Oktober staat wereldwijd te boek als Security Awareness Month. Wat is dat precies en waarom doen we dit? Een ding staat vast: de cyberbeveiliging-goegemeente wil duidelijk maken dat 'mensen' het grootste risico vormen.
Betrouwbare rapporten van Verizon DBIR hebben in de afgelopen drie jaar vastgesteld dat de mens betrokken is bij meer dan tachtig procent van breaches wereldwijd. Deze incidenten kunnen voortkomen uit phishing-e-mails of smishing (sms-phishing)-aanvallen, maar ook it-beheerders die cloud-accounts verkeerd configureren of per ongeluk gevoelige data delen.
Hoe kunnen we hiertegen optreden? De traditionele benadering is nog steeds om nóg meer technologische oplossingen in te zetten. Wanneer cyberaanvallers succes hebben met phishingmails, zetten we securitytechnologieën in om deze malafide praktijken een halt toe te roepen. En als wachtwoorden worden ontvreemd, gaan we met multi-factorauthenticatie (mfa) aan de haal. Cyberaanvallers omzeilen deze technologieën door zich op mensen te richten (bijvoorbeeld door smishing). Naarmate meer organisaties mfa inzetten, blijven cyberaanvallers mensen lastigvallen met mfa-verzoeken totdat deze worden goedgekeurd. Het recente Uber-incident is daar een voorbeeld van.
Schuld
En dan komen we bij onze tweede uitdaging: securityteams geven (te) vaak mensen de schuld. Mensen zijn de zwakste schakel, hoor je dan. Maar wanneer we de ‘gemiddelde werknemer’ bekijken, blijkt de securitycommunity veelal de hoofdschuldige. We hebben cyberbeveiliging namelijk zo ingewikkeld gemaakt dat mensen hierdoor falen. En áls medewerkers menen te weten wat ze moeten doen in geval van een securityprobleem, is het hun al zo moeilijk gemaakt dat ze vaak de verkeerde optie kiezen.
Voorbeeld: een wachtwoordbeleid is verwarrend en verandert continu. Hoofd- en kleine letters, symbolen, cijfers… Maar vervolgens eisen ‘we’ dat deze lastige wachtwoorden geregeld worden aangepast maar er geen manier wordt geboden om deze te beveiligen… Curieus.
Dit is waar security-awareness en het beheren van menselijk risico’s om de hoek komen kijken. Security-bewustzijn is dé traditionele benadering: train personeel over cyberbeveiliging. Een goede stap, maar daar moet het niet bij blijven. Het beheren van human risk is de volgende stap en vereist beveiligingsbewustzijn.
Een security-awarenessteam moet daarom een geïntegreerd onderdeel zijn/worden van het beveiligingsteam en zelfs rechtstreeks aan de chief information security officer rapporteren. Hun taak zou moeten zijn om nauw samen te werken met andere beveiligingselementen om de belangrijkste menselijke risico’s binnen de organisatie te identificeren. Zodra die zijn geïdentificeerd en geprioriteerd, kunnen medewerkers gericht worden getraind.
Maak ook een beveiligingsbeleid moet eenvoudiger. Ontwerp dit beleid en bijbehorende tools met mensen in gedachten. Als we met z’n allen willen dat individuen een sterke authenticatie gebruiken, moeten we ons concentreren op iets wat mensen gemakkelijk kunnen leren én toepassen.
Jip en Janneke
Ten slotte: securityteams zijn nodig om personeel in Jip en Janneke-taal te trainen (inclusief het uitleggen van de noodzaak van deze trainingen). Toon aan waarom passwordmanagers en mfa belangrijk zijn, om maar een voorbeeld te noemen. En voed de perceptie dat een securityteam (vaak 24/7) voor je klaarstaat, je vriend is en je probeert te helpen.
Het beheren van human risk wordt een fundamenteel onderdeel van de strategie van elke security leader. Bewustzijn is de eerste stap in de goede richting van medewerkers, maar we hebben een meer toegewijde, strategische inspanning nodig om menselijke risico’s écht te beheren. Wellicht een idee om de security awareness officer te vervangen door human risk officer?
(Auteur Lance Spitzner is director security awareness bij Sans Institute.)