Het lijdt geen twijfel dat het turbulente afgelopen jaar opportunistische cybercriminelen in de kaart heeft gespeeld. Aanvallers hebben niet geaarzeld om de wereldwijde problemen in hun voordeel te benutten.
Wereldwijd zagen organisaties in 2020 een toename van zowel ransomware als phishing. Het is misschien niet helemaal correct om de schuld hiervan volledig bij het coronavirus en de daarmee samenhangende cyberdreigingen te leggen. Het valt echter niet te ontkennen dat dit een rol heeft gespeeld. Cybercriminelen waren er snel bij om van deze gelegenheid gebruik te maken en hebben duizenden Covid-gerelateerde aanvallen uitgevoerd op gebruikers die misschien kwetsbaarder waren dan gewoonlijk.
De plotselinge verschuiving naar telewerken na het uitbreken van de pandemie heeft ook risico’s met zich meegebracht. Volgens een recent CPB-rapport zal het aantal uren dat na de pandemie op afstand wordt gewerkt naar verwachting verdubbelen ten opzichte van het aantal uren dat vóór de pandemie op afstand werd gewerkt – van vier naar acht uur per week.
Veel organisaties waren niet direct voorbereid op het thuiswerken van hun personeel. Veel ciso’s gaven zelfs toe dat hun medewerkers niet goed voorbereid waren op het werken op afstand.
In reactie hierop hebben veel organisaties het aantal trainingen op het gebied van beveiligingsbewustzijn verhoogd. Veel bedrijven boden zelfs specifieke trainingen aan over hoe je veilig op afstand kunt werken. Hoewel het verleidelijk is om deze extra training als goed nieuws te beschouwen, is de realiteit anders. Er zou geen wereldwijde crisis voor nodig moeten zijn om organisaties het belang van beveiligingsbewustzijn te doen inzien.
Om effectief te zijn, moet cybersecurity-training regelmatig plaatsvinden en altijd worden aangepast aan de dreigingen van het moment. Training moet een centraal onderdeel zijn van het beveiligingsprogramma van een organisatie, het hele jaar door.
Impact van Covid op cybersecurity
Cybercriminele activiteit bereikte een piek in maart en april en aanvallers hebben een groot deel van 2020 geprofiteerd van de vele aandacht rondom de pandemie. Wat phishing betreft, zag elk onderzoeksteam nog nooit eerder een dergelijke combinatie van relevante berichten en massa-aanvallen.
Hoewel de tactieken het hele jaar door veranderden, bleef het doelwit hetzelfde. In sommige gevallen werden geneesmiddelen aangeboden, in andere werden snelle tests en voorrang bij de vaccinatie beloofd. Vaak werden slachtoffers aangemoedigd waardevolle inloggegevens prijs te geven.
De drang naar nieuwe informatie over Covid-19 was slechts één factor die het vuurtje aanwakkerde. Cybercriminelen sloegen ook toe in een tijd van aanzienlijke verstoring en afleiding. Werken op afstand, thuisonderwijs en de stress van een schijnbaar oneindige pandemie maakten gebruikers vatbaarder voor fouten – en kwetsbaarder voor aanvallen.
Staat van beveiligingsbewustzijn
Op het eerste gezicht is het niet gek te denken dat de bestaande training op het gebied van beveiligingsbewustzijn meer dan toereikend was. Er is echter een enorm verschil tussen het uitvoeren van een trainingsprogramma voor cybersecurity en het uitvoeren van een effectief trainingsprogramma voor cybersecurity.
Zoals COVID-gerelateerde phishing-aanvallen ons hebben laten zien, is het niet genoeg om gebruikers te leren dat er een bedreiging bestaat. Voor de beste resultaten moeten ze erover leren in de context van echte aanvalsmethoden. Wanneer het bewustzijn van specifieke en relevante bedreigingen toeneemt, kan het gedrag pas veranderen.
Bewustzijn is echter niet voldoende. Je werknemers houden zich pas aan best practices op het gebied van beveiliging als zij ook echt bij het programma worden betrokken. Als een werknemer bijvoorbeeld een melding krijgt waarin wordt bevestigd dat de potentiële phishing-e-mail die hij heeft gemeld, daadwerkelijk schadelijk was, stimuleert dit een cultuur waarin beveiliging voorop staat.
Helaas is dit niveau van training zeldzaam. We weten dat cybercriminelen hun aanvallen steeds vaker richten op individuele gebruikers in plaats van op de infrastructuur. Als deze gebruikers niet worden uitgerust met de kennis om dergelijke aanvallen op te sporen en tegen te gaan, is dat in het beste geval riskant en in het slechtste geval nalatig.
Best practices als norm
De reactie op Covid-gerelateerde phishing-aanvallen toont aan dat relevante, gerichte en contextuele training in beveiligingsbewustzijn werkt.
In plaats van op de oude voet verder te gaan zodra de pandemie voorbij is, moeten organisaties de ervaring gebruiken om trainingsprogramma’s voor de lange termijn te implementeren die er actief naar streven risicovol gedrag te veranderen. Deze programma’ s moeten gericht zijn op het individu en zich aanpassen aan actuele, reële bedreigingen.
Dit is alleen mogelijk door gebruikers in het hart van je verdediging te plaatsen. Zij zijn vaak het enige dat tussen het slagen en mislukken van een aanval staat. Het niveau van de training die zij krijgen, moet deze hoge inzet weerspiegelen.
Training op het gebied van beveiligingsbewustzijn moet verder gaan dan jargon, definities van veelvoorkomende bedreigingen en multiple-choice-vragen. De training moet gebruikers duidelijk maken wat hun verantwoordelijkheden zijn en wat de gevolgen zijn als ze die niet nakomen.
Als je deze uitgebreide, mensgerichte training regelmatig verzorgt, creëer je een beveiligingscultuur. Een cultuur waarin je mensen begrijpen hoe eenvoudig gedrag je organisatie in gevaar kan brengen. En waarin alle gebruikers weten hoe ze cyberaanvallen kunnen voorkomen, detecteren en voorkomen. In deze cultuur worden best practices de norm.