Ongeveer iets minder dan de helft van de Nederlandse werknemers schakelde dit jaar over naar thuiswerken als gevolg van Covid-19. Deze 'werkverplaatsing' creëerde de grootste verschuiving in werkgelegenheid – en was verantwoordelijk voor de disruptiefste periode die organisaties ooit meemaakten. Dit gold zeker ook voor it-teams, die bijna van de ene op de andere dag over moesten stappen van een gecentraliseerd model naar een gedistribueerde omgeving.
Een van die kwetsbaarheden is de werknemer. Terwijl spear phishing-aanvallen de laatste jaren steeds normaler zijn geworden, piekte dergelijke aanvallen in het eerste kwartaal van 2020 enorm. Cybercriminelen speelden hiermee in op de angst voor het virus om werknemers zover te krijgen op een kwaadaardige link te klikken of een bijlage te openen. Werknemers vertonen vaak risicovol gedrag terwijl zij vanuit huis werken. Dit gebeurt niet altijd op goed beveiligde apparaten die wel toegang hebben tot het bedrijfsnetwerk en belangrijke data.
Wat zijn de meest gebezigde activiteiten die security-inspanningen van organisaties ondermijnen en waardevolle corporate data in gevaar brengen?
Risicovol browsen
In het corona-tijdperk, waarin werknemers vanuit de privacy van thuiskantoren werken, is de verleiding om zakelijke apparaten te gebruiken voor persoonlijk browsen groter dan ooit. En het klikken op een verkeerde link is dan zo gebeurd. Wat werknemers doen met hun browse-gedrag kan voor grote problemen zorgen bij werkgevers.
Volgens een onderzoek van Netskope nam het aantal werknemers dat tussen maart en juni 2020 op zakelijke laptops naar porno keek met zeshonderd procent toe. Dit suggereert dat werknemers niet altijd op hun hoede zijn en werken met een andere mentaliteit dan voorheen. Afgezien van dergelijk browse-gedrag kan ook een bezoek aan alledaagse websites overigens ook malware opleveren. Dit maakt het updaten en harden van systemen nog belangrijker.
Dan is er nog sociale media. Sites zoals Twitter en Facebook staan bol van de desinformatie met links naar twijfelachtige websites – een probleem dat explodeerde in de eerste maanden van 2020 doordat cybercriminelen misbruik maakten van de chaos van de pandemie. Volgens Google nam het aantal phishing-sites met 350 procent toe in het eerste halfjaar van 2020. Tegelijkertijd piekte sociale-mediagebruik doordat mensen wereldwijd gebonden waren aan huis en fysiek geïsoleerd waren van vrienden en familie. Zo ontdekte een Harris Poll, uitgevoerd tussen maart en mei 2020, dat het sociale-mediagebruik onder volwassenen (tussen de 18 en 64 jaar) met meer dan zestig procent toe was genomen.
Sociale media zijn in het bijzonder uitdagend, omdat ze snelle consumptie en het snel delen van content aanmoedigen. Kritisch nadenken over de bron of authenticiteit van de informatie maakt daar niet altijd onderdeel vanuit. Door terloops heen en weer te schakelen tussen werk en sociale media, kunnen werknemers gemakkelijker ten prooi vallen aan phishing.
Risicovolle wachtwoorden
Ondanks herhaaldelijke waarschuwing blijft wachtwoord-hygiëne een uitdaging voor veel organisaties. Volgens een Google-Harris-enquête uit 2019 gebruikte iet meer dan de helft van de respondenten hetzelfde wachtwoord voor meerdere accounts. Maar liefst dertien procent gebruikt hetzelfde wachtwoord voor alle accounts – waaronder werk-accounts. Als de credentials van een account gestolen worden, kan iemand diezelfde details gebruiken om in te breken op werkgerelateerde accounts. Dit is een serieus risico voor gevoelige data binnen een organisatie.
Terwijl veel organisaties grote stappen hebben gemaakt met beleid voor wachtwoorden en best practices hebben geïmplementeerd en afgedwongen, betreft dit vaak enkel zakelijke apparaten en middelen. Net zoals organisaties worstelen met werknemers die mogelijk schadelijke content op zakelijke apparaten openen en downloaden, worstelen ze in het tijdperk van thuiswerken ook met werknemers die persoonlijke apparaten met twijfelachtige of helemaal geen bescherming gebruiken voor toegang tot zakelijke middelen.
Beleidshandhaving is niet voldoende. In een tijdperk van werken op afstand moeten organisaties de focus leggen op de educatie van werknemers. Daarnaast kan het toepassen van tweestapsverificatie de dreiging van zwakke wachtwoorden aanzienlijk verminderen. Zoals recente ransomware-campagnes hebben aangetoond, verkrijgen aanvallers vaak toegang door slecht beveiligde accounts. Werknemers zouden aangespoord moeten worden om universal second factor (u2f)-apparaten te gebruiken om ook hun persoonlijke accounts te beschermen.
Risicovol klikken
Volgens het Verizon Business 2020 Data Breach Investigations rapport, ligt aan 67 procent van de beveiligingsinbreuken enige vorm van social engineering ten grondslag en diefstal van credentials. De verwarring die in de eerste maanden van de pandemie ontstond creëerde de ultieme omstandigheden voor phishing-oplichters, wiens activiteiten volgens Google toenamen met wel 350 procent.
Daarnaast stijgt momenteel ook het aantal business email compromise (bec)-oplichtingen. Het Internet Crime Report van de FBI schat dat kwaadaardige actoren met bec-oplichting zo’n 1.77 miljard dollar verdiend hebben in 2019. Dit probleem gaat niet vanzelf weg. Volgens een recent onderzoek van Tanium zag negentig procent van de chief executives en vp’s een toename in het aantal cyberaanvallen tussen maart en juni. Phishing en bec-oplichting zijn twee van de drie meest voorkomende aanvallen tijdens deze periode, met een toename van bijna veertig procent in bec/transactiefraude en een toename van 35 procent in phishing-activiteit.
Voor organisatie met een grote externe workforce is het opleiden van werknemers over hoe zij verschillende type aanvallen kunnen spotten cruciaal. Zoals we gezien hebben tijdens de pandemie zullen aanvallers misbruik maken van de angst voor het virus om de efficiëntie van social engineering te vergroten. Werknemers de vaardigheden leren om manipulatieve content te spotten, alsmede best practices over hoe zij aanvragen en afzenders kunnen verifiëren, kunnen een enorme ramp helpen voorkomen.
Wees proactief en blijf veilig
Nu zo veel mensen vanuit huis werken moeten organisaties zich realiseren dat werknemers zakelijke apparaten – of persoonlijke apparaten die verbonden zijn met corporate netwerken – kunnen gebruiken om op het web te surfen. Zij schatten wellicht het risico van phishing en BEC niet goed in, vooral als zij deze nog niet eerder tegen zijn gekomen. Het goede nieuws is dat organisaties deze risico’s met het juiste beleid en de juiste procedures kunnen minimaliseren en hun blootstelling aan cyberdreigingen kunnen verminderen.