Wat moeten CIO’s nu en in 2024 in hun bewustmakingsprogramma’s opnemen inzake beveiliging?
Volgens Verizon bevatte wereldwijd driekwart (74%) van alle inbreuken over het afgelopen jaar het ‘menselijke element’, wat meestal neerkwam op fouten, nalatigheid of gebruikers die het slachtoffer werden van phishing en social engineering. Security training en bewustmakingsprogramma’s zijn een cruciale manier om deze risico’s te beperken. Snelle en gemakkelijke oplossingen hiervoor bestaan helaas niet. Opleiding of bewustmaking kunnen beide na verloop van tijd vergeten worden. Het gaat erom het gebruikersgedrag voor de lange termijn te veranderen.
Dit kan enkel gebeuren als men continu opleidingsprogramma’s voorziet, zodat de leerresultaten altijd in het achterhoofd worden gehouden. En zorgen dat niemand iets mist, wat ook geldt voor uitzendkrachten, opdrachtnemers en leidinggevenden op C-niveau. Iedereen kan een doelwit zijn, en slechts één foutje kan de criminelen binnenlaten. Sessies moeten in hapklare stukken gehouden worden, zodat de kans groter is dat de berichten blijven hangen. Waar mogelijk dienen simulatie- of gamificatieoefeningen toegevoegd om een bepaalde bedreiging realistisch te maken.
Om ze relevanter te maken kunnen opleidingen zelfs gepersonaliseerd worden voor specifieke taken en sectoren. Gamificatietechnieken kunnen een nuttige aanvulling zijn om training leuker en boeiender te maken.
1) BEC en phishing
Business Email Compromise (BEC)-fraude, waarbij gerichte phishing-berichten worden gebruikt, blijft een van de best renderende vormen van cybercriminaliteit. In gevallen die vorig jaar aan de FBI werden gemeld, verloren slachtoffers meer dan 2,7 miljard US$. Dit is een misdaad die doorgaans gebaseerd is op social engineering. Het slachtoffer wordt meestal misleid zodat hij een bedrijfsfondsoverdracht goedkeurt naar een rekening die onder controle staat van de oplichter.
Er zijn verschillende methodes waