers in het hart van elke succesvolle cyberverdediging plaatsen.
Technische oplossingen en controles zijn weliswaar belangrijk, maar vormen slechts één aspect van een brede en grondige verdediging. Regelmatige, uitgebreide en aangepaste training van de medewerkers is hierbij van groot belang.
Deze training moet verder gaan dan enkel de methodes en motivaties van een cyberaanval. Het moet alle medewerkers leren beseffen wat hun rol is in de bescherming van onze organisaties. Medewerkers op alle niveaus moeten begrijpen hoe eenvoudig gedrag – hergebruik van wachtwoorden en verkeerde omgang met gegevens – aanzienlijke, verstrekkende gevolgen kan hebben.
Het doel is een cultuur van best practices en verantwoordelijkheid te creëren. Een cultuur waarin cyberverdediging ieders verantwoordelijkheid is, ongeacht de afdeling of het functieniveau. Cybercriminelen vallen onze mensen aan in de overtuiging dat zij de zwakste schakel zijn. Het is aan ons om het tegendeel te bewijzen.
Jim Cox heeft het buskruit niet uitgevonden want al meer dan 20 jaar is de gebruiker het doel van cybercriminelen omdat deze al jaren weten dat de gebruiker de zwakste schakel is welke ze makkelijk als ‘stepping stone’ via ma(i)lware, dubieuze links e.d. kunnen gebruiken. Simpel gezegd blijven social engineering aanvallen via gebruikers moeilijk te bestrijden omdat veelal ingespeeld wordt op de menselijke zwakheden, één daarvan is nieuwsgierigheid. 10% geeft dit toe en 90% liegt erover want door alle campagnes en trainingen is er echt wel bewustzijn voor het risico van klikken op dubieuze links.