In mijn vorige blog schreef ik waarom de basisregels van veilig online-gedrag eigenlijk al op de basisschool aangeleerd moeten worden. In deze bijdrage ga ik een stap verder: waarom het volgen van een security-bewustzijnsprogramma voor iedereen verplicht zou moeten zijn.
Veel bedrijven bieden hun medewerkers op basis van vrijwilligheid een cybersecurity-awareness- programma aan. Daar konden medewerkers aan meedoen, maar ook niet. Mijn mening over deze gang van zaken begint te veranderen en ik zal uitleggen waarom.
Pathé
In 2018 werd bioscoopketen Pathé slachtoffer van ceo-fraude. Twee medewerkers maakten in totaal achttien miljoen euro over naar een buitenlandse rekening in Dubai. De medewerkers zijn ontslagen, en deze casus zou geruisloos in de geschiedenisboeken zijn verdwenen als een van de medewerkers zijn ontslag niet had aangevochten. Zo kwam deze oplichting in het nieuws. De medewerker won de rechtszaak en Pathé moest alsnog het salaris doorbetalen. Het argument? De medewerker beriep zich erop dat hij nooit gewaarschuwd was voor ceo-fraude en zijn baas hem nog nooit een cybersecurity-awareness-training had laten volgen.
Bouwterrein
Op een bouwterrein gelden tal van veiligheidsregels. Van iedereen die zich op zo’n terrein bevindt, wordt verwacht dat hij de juiste persoonlijke beschermingsmiddelen draagt en veilig werkt. Doet iemand dat niet? Dan wordt hij erop aangesproken. Dit zorgt er natuurlijk niet voor dat er helemaal nooit meer wat misgaat. Maar het is duidelijk dat er minder incidenten plaatsvinden dan in landen waar de Arbo-regels wat ‘soepeler zijn’. Soms lijkt het behalen van een VCA (Veiligheid, gezondheid en milieu checklist aannemers) en het ter plaatse volgen van de veiligheidsinstructies op het zetten van een vinkje. Maar het heeft een positieve impact op de veiligheid. En iedereen vindt het normaal.
Zwakste schakel
Vergelijk dit nu eens met de situatie van onze informatieveiligheid en privacy. Hacks en incidenten met gevoelige data zijn dagelijks in het nieuws. Persoonsgegevens die buitgemaakt worden. Ransomware die systemen op slot zetten. Allemaal omdat we wachtwoorden hergebruiken, tweestapsverificatie niet gebruiken of achteloos klikken op linkjes. Grote schade, en in sommige gevallen doet dit zelfs een organisatie de das om.
In de bouw is de werkgever verantwoordelijk voor het creëren van veilige arbeidsomstandigheden, en stelt hij persoonlijke beschermingsmiddelen beschikbaar. Maar uiteindelijk bepaalt het gedrag van werklieden zelf of er veilig gewerkt wordt. Dit geldt ook voor informatieveiligheid en cybersecurity. Een goed beveiligd it-systeem helpt. En een it-afdeling die alert is op kwetsbaarheden en op tijd de juiste maatregelen neemt ook. Maar of de systemen ook écht veilig blijven, is vooral mensenwerk: menselijk gedrag blijkt vaak de zwakste schakel.
Impact en accountability
In een eerder artikel schreef ik dat het gek is dat we nergens leren hoe we goed omgaan met onze online-veiligheid. Een volgende stap zou moeten zijn dat we dit leren verplicht stellen. De impact van cybercrime is immers groot. Niet alleen financieel maar ook op de mens zelf. Online-veiligheid is dus noodzaak en hoort erbij. Dan gaan we het vanzelf normaal vinden. Net dat je het gewoon vindt om veiligheidsregels op een bouwplaats op te volgen omdat je weet dat die letsel voorkomen.
Een ander argument waarom het verplicht stellen van een awareness-programma een steeds beter idee is: accountability. Zie de Pathé-casus. De medewerker kreeg van de rechter gelijk: hij kon aantonen dat hij geen enkele training had gehad op het gebied van cybersecurity.
Stel dat jouw organisatie veel schade oploopt door een cyberaanval. En stel dat een belanghebbende dan vraagt wat er gedaan is om het te voorkomen, en je hebt dan geen goed verhaal… Dan krijg jij de schuld. Natuurlijk, als jij je medewerkers een cybersecurity awareness-training aanbiedt, en ze deze nauwelijks volgen, dan heb je nog steeds een zwak verhaal.
Leren
Ik was nooit zo’n voorstander van verplicht stellen. Niet alleen wekt zoiets weerstand op, maar mijn angst was ook dat het dan alleen nog maar zou gaan om het zetten van de vinkjes voor de compliance. Ofwel: indekken. Toch kom ik daarvan terug als ik kijk naar bewustzijnstrainingen. Zonder enige druk vanuit de organisatie is het percentage medewerkers dat deze programma’s volgt klein, ook na stimulans en met goede ambassadeurs. Wij zien nu voorbeelden van bedrijven die het programma wél verplicht stellen en het meenemen in het jaarlijkse voortgangsgesprek. Niet alleen schiet logischerwijs de deelname omhoog, ook de gemiddelde waardering van medewerkers blijkt prima in orde. Hun weerstand valt mee, en uit de feedback blijkt dat veel mensen toch echt iets geleerd hebben en bereid zijn hun gedrag aan te passen.
Natuurlijk heb je daarvoor wel een aantrekkelijk programma nodig. Daarbij helpt de strategie om mensen te helpen met hun online-veiligheid thuis. Iedereen gebruikt online-diensten en we hebben allemaal een smartphone. Als we leren om daarmee veilig om te gaan, nemen we die kennis mee naar ons werk. Zo wint iedereen: de medewerker beschermt zich beter online, en daarmee ook de organisatie. Zo verlaagt het risico op een succesvolle cyberaanval.
Gebeuren er dan helemaal geen incidenten meer als medewerkers een training volgen? Natuurlijk niet. Maar het helpt – net als bij inbraakbeveiliging – al enorm als je meer doet dan je buurman.
Lessons learned
Tot slot nog een paar take-aways om een cybersecurity awareness-programma in jouw organisatie te doen slagen:
-
Draagvlak binnen de directie is essentieel. Het werkt extra sterk als zij het belang van cybersecurity zelf actief uitdragen en voorbeeldgedrag laten zien.
-
Het meeste resultaat behaal je als de organisatie er regelmatig aandacht aan besteedt. Organiseer events, of speel eens een serious game over cybersecurity. En herinner medewerkers ook eens aan de basisregels als ze níet achter hun computer zitten. Bijvoorbeeld via posters.
-
Wil je het risico op een succesvolle cyberaanval in je organisatie echt verlagen? Stel deelname dan verplicht, en neem het mee in de jaarlijkse functioneringsgesprekken.
Kan jouw organisatie het veroorloven om niets te doen?
Jaap,
Je aanvulling over MD en CFO zijn bekend maar inzet van discussie is de bewering dat Pathé een sterke(re) case had gehad – in ontslag op staande voet – als security-awareness training aangeboden was maar door CFO geweigerd. De klepel en de klok gaan om het feit dat Henri met die stelling niet alleen op de stoel van de rechter gaat zitten maar ook op die van de wetgever. En de tweede stelling – die hij blijft herhalen – is dat een security-awareness training waarschijnlijk een impersonatie fraude had voorkomen, een stelling waar ik een onderbouwing voor zou willen hebben met voorbeelden. En het lijkt erop dat ook Will hier iets meer zekerheid wil en zijn veer over ‘reuring’ steek ik maar in mijn kont want er kan maar één haantje zijn tussen alle WC-eenden;-)
Wat het ook allemaal mag zijn, het is een goed geschreven stuk met heldere zinnen. Kom er maar om!
Dag Will,
De reuring is bijna een vast recept. Ik schrijf, oudlid reageert de rest komt er ook in.
Bedankt voor je reactie en vragen! Hele goede vragen die ik graag beantwoord en met plezier zal toelichten.
Wat betreft het resultaat van de training meenemen in een jaarlijks gesprek. Daar bedoel ik echt alleen het deelnemen en afmaken. Niet de score.
Harde resultaten zijn natuurlijk lastig. Dat geldt ook voor een safety training op een bouwterrein. Hoe kun je een harde relatie leggen tussen de inhoud en het voorkomen van incidenten? Maar er is een duidelijke relatie dat bedrijven met een volwassen veiligheidscultuur minder incidenten hebben. Dat zie je over de hele linie. En in mijn volgende antwoord onderbouw ik dit ook.
Namelijk, het geval Pathé waarin ik stel dat als de CFO (en MD) een training hadden gekregen dit nooit had plaatsgevonden. Kijk, je kent de voorbeelden wel van WhatsApp; “pap, ik heb een nieuwe nummer, want telefoon is in het water gevallen” en even later “Bankieren zit nog niet op mijn nieuwe telefoon, kun je heel even iets met spoed voor me overmaken?” . Als je dit leest in een artikel zul je er niet meer intrappen als het gebeurd. Het artikel is in feite een vaccin. Ditzelfde geldt voor CEO fraude. Als je over de mechaniek leest ben je praktisch immuun voor heel veel varianten 🙂 Dus ik zou dit principe zeker geen losse flodder willen noemen. Het vaccin is zeer effectief.
Nu leent helaas niet alles van een security awareness training voor zulke goede resultaten. Zo hergebruiken zeer veel mensen hun wachtwoorden terwijl ze nu wel weten dat dit een slecht idee is. In zo’n geval is tweestapsverificatie een redelijk vaccin met 99% dekking, maar ook dat wordt nog te weinig gedaan. En hier ga ik een (Inge) Wetzer doen: Voor gedragsverandering is er meer nodig dan alleen een training. Je moet mensen ook motiveren en de tools (ofwel de gelegenheid) geven om het gewenste gedrag te passen. Dus in geval van oplichting is weten vaak voldoende, maar cyber security awareness is natuurlijk veel breder dan alleen het social engineering aspect.
De lans hier is dan ook voor het verplicht stellen van awareness training. Geheel geen training is echt geen optie meer.
@Louis: Dank 🙂
“het verplicht stellen van awareness training. Geheel geen training is echt geen optie meer”
Eens op beide punten. Maar als ik alles zo teruglees blijft het resultaat boterzacht met AVG/ISO-achtige situaties: als er al een (wettelijke?) verplichting is dan is dat doorgaans gekoppeld aan een minimale inspanning om te voldoen aan die verplichting. En nou ja – beter iets dan niets misschien… maar toch…
“hier ga ik een (Inge) Wetzer doen: Voor gedragsverandering is er meer nodig dan alleen een training”
En wat zou dat meer dan moeten/kunnen zijn? Anders dan een keer de “echte” pijn ervaren van een gijzeling en/of dito financiele aderlating?
Will, sure, je wilt er geen compliance vinkje van maken. Dan heb je weliswaar de accountability gedekt, maar vind het ongeluk alsnog plaats. En voorop gesteld: Er is geen silver bullet waarbij je een een knop drukt en alles is opgelost. Dus als de vraag is; Hoe voorkom ik cyber security incidenten? Dan is het antwoord veel langer dan “geef medewerkers verplicht awareness training”.
Er is heel veel wat je kunt doen om te motiveren en gelegenheid te bieden en ik zal een voorbeeld geven. Mensen hergebruiken wachtwoorden omdat het nu eenmaal lastig is om veel (sterke) wachtwoorden te onthouden. Dus biedt ze een wachtwoordmanager aan inclusief de training daar goed mee om te gaan. Of stel tweestapsverificatie verplicht, maar geef ook de tools erbij om het toepassen makkelijker te maken. Of beloon de medewerker als het programma helemaal is gevolgd. Of organiseer een serious game die leuk is om te doen, maar waarbij je ook wat leert. Het hangt allemaal af van de situatie en het blijft hoe dan ook een inspanning. Maar als je ziet dat de directeur het ook doet, dan zullen medewerkers ook meer gemotiveerd zijn.
Als je maar iets structureels doet en dat ook meet. Als je merkt dat medewerkers het niet leuk vinden, of teveel moeite, dan moet je zo’n signaal wel serieus nemen. Persoonlijk geloof ik erin dat als je mensen helpt hun eigen leven veiliger te maken, ze dit gedrag ook meenemen naar hun werk.
Nog genoeg voer voor vervolgartikelen….
Ewout, normaal zou de rechter al gauw akkoord gaan met ontslag op staande voet als de medewerker al dan niet verplicht (zoals Henri voorsteld) een security-awareness training heeft gevolgd en een stel rode vlaggen mist. Dat geldt zeker voor iemand die jarenlang accountant is geweest en bekend moet zijn met allerlei vormen van financiële fraude.
Maar (de advocaat van) de CFO kan in dit specifieke geval erop wijzen dat het moederbedrijf ook een heel stel rode vlaggen heeft gemist. Les Cinémas Pathé Gaumont kon wel met de duim en de wijsvinger naar de MD en CFO uit Nederland wijzen, maar de rechter zou ook drie andere vingers zien richting de 2 Franse CEO’s en de beheerder van de gezamenlijke cash-pool. Het cultuurpatroon speelt ook mee.
Het is de druppel die de steen uitholt, niet een eenmalige emmer water.
