In mijn vorige blog schreef ik waarom de basisregels van veilig online-gedrag eigenlijk al op de basisschool aangeleerd moeten worden. In deze bijdrage ga ik een stap verder: waarom het volgen van een security-bewustzijnsprogramma voor iedereen verplicht zou moeten zijn.
Veel bedrijven bieden hun medewerkers op basis van vrijwilligheid een cybersecurity-awareness- programma aan. Daar konden medewerkers aan meedoen, maar ook niet. Mijn mening over deze gang van zaken begint te veranderen en ik zal uitleggen waarom.
Pathé
In 2018 werd bioscoopketen Pathé slachtoffer van ceo-fraude. Twee medewerkers maakten in totaal achttien miljoen euro over naar een buitenlandse rekening in Dubai. De medewerkers zijn ontslagen, en deze casus zou geruisloos in de geschiedenisboeken zijn verdwenen als een van de medewerkers zijn ontslag niet had aangevochten. Zo kwam deze oplichting in het nieuws. De medewerker won de rechtszaak en Pathé moest alsnog het salaris doorbetalen. Het argument? De medewerker beriep zich erop dat hij nooit gewaarschuwd was voor ceo-fraude en zijn baas hem nog nooit een cybersecurity-awareness-training had laten volgen.
Bouwterrein
Op een bouwterrein gelden tal van veiligheidsregels. Van iedereen die zich op zo’n terrein bevindt, wordt verwacht dat hij de juiste persoonlijke beschermingsmiddelen draagt en veilig werkt. Doet iemand dat niet? Dan wordt hij erop aangesproken. Dit zorgt er natuurlijk niet voor dat er helemaal nooit meer wat misgaat. Maar het is duidelijk dat er minder incidenten plaatsvinden dan in landen waar de Arbo-regels wat ‘soepeler zijn’. Soms lijkt het behalen van een VCA (Veiligheid, gezondheid en milieu checklist aannemers) en het ter plaatse volgen van de veiligheidsinstructies op het zetten van een vinkje. Maar het heeft een positieve impact op de veiligheid. En iedereen vindt het normaal.
Zwakste schakel
Vergelijk dit nu eens met de situatie van onze informatieveiligheid en privacy. Hacks en incidenten met gevoelige data zijn dagelijks in het nieuws. Persoonsgegevens die buitgemaakt worden. Ransomware die systemen op slot zetten. Allemaal omdat we wachtwoorden hergebruiken, tweestapsverificatie niet gebruiken of achteloos klikken op linkjes. Grote schade, en in sommige gevallen doet dit zelfs een organisatie de das om.
In de bouw is de werkgever verantwoordelijk voor het creëren van veilige arbeidsomstandigheden, en stelt hij persoonlijke beschermingsmiddelen beschikbaar. Maar uiteindelijk bepaalt het gedrag van werklieden zelf of er veilig gewerkt wordt. Dit geldt ook voor informatieveiligheid en cybersecurity. Een goed beveiligd it-systeem helpt. En een it-afdeling die alert is op kwetsbaarheden en op tijd de juiste maatregelen neemt ook. Maar of de systemen ook écht veilig blijven, is vooral mensenwerk: menselijk gedrag blijkt vaak de zwakste schakel.
Impact en accountability
In een eerder artikel schreef ik dat het gek is dat we nergens leren hoe we goed omgaan met onze online-veiligheid. Een volgende stap zou moeten zijn dat we dit leren verplicht stellen. De impact van cybercrime is immers groot. Niet alleen financieel maar ook op de mens zelf. Online-veiligheid is dus noodzaak en hoort erbij. Dan gaan we het vanzelf normaal vinden. Net dat je het gewoon vindt om veiligheidsregels op een bouwplaats op te volgen omdat je weet dat die letsel voorkomen.
Een ander argument waarom het verplicht stellen van een awareness-programma een steeds beter idee is: accountability. Zie de Pathé-casus. De medewerker kreeg van de rechter gelijk: hij kon aantonen dat hij geen enkele training had gehad op het gebied van cybersecurity.
Stel dat jouw organisatie veel schade oploopt door een cyberaanval. En stel dat een belanghebbende dan vraagt wat er gedaan is om het te voorkomen, en je hebt dan geen goed verhaal… Dan krijg jij de schuld. Natuurlijk, als jij je medewerkers een cybersecurity awareness-training aanbiedt, en ze deze nauwelijks volgen, dan heb je nog steeds een zwak verhaal.
Leren
Ik was nooit zo’n voorstander van verplicht stellen. Niet alleen wekt zoiets weerstand op, maar mijn angst was ook dat het dan alleen nog maar zou gaan om het zetten van de vinkjes voor de compliance. Ofwel: indekken. Toch kom ik daarvan terug als ik kijk naar bewustzijnstrainingen. Zonder enige druk vanuit de organisatie is het percentage medewerkers dat deze programma’s volgt klein, ook na stimulans en met goede ambassadeurs. Wij zien nu voorbeelden van bedrijven die het programma wél verplicht stellen en het meenemen in het jaarlijkse voortgangsgesprek. Niet alleen schiet logischerwijs de deelname omhoog, ook de gemiddelde waardering van medewerkers blijkt prima in orde. Hun weerstand valt mee, en uit de feedback blijkt dat veel mensen toch echt iets geleerd hebben en bereid zijn hun gedrag aan te passen.
Natuurlijk heb je daarvoor wel een aantrekkelijk programma nodig. Daarbij helpt de strategie om mensen te helpen met hun online-veiligheid thuis. Iedereen gebruikt online-diensten en we hebben allemaal een smartphone. Als we leren om daarmee veilig om te gaan, nemen we die kennis mee naar ons werk. Zo wint iedereen: de medewerker beschermt zich beter online, en daarmee ook de organisatie. Zo verlaagt het risico op een succesvolle cyberaanval.
Gebeuren er dan helemaal geen incidenten meer als medewerkers een training volgen? Natuurlijk niet. Maar het helpt – net als bij inbraakbeveiliging – al enorm als je meer doet dan je buurman.
Lessons learned
Tot slot nog een paar take-aways om een cybersecurity awareness-programma in jouw organisatie te doen slagen:
-
Draagvlak binnen de directie is essentieel. Het werkt extra sterk als zij het belang van cybersecurity zelf actief uitdragen en voorbeeldgedrag laten zien.
-
Het meeste resultaat behaal je als de organisatie er regelmatig aandacht aan besteedt. Organiseer events, of speel eens een serious game over cybersecurity. En herinner medewerkers ook eens aan de basisregels als ze níet achter hun computer zitten. Bijvoorbeeld via posters.
-
Wil je het risico op een succesvolle cyberaanval in je organisatie echt verlagen? Stel deelname dan verplicht, en neem het mee in de jaarlijkse functioneringsgesprekken.
Kan jouw organisatie het veroorloven om niets te doen?
“als voldoende gezien of een wijziging door te voeren.”
moet zijn
“als voldoende gezien om een wijziging door te voeren.”
En ten overvloede: Een goede training kost bij lange na geen 750.000 euro. Denk dat zelfs de proceskosten al duurder zijn…
“Er zijn dus twee oorzaken waarom dit is gebeurd: Brabantia liet een account van hun misbruiken omdat ze tweestapsverificatie niet hadden afgedwongen. Bol.com had zijn identificatie proces niet op orde waardoor het verzoek als legitiem werd behandeld.”
en de rest van de cursus is intro praatjes, reclame praatjes, voorstelrondjes, leuke anekdotes, lunch, rollenspelletje, nabespreking 😉
Ik heb de uitspraak ook gelezen en wijs daarom op de volgende zinsnede: “Het is in beginsel niet relevant of Bol.com haar interne procedures heeft gevolgd bij het doorvoeren van de wijziging van rekeningnummer en of die procedures adequaat zijn ingericht en door de juiste mensen (met de juiste opleiding) zijn bemand.” Het te goeder trouw handelen gaat namelijk om de onderzoeksplicht die Bol.com blijkbaar door een paar Polen heeft laten doen waardoor de taalfouten geen alarmbellen hebben doen rinkelen. Verder oordeelde de rechter dat het misschien wel raadzaam is om 2FA te gebruiken maar dat er geen verplichting is om er gebruik van te maken in de contractuele relatie. Het afdwingen ervan – zoals Henri stelt – is dan ook hoogst dubieus omdat het uiteindelijk zoals alle technische maatregelen geen bescherming biedt tegen CEO fraude.
Als ouderwets boefje kreeg ik daarom altijd de dagvaardingen aangetekend per post want de ontvangstbevestiging is in sommige processen namelijk best belangrijk. Uiteraard geldt dat ook voor het leveren van goederen, het tekenen voor ontvangst van een paar pallets met een waarde van een half miljoen verschuift namelijk de verantwoording van vervoerder naar ontvanger. En uiteraard moet je als leverancier wel vooraf controleren of die ontvanger de rekening kan betalen want fraude kent vele vormen. Ik weet niet wat de cijfers zijn van faillissementsfraude via de plof-BV maar ik ken ondertussen wel wat malafide ondernemers die nog een rekening open hebben staan. Vandaar dan ook de dagvaardigingen want de proceskosten zijn voor Brabantia (de eiser) uiteindelijk niet zo hoog als ik kijk naar het resultaat.
Henri, Ewoud, twee partijen maken fouten, er zijn twee verliezers, maar de één is verreweg de grootste verliezer geworden. Een rechter kijkt altijd niet alleen naar bewezen feiten en de wet- en regelgeving, maar ook naar rechtsbeginselen zoals redelijkheid en billijkheid. De rechter heeft daarom niet alleen een oordeel geveld. De rechter heeft ook aangegeven dat: “Bol.com heeft voor het eerst tijdens de mondelinge behandeling het hiervoor bedoelde verrekeningsverweer gevoerd en in dat verband – mede onder verwijzing naar de in (paragraaf) 3.18. genoemde omstandigheden – gesteld dat Brabantia Netherlands in de nakoming van haar verplichtingen jegens Bol.com is tekortgeschoten respectievelijk onrechtmatig heeft gehandeld en aansprakelijk is voor de als gevolg daarvan geleden schade. Doordat dit verweer pas in dit late stadium aan de orde is gekomen, is het partijdebat daarover zeer beperkt geweest en daarom (nog) niet goed te beoordelen.” De rechter geeft daarmee aan dat Bol.com in hoger beroep 6:136 BW, het verrekeningsverweer, in extenso kan inbrengen. Het hof zou dan het verrekeningsverweer al tegenvordering alsnog nader kunnen beoordelen. Hierdoor zou Bol.com wellicht een deel van de haar schade kunnen verhalen op Brabantia omdat Bol.com door onvoldoende zorgvuldigheid bij Brabantia in problemen zou zijn gekomen.
Als het ge-outsourced is naar mensen die inderdaad de taal niet machtig zijn, zou dat wel wat verklaren. Dan is bij deze ook meteen het risico duidelijk.
Overigens bedoelde ik met mijn verplichten op het volgen van de cyber security training. Al vind ik verplicht stellen van tweestapsverificatie ook gewoon normaal als je leest dat deze 99% van de hacks voorkomt. En dat ging waarschijnlijk dus ook op voor deze hack.
Zoals gezegd heb ik de uitspraak gelezen en kom op grond daarvan tot de conclusie dat de rechter niet mee ging in de ‘blame game’ van Bol.com door de gegrondheid van het verweer te betwijfelen. De ‘ja maar…’ beschuldiging over een vermeende onzorgvuldigheid in het e-mail gebruik en de wijze waarop Bol.com zichzelf ten nadele van Brabantia schadeloos stelde was hoogst ongebruikelijk en dat is door de rechter gecorrigeerd. En uiteraard staat het Bol.com vrij om via de rechter proberen schade te verhalen maar er zitten nogal wat onbewezen aannames in de beschuldiging terwijl Brabantia met succes bewees dat Bol.com de duidelijke signalen dat er iets niet klopte gemist had.
Geen dank voor een iets andere visie want één van de risico’s in de communicatie is de aanname. Want wij van WC-eend zijn ook voor een gedwongen winkelnering zodat we weer achterover kunnen leunen bij de fax want e-mail is onbetrouwbaar.
Ewoud, er zijn 2 rechtsvragen. De rechtbank zag voldoende bewijs dat Bol.com nog steeds betalingsverplichtingen had. Maar het verrekeningsverweer van Bol.com zou door de rechtbank nog niet goed te beoordelen zijn, laat staan een schuldverdeling i.v.m. “een ‘ongeluk’ waaraan meerdere partijen, waaronder de schuldeiser, kunnen hebben bijgedragen”.
Ik lees dat ’tu quoque’ verrekeningsverweer adhoc werd ingebracht en daarom niet ontvankelijk verklaard werd terwijl het verzaken van de onderzoeksplicht bewezen was. Er zijn namelijk heel wat meer ‘digitale waarmerken’ dan een paar plaatjes van logo’s en handtekeningen als ik kijk naar de onweerlegbaarheid van het bewijs want te goeder trouw handelen betekent dus dat je niet te goed van vertrouwen kunt zijn. Ik heb hierin al een aantal voorzetjes gegeven want techniek van 2FA bij verzender geeft geen zekerheid als eenvoudige signalen zoals opmerkelijke taalfouten genegeerd worden bij de ontvanger want misschien is e-mail niet het beste communicatiemiddel voor sommige processen.
@Ouwe grapjas, fijn dat je de reactielijst van Henri uitbreidt.