Cybersecurity: begin bij de menselijke risico’s
Veel organisaties investeren fors in hun technologische beveiliging, maar vergeten daarbij hun werknemers. Dat maakt die medewerkers tot een geliefd doelwit voor cybercriminelen. Hoe zet je een volwaardig security awareness programma op dat verder gaat dan alleen compliance, maar dat het gedrag van mensen verandert en uiteindelijk een veilige cultuur creëert?
“Vaak wordt gezegd dat medewerkers de zwakste schakel zijn, maar dat is niet eerlijk”, stelt cybersecurity expert Lance Spitzner. Spitzner werkt onder meer als trainer bij het SANS Institute dat zich richt op het wereldwijd trainen en certificeren van cybersecurity professionals. Hij geeft daar de cursus ‘Managing Human Risk’.
“Bedrijven richten zich voornamelijk op technologische maatregelen wanneer het gaat om de beveiliging. En dat maakt dat cybercriminelen zich gaan richten op andere manieren om binnen te komen; via de werknemers. In plaats van zeggen dat deze mensen de zwakste schakel zijn, is het beter om te stellen dat medewerkers het belangrijkste aanvalsdoelwit zijn.” Daarnaast zijn ze, volgens de trainer, bovendien de belangrijkste informatiebron voor mogelijke kwetsbaarheden.
Menselijk systeem
Zo'n 80 tot 90 procent van alle geslaagde cyberaanvallen volgt op een menselijke vergissing. Om het risico op cyberincidenten via medewerkers te verkleinen, zouden bedrijven niet louter naar technologie moeten kijken. Ze zouden zich daarnaast meer moeten richten op het vereenvoudigen van veilig gedrag en het trainen van medewerkers in hoe zij mogelijke aanvallen kunnen herkennen en daarop moeten reageren.
“Veel organisaties hebben tegenwoordig een awareness programma, maar niet zelden is dat vooral gericht op het kunnen afvinken van een compliance-voorwaarde”, stelt Spitzner. “De IT-afdeling is iedere maand druk met het patchen en beveiligen van de systemen. Eigenlijk moet je het personeel als een menselijk systeem zien dat je ook op heel regelmatige basis moet trainen. Alleen dan kun je daadwerkelijk gedrag veranderen.”
Begrip is cruciaal
Uit een recent onderzoek van Cisco en Telindus blijkt dat bijna twee derde van de ondervraagde IT-architecten en -managers van mening is dat de organisatie over te weinig securitykennis beschikt en dat daarmee de effectiviteit van het securitybeleid onder druk komt te staan. Slechts 56 procent van hen ziet cybersecurity als technische én organisatorische uitdaging. Terwijl juist die organisatorische kant een belangrijk risico vormt. Om dat risico te kunnen afdekken is niet alleen bewustwording en gedragsverandering noodzakelijk van medewerkers. Het is cruciaal om de volledige bedrijfscultuur rondom veilig werken – zowel fysiek als digitaal – in te richten.
Jelle Wieringa werkt bij KnowBe4, een trainingsinstituut voor security awareness, en weet alles van Security Culture. “Het is cruciaal om je medewerkers te laten begrijpen waaróm je wilt dat ze veilig werken. De verplichte awareness trainingen om compliant te zijn, slaan vrijwel nooit aan. Want voor veel medewerkers is dat hele compliance-onderwerp totale abracadabra. Bovendien is compliance vooral gericht op wat je allemaal níet mag doen, maar het geeft weinig handvatten voor het juiste gedrag.”
ABC
Vandaar dat Wieringa organisaties op het hart drukt security awareness vanuit een ABC’tje te benaderen: Awareness, Behaviour, Culture. “Het een kan niet zonder het ander bestaan. Communicatie is cruciaal in dit geheel. Werknemers – en dat geldt ook voor de directie en de crisismanager zelf – moeten begrijpen waarom het belangrijk is om te weten hoe cybercriminelen te werk gaan, hoe ze mogelijke malafide mails en links kunnen identificeren en wat je als organisatie verwacht van hen qua veilig gedrag. Je kunt wel tegen iedereen zeggen dat ze hun deur op slot moeten draaien, maar als ze niet snappen waarom dat nodig is, voelt dat vooral als nodeloze extra handeling en zullen ze minder snel geneigd zijn om zich hieraan te houden.”
Menselijke risicoanalyse
Uit recent onderzoek van KnowBe4 blijkt dat veel organisaties hun werknemers niet zien als sensor voor mogelijke kwetsbaarheden, maar als degenen die kwaad doen. “Gevraagd naar de reactie van het IT-team op het moment dat een werknemer aangaf op een phishing-link te hebben geklikt, blijkt dat in veruit de meeste gevallen die werknemer opnieuw op een awareness training wordt gestuurd”, zegt Wieringa. “Bovendien blijkt dat veel mensen een mogelijke kwetsbaarheid of vergissing vaak niet eens melden, omdat het proces om dat te doen veel te ingewikkeld wordt gevonden.”
Hier valt voor organisaties nog een wereld te winnen, stellen zowel Wieringa als Spitzner. De laatste adviseert om, voorafgaand aan welk awareness programma dan ook, altijd een inschatting te maken van de menselijke risico’s op een cyberincident in de organisatie. “Niet alleen moet je in kaart hebben welke informatie cruciaal is voor jouw organisatie, je wilt ook van de mensen op de werkvloer horen met welke data zij op welke manier werken. Dat kun je met een simpele enquête eenvoudig in kaart brengen", zegt Spitzner. Wieringa beaamt dat. “Vraag je medewerkers hoe zij de risico’s inschatten, want op de werkvloer kunnen ze dat vaak beter dan een crisismanager of CISO vanuit hun ivoren toren.”
Security Culture
Volgens Wieringa is een veilige bedrijfscultuur de volgende stap in de evolutie van security awareness. “Zonder een goede bedrijfscultuur is het onmogelijk om het gedrag van mensen te veranderen. Mensen zijn van nature geneigd het juiste te willen doen. Wanneer je als organisatie heldere kaders schept en duidelijk bent in wat je verwacht aan gedrag, kun je mensen eenvoudig trainen en in de gewenste richting bewegen.”
De rol van de crisismanager in een cyberincident is volgens hem drieledig: “Ten eerste moeten werknemers de zekerheid hebben dat áls het mis gaat, iemand de verantwoordelijkheid neemt voor het oplossen van die vergissing. Daarnaast, op het moment dat het mis gaat, moet een crisismanager informatie kunnen teruggegeven naar zowel de organisatie als de buitenwereld. En tot slot moet de crisismanager kunnen reflecteren op het incident en de afhandeling ervan. Daarmee zit hij vol in de cyclus van het aanpassen van gedrag.”
Security awareness officer
Een belangrijke rol in het vestigen van een veilige bedrijfscultuur is die van ‘security awareness officer’, een functie die steeds vaker ook in Nederlandse bedrijven te vinden is. “Het is belangrijk dat dit niet iets is dat een werknemer erbij doet, maar dat hier iemand specifiek wordt ingehuurd of aangenomen”, stelt Spitzner. Dat zou iemand moeten zijn die niet perse een technische achtergrond heeft, maar wel iets van technologie begrijpt.
'Empathie is van groot belang'
“Het belangrijkste dat deze persoon moet kunnen, is communiceren. Deze persoon is verantwoordelijk voor het implementeren en uitvoeren van het security awareness programma en moet dus aan werknemers kunnen vertellen wat het belang ervan is en waarom het noodzakelijk is.” Het luisteren naar en begrijpen van de medewerkers is inderdaad een belangrijke taak van de security awareness officer, ziet ook Wieringa. “Empathie is een grote factor in het sturen van awareness programma’s.”
Multidisciplinaire samenwerking
De valkuil voor succes is volgens Wieringa dat security awareness nog teveel versnipperd wordt ingevoerd in organisaties. “Er zijn teveel eilandjes en er is teveel politiek in organisaties. Je ziet dat security awareness vaak bij de IT-afdeling wordt neergelegd, maar het simpele feit is dat deze afdelingen niet altijd even goed zijn in de communicatie naar de niet-technische medewerkers. De verantwoordelijkheid voor een veilige bedrijfscultuur hoort bij verschillende afdelingen, zoals IT en HR, maar ook zeker bij de directie. Dit kan nooit iets zijn van één persoon of afdeling alleen.
De zeven elementen van een Security Culture
Houding. De gevoelens en overtuigingen die werknemers hebben ten aanzien van beveiligingsprotocollen en -kwesties.
Gedrag. Handelingen en acties van werknemers die direct of indirect invloed hebben op de veiligheid van de organisatie.
Cognitie. Het begrip, de kennis en het bewustzijn van werknemers van veiligheidskwesties en activiteiten.
Communicatie. De kwaliteit van verschillende kanalen om gebeurtenissen te bespreken die met security te maken hebben, het bevorderen van het saamhorigheidsgevoel en het bieden van ondersteuning voor beveiligingskwesties en het melden van incidenten.
Naleving. Kennis van schriftelijk vastgelegde beveiligingsbeleidsmaatregelen en de mate waarin werknemers zich daaraan houden.
Normen. Kennis van en naleving van ongeschreven gedragsregels in de organisatie.
Verantwoordelijkheid. Hoe werknemers hun rol zien als een kritieke factor bij het ondersteunen of in gevaar brengen van de veiligheid van de organisatie.
Bron: KnowBe4
Juist door multidisciplinair samen te werken, kun je als organisatie je digitale beveiliging naar een hoger niveau tillen.” Op die manier kunnen organisaties het risico op een cyberincident drastisch verlagen, stelt Spitzner. “In mei 2021 lag de volledige gezondheidszorg in Ierland plat door een ransomware-aanval. Dat had verregaande gevolgen voor de zorg in dat land, maar startte met één simpele phishing-link. Wanneer je je medewerkers traint om zulke aanvallen te herkennen, is de kans dat je slachtoffer wordt van zo’n incident, vele malen kleiner.”