Security is een proces, geen status.
In iedere vergadering en bespreking zou dit een agendapunt moeten zijn.
Menselijk gedrag verander je alleen met de kracht van de herhaling.
Daar zijn psychologieboeken mee volgeschreven.
Het is een argumentum ad absurdum als ik zeg dat alles anders gelopen was als CEO/CFO van Pathé een bewustzijnstraining hadden doorlopen die – enkel en alleen – om het gebruik van een wachtwoordmanager ging. De wevers van een ‘stof die alleen zichtbaar is voor slimme mensen’ uit het sprookje van H.C. Andersen maken duidelijk dat oplichting van alle tijden is en daarom meer om de psychologie gaat dan de technologie. Oplichters zijn tenslotte meester in de verleiding door het orgel van de emotie te bespelen en het schijnt dat optimististen daarom kwetsbaarder voor oplichting zijn omdat ze geloven in de meevaller welke voor de pessimisten vaak te mooi zijn om waar te kunnen zijn. De reuring en bevestiging die ontstond toen een kind riep dat de keizer in zijn blote kont liep terwijl de hele hofhouding niks durfde te zeggen gaat – zoals Jaap zegt – ook om de bedrijfscultuur. Want dat CFO eerder door een tuchtrechter uit het accountantsregister was geschrapt bleek geen bezwaar voor aanstelling. Het ‘complaince-kruisje’ aangaande fraude is echter een ander verhaal als we het over klok en de klepel gaan hebben.
Weer een voorbeeld van CEO fraude, maar nu in combinatie van een hack bij een andere partij. Bol.com heeft in november 2019 een e-mail gekregen via een gehackt Brabantia account van een medewerkster van de boekhoudafdeling. De oplichters hadden in de cloud office mailbox toegang gehad tot alle instellingen.
In de mail van “Brabantia” aan Bol.com stond: ‘Tav: Account te betalen/Attn: Account Payable Geachte heer mevrouw, Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen. Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje. We het op prijs as u uw gegevens kunt bijwerken.‘ Er zou nog een bevestiging zijn van Brabantia: ‘Goedenmiddag Uw oprechte antwoord wordt op prijs gesteld, bevestig zo vriendelijk dat u onze boekhouding bij u hebt bijgewerkt. Alvast bedankt!‘ Google translate o.i.d. is niet perfect, maar doet het wel stukken beter dan de hacker. De e-mail van de Bol.com werd blijkbaar doorgestuurd naar een Gmail account van de oplichters en in de Brabantia mailbox gewist voordat deze werd ontdekt.
Bol.com heeft daarna ruim € 750.000 voor Brabantia overgemaakt naar een Spaanse bankrekening. Bol.com zegt ter goeder trouw te hebben gehandeld en verwijt Brabantia hun mail account onvoldoende te hebben beveiligd, dus eigen schuld. De rechtbank geeft aan ‘In de brief wordt verzocht een Spaans rekeningnummer te registreren. Naar het oordeel van de rechtbank had dat al moeten leiden tot gezonde argwaan‘.‘Naar het oordeel van de rechtbank moesten verschillende aspecten uit deze passage, in onderlinge samenhang, Bol.com ernstig aan het twijfelen brengen.‘ Daarom is de rechtbank van mening dat Bol.com had moeten twijfelen, dus niet te goeder trouw was en komt tot de conclusie dat Bol.com de betalingsverplichtingen naar Brabantia alsnog moet voldoen.
Dag Jaap,
Ja een mooi verhaal, in de rechtszaak las ik dat ze de bol.com replies automatisch op gelezen hadden gezet en verplaatst naar een folder “rss feeds”.
Ze hadden moeten bellen naar het nummer wat hun bekend was. Bol.com had gewoon zijn proces rondom identificatie niet op orde. Een geldige afzender werd dus al als voldoende gezien of een wijziging door te voeren.
En net als met de Pathe case kwam dit dus pas aan het licht omdat er een rechtszaak was aangespannen. Hoeveel zaken zoals dit krijgen we niet te zien?
Er zijn dus twee oorzaken waarom dit is gebeurd: Brabantia liet een account van hun misbruiken omdat ze tweestapsverificatie niet hadden afgedwongen. Bol.com had zijn identificatie proces niet op orde waardoor het verzoek als legitiem werd behandeld.
Nu zijn de meningen op Twitter verdeeld, maar persoonlijk denk ik dat als beide partijen een goede cybersecurity awareness training verplicht hadden gesteld, dit dus niet gebeurd zou zijn.