In mijn vorige blog schreef ik waarom de basisregels van veilig online-gedrag eigenlijk al op de basisschool aangeleerd moeten worden. In deze bijdrage ga ik een stap verder: waarom het volgen van een security-bewustzijnsprogramma voor iedereen verplicht zou moeten zijn.
Veel bedrijven bieden hun medewerkers op basis van vrijwilligheid een cybersecurity-awareness- programma aan. Daar konden medewerkers aan meedoen, maar ook niet. Mijn mening over deze gang van zaken begint te veranderen en ik zal uitleggen waarom.
Pathé
In 2018 werd bioscoopketen Pathé slachtoffer van ceo-fraude. Twee medewerkers maakten in totaal achttien miljoen euro over naar een buitenlandse rekening in Dubai. De medewerkers zijn ontslagen, en deze casus zou geruisloos in de geschiedenisboeken zijn verdwenen als een van de medewerkers zijn ontslag niet had aangevochten. Zo kwam deze oplichting in het nieuws. De medewerker won de rechtszaak en Pathé moest alsnog het salaris doorbetalen. Het argument? De medewerker beriep zich erop dat hij nooit gewaarschuwd was voor ceo-fraude en zijn baas hem nog nooit een cybersecurity-awareness-training had laten volgen.
Bouwterrein
Op een bouwterrein gelden tal van veiligheidsregels. Van iedereen die zich op zo’n terrein bevindt, wordt verwacht dat hij de juiste persoonlijke beschermingsmiddelen draagt en veilig werkt. Doet iemand dat niet? Dan wordt hij erop aangesproken. Dit zorgt er natuurlijk niet voor dat er helemaal nooit meer wat misgaat. Maar het is duidelijk dat er minder incidenten plaatsvinden dan in landen waar de Arbo-regels wat ‘soepeler zijn’. Soms lijkt het behalen van een VCA (Veiligheid, gezondheid en milieu checklist aannemers) en het ter plaatse volgen van de veiligheidsinstructies op het zetten van een vinkje. Maar het heeft een positieve impact op de veiligheid. En iedereen vindt het normaal.
Zwakste schakel
Vergelijk dit nu eens met de situatie van onze informatieveiligheid en privacy. Hacks en incidenten met gevoelige data zijn dagelijks in het nieuws. Persoonsgegevens die buitgemaakt worden. Ransomware die systemen op slot zetten. Allemaal omdat we wachtwoorden hergebruiken, tweestapsverificatie niet gebruiken of achteloos klikken op linkjes. Grote schade, en in sommige gevallen doet dit zelfs een organisatie de das om.
In de bouw is de werkgever verantwoordelijk voor het creëren van veilige arbeidsomstandigheden, en stelt hij persoonlijke beschermingsmiddelen beschikbaar. Maar uiteindelijk bepaalt het gedrag van werklieden zelf of er veilig gewerkt wordt. Dit geldt ook voor informatieveiligheid en cybersecurity. Een goed beveiligd it-systeem helpt. En een it-afdeling die alert is op kwetsbaarheden en op tijd de juiste maatregelen neemt ook. Maar of de systemen ook écht veilig blijven, is vooral mensenwerk: menselijk gedrag blijkt vaak de zwakste schakel.
Impact en accountability
In een eerder artikel schreef ik dat het gek is dat we nergens leren hoe we goed omgaan met onze online-veiligheid. Een volgende stap zou moeten zijn dat we dit leren verplicht stellen. De impact van cybercrime is immers groot. Niet alleen financieel maar ook op de mens zelf. Online-veiligheid is dus noodzaak en hoort erbij. Dan gaan we het vanzelf normaal vinden. Net dat je het gewoon vindt om veiligheidsregels op een bouwplaats op te volgen omdat je weet dat die letsel voorkomen.
Een ander argument waarom het verplicht stellen van een awareness-programma een steeds beter idee is: accountability. Zie de Pathé-casus. De medewerker kreeg van de rechter gelijk: hij kon aantonen dat hij geen enkele training had gehad op het gebied van cybersecurity.
Stel dat jouw organisatie veel schade oploopt door een cyberaanval. En stel dat een belanghebbende dan vraagt wat er gedaan is om het te voorkomen, en je hebt dan geen goed verhaal… Dan krijg jij de schuld. Natuurlijk, als jij je medewerkers een cybersecurity awareness-training aanbiedt, en ze deze nauwelijks volgen, dan heb je nog steeds een zwak verhaal.
Leren
Ik was nooit zo’n voorstander van verplicht stellen. Niet alleen wekt zoiets weerstand op, maar mijn angst was ook dat het dan alleen nog maar zou gaan om het zetten van de vinkjes voor de compliance. Ofwel: indekken. Toch kom ik daarvan terug als ik kijk naar bewustzijnstrainingen. Zonder enige druk vanuit de organisatie is het percentage medewerkers dat deze programma’s volgt klein, ook na stimulans en met goede ambassadeurs. Wij zien nu voorbeelden van bedrijven die het programma wél verplicht stellen en het meenemen in het jaarlijkse voortgangsgesprek. Niet alleen schiet logischerwijs de deelname omhoog, ook de gemiddelde waardering van medewerkers blijkt prima in orde. Hun weerstand valt mee, en uit de feedback blijkt dat veel mensen toch echt iets geleerd hebben en bereid zijn hun gedrag aan te passen.
Natuurlijk heb je daarvoor wel een aantrekkelijk programma nodig. Daarbij helpt de strategie om mensen te helpen met hun online-veiligheid thuis. Iedereen gebruikt online-diensten en we hebben allemaal een smartphone. Als we leren om daarmee veilig om te gaan, nemen we die kennis mee naar ons werk. Zo wint iedereen: de medewerker beschermt zich beter online, en daarmee ook de organisatie. Zo verlaagt het risico op een succesvolle cyberaanval.
Gebeuren er dan helemaal geen incidenten meer als medewerkers een training volgen? Natuurlijk niet. Maar het helpt – net als bij inbraakbeveiliging – al enorm als je meer doet dan je buurman.
Lessons learned
Tot slot nog een paar take-aways om een cybersecurity awareness-programma in jouw organisatie te doen slagen:
-
Draagvlak binnen de directie is essentieel. Het werkt extra sterk als zij het belang van cybersecurity zelf actief uitdragen en voorbeeldgedrag laten zien.
-
Het meeste resultaat behaal je als de organisatie er regelmatig aandacht aan besteedt. Organiseer events, of speel eens een serious game over cybersecurity. En herinner medewerkers ook eens aan de basisregels als ze níet achter hun computer zitten. Bijvoorbeeld via posters.
-
Wil je het risico op een succesvolle cyberaanval in je organisatie echt verlagen? Stel deelname dan verplicht, en neem het mee in de jaarlijkse functioneringsgesprekken.
Kan jouw organisatie het veroorloven om niets te doen?
Even een reactie naar mijzelf zodat ik een mail krijg als er een reactie komt.
Henri,
Je hebt weer eens ergens een klok horen luiden maar weet niet waar de klepel hangt want hoewel Edwin S. zich beriep op het feit dat hij nooit gewaarschuwd was voor ceo-fraude ging de rechter daar niet in mee zoals onderstaande uitspraak laat zien:
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:7881
Oudlid,
Met een training was het waarschijnlijk nooit gebeurd. De zaak kwam in het nieuws door het ontslag op staande voet, dit is aangevochten en zijn salaris is doorbetaald tot het einde van dat jaar. Tja, het is maar wat je klokken en klepels noemt. Dus je deed weer je best om wat te vinden, en dit is het beste waarmee je kon komen?
Henri,
Zoals je zelf al zegt ging het om ontslag op staande voet, dat is dus heel wat anders dan jij suggereert in je opinie. Als het beste is waarmee jij kunt komen halve waarheden en hele leugens zijn dan ga ik graag met je de strijd aan. Want als ik een rechterlijke uitspraak weet te vinden die een ander licht op de zaak geeft dan kun je wat spartelen met de jij-bak maar jij hangt aan de haak. Dingen anders voorstellen dan ze werkelijk zijn om er economisch beter van te worden is namelijk ook een vorm van fraude.
Oudlid, net als op mijn vorige artikel probeer je weer de dialoog te kapen. Bovendien kies je direct voor de persoonlijke aanval door te stellen dat ik geen verstand van zaken heb (klokken, klepels), vervolgens beticht je mij van fraude.
Nu had ik de zin iets anders kunnen opstellen “Het argument?” had kunnen worden “Een belangrijk argument?”
“De medewerker won de rechtszaak” is prima te verdedigen. Het enige wat je daar op af kunt dingen is dat hij voor zijn deel de proceskosten moest betalen. Maar in essentie heeft hij zijn directe ontslag succesvol aangevochten en iedereen snapt dat je na zo’n voorval niet in je functie kan aanblijven.
Als je het dan over de geest van het artikel hebt; security awareness is belangrijk en je zou dit verplicht moeten stellen en als dit bij Pathé was gebeurd dan het voorval waarschijnlijk nooit plaatsgevonden.
Als je nu in je eerste reactie iets had gesteld als “Ik lees iets anders in de uitspraak” en niet met een gestrekt been vooruit, dan wil ik daar best verder op in gaan, maar met de manier waarop je communiceert verleid je mij niet hier nog verder op door te gaan.
Tot slot: In dit stuk gaat het om de inhoud zonder reclame-show en wc-eend, anders was dit artikel nooit geplaatst.
Henri,
Of je erg geloofwaardig bent in je ontkenning over het verkopen van security-awareness programma’s laat ik aan de lezers over, ik baseer me enkel op wat in je profiel staat want als het waggelt als eend. En in plaats van janken kun je me ook bedanken want het feiten verslag van de rechtbank geeft een inzicht over hoe e.e.a is gegaan. Omvang van CEO-fraude spreekt tot verbeelding maar Jan Modaal schuift niet eventjes een paar miljoen naar een bank in Dubai. Je had je monoloog over de Pathé-casus kunnen veranderen in een dialoog over whaling, de vriend-in-nood fraude met andere geldezels door de focus een klein beetje te verleggen. Bijvoorbeeld naar de modus operandi van social engineering door te wijzen op allerlei andere vormen van impersonatie fraude in plaats van de gebruikelijke jij-bak met: “Dan krijg jij de schuld.”
Ja, ik beken schuld dat ik opzettelijk met gestrekt been erin ben gegaan omdat ik weet hoe je op de ‘rode vlag’ reageert en ik speel de ‘blame game’ daarom graag met je mee want verwijten dat ik de dialoog kaap is gewoon een afweermechanisme voor je eigen tekortkoming dat je over het onderwerp niet zoveel te vertellen hebt. Het kost namelijk minder moeite om een ander iets te verwijten dan jezelf te verbeteren. Ik zit tenslotte weken op mijn handen te wachten op deel 2 met talloze voorbeelden over hoe je gefopt kunt worden en dan kom je (weer) met niks. Je komt met een inhoudsloze reclame-show die de redactie alleen maar plaatst in de hoop dat ik reageer zodat het toch nog een leuke polemiek wordt.
“In dit stuk gaat het om de inhoud zonder reclame-show en wc-eend, anders was dit artikel nooit geplaatst.”
Mijn reactie is ook een topper anders was die nooit geplaatst.
Ik hoop dat de security checks zelf wat kritischer zijn. Dat ze geen tests overslaan omdat iets claimt dat het al goed getest is.
wc-eend wil vast ook alleen maar schone toilletten en toevallig verkopen ze een product waarmee dat dat kan.
Ze gaan alleen niet zover dat het ze het eigenlijk verplicht willen stellen.
Henri, je hebt gelijk, een security awareness cursus is inderdaad van groot belang. En niet alleen voor werknemers.
Aansluitend bij je voorbeeld van Pathé. Een cursus security awareness zou ook gevolgd moeten worden door de CEO en andere directieleden. CEO-fraude is vooral mogelijk in een cultuur waar de CEO zelf zit te rommelen. Een afwijkend en risicovol verzoek van een valse CEO komt in zo’n cultuur niet vreemd over. Als de CEO ook nog eens slecht toegankelijk is voor “gezeur” over betalingsverzoeken, dan is het vragen om moeilijkheden. De directeuren van Pathé Nederland die in CEO-fraude zijn getrapt, kwamen beide uit bedrijven waar ze veel ritselen zijn tegengekomen. De managing director kwam bij het Havenbedrijf Rotterdam vandaan, de CFO was oud KPMG accountant. Daardoor waren zij wellicht minder alert op fraude en hadden de verkenners hun puppets goed uitgekozen. De fraude e-mails die Pathé heeft gekregen zijn voor een deel gepubliceerd. Ze vertonen de fraudestijl van London Blue-hackers uit Nigeria. “The transaction must remain strictly confidential. No one else must be made aware of it for now in order to give us an advantage over our competitors. I and I alone will notify the affected parties in due time “ Het moest heel snel gebeuren (weinig tijd om na te denken), het moest van de hoogste baas (legt extra druk), het moest geheim blijven (geen collega om mee te sparren), het geld moest via een vreemde manier geleverd worden (past bij het kletsverhaal over concurrentie). De gebruikte e-mail adressen van de “CEO” kwamen van een domeinnaam eindigend op pathe.com, maar niet van Pathé. Dat viel niet op, net als wel meer details.
De eerste fraudebetalingen bij Pathé Nederland zijn grotendeels door de managing director afgehandeld. De CFO, heeft daarna nog eens 2 grote fraudebetalingen uitgevoerd. De hackers hadden de smaak te pakken. Het hoofdkantoor van Pathé in Frankrijk heeft daarvoor voortvarend grote bedragen uit de gezamenlijke cash-pool ter beschikking gesteld. Het hoofdkantoor heeft dus ook ‘red flags’ gemist. De MD en CFO onderhielden tot maart 2018 geen rechtstreeks contact met de twee CEO’s van Les Cinémas Pathé Gaumont, en toen was het te laat. De ontslagen CFO zegt nu “Jouw bedrijfscultuur vormt het grootste gevaar.”
Even kijken waar de klepels hangen. De CFO is in eerste instantie op staande voet ontslagen. De CFO vond dat hij ten onrechte was ontslagen. De CFO zou door gebrek aan kennis van CEO-fraude ongemerkt en ongewild meegewerkt hebben aan de CEO-fraudebetalingen. (Overigens, op 11 juli 2015 werd op http://www.fraudehelpdesk.nl al gewaarschuwd voor zogenoemde CEO-fraude.) De CFO eiste wedertewerkstelling. Daar ging de rechtbank deels in mee. De rechtbank vond dat Pathé geen (dringende) reden heeft gehad voor ontslag op staande voet (wellicht omdat het hoofdkantoor ook enorme fouten heeft gemaakt). Het ontslag op staande voet is daarom vernietigd. Maar de rechtbank oordeelde op de tegenvordering dat de CFO wel alsnog gewoon ontslagen mocht worden vanwege de laatste 2 CEO-fraudebetalingen (te veel ‘red flags’ gemist voor een financieel verantwoordelijke oud accountant). De CFO kreeg met terugwerkende kracht een half jaar loon plus de wettelijke rente, maar geen ontslagvergoeding. Ook moest iedere partij de eigen juridische kosten dragen.
Bedankt Jaap voor je uitgebreide reactie. CFO van Pathé heeft inderdaad o.a. een whitepaper geschreven over dit onderwerp. Cultuur is van belang bij het risico op CEO fraude.
Wat als Pathé wel iets van training op dit onderwerp had aangeboden? Als de training niet was doorlopen had Pathé een sterke case gehad, als de training wel was doorlopen was er waarschijnlijk nooit een rechtszaak geweest, want dan had het voorval waarschijnlijk nooit plaatsgevonden.
Maar de CEO fraude dingetje is natuurlijk maar een onderdeel van het geheel. De meeste organisaties zijn kwetsbaar doordat de basis van veiligheid gedrag domweg niet wordt toegepast. Hiervan is keiharde data veelvuldig aanwezig. Het is tijd dat de vrijblijvendheid snel verdwijnt. Met alle dagelijkse voorbeelden in het nieuws kan de directie niet meer met droge ogen beweren dat ze van niets wisten als het toch gebeurde. Natuurlijk wordt er gehackt (Hof van Twente) en kwetsbaarheden soms te laat gepatched (Exchange), maar in praktisch alle gevallen is de mens de root-cause en niet de techniek zelf. Een digitaal programma lost dit probleem natuurlijk niet op, maar het is wel een eenvoudig te nemen stap in de goede richting die zijn investering dubbel en dwars waard is.
@Henri:
Allereerst mijn complimenten – op een of andere manier lukt het je steeds om behoorlijk wat reuring te weeg te brengen met je artikelen – nice! 🙂
=====
Dan terug naar de inhoud.
“maar in praktisch alle gevallen is de mens de root-cause en niet de techniek zelf”
Inderdaad – en daarom zouden awareness trainingen inderdaad voor iedereen verplicht moeten zijn. Eventueel aangevuld met een (soort van) “rijbewijs” rondom IT gebruik.
Waar ik meer moeite mee heb is om eventuele resultaten een onderdeel te maken van de jaarlijke beoordelingsronde.
Nogmaals – awareness trainingen verhogen inderdaad de bewustwording rondom de risico’s bij de inzet van IT middelen; prive en zakelijk. En ja, de kans dat je als organisatie en/of persoon de cybercrime-dans ontspringt neemt toe.
Maar hoe zit het met “harde” resultaten? Kan je inderdaad stellen dat een organisatie (bijvoorbeeld) 63% minder kans maakt op malware/ransomware, CEO-fraude en wat-dies-meer-zij? Vermits iedereen training A-tot-D twee keer doorlopen heeft? Al dan niet in combinatie met een of meer toetsmomenten?
En als dat zo is, hoe ga je dit alles mee laten wegen op een individuele beoordeling? Kan je inderdaad stellen dat iemand minder risico-bewust is als (bijvoorbeeld) toetsresultaten negatief zijn? En hoe weeg je het cultuur-aspect?
=====
“Wat als Pathé wel iets van training op dit onderwerp had aangeboden? Als de training niet was doorlopen had Pathé een sterke case gehad, als de training wel was doorlopen was er waarschijnlijk nooit een rechtszaak geweest, want dan had het voorval waarschijnlijk nooit plaatsgevonden.”
Dit is de tweede keer dat je met die stelling komt. Waarop baseer je dit? En in hoeverre is het relevant?
Mijn 2-centen op de laatste (soort van) retorische vraag:
Je wil (terecht!) een lans breken voor awareness trainingen. Dan lijken me dit soort losse flodders nauwelijks of niet relevant. Al was het maar omdat geen van twee scenario’s onderbouwd kan worden – toch? Of heb ik ergens wat gemist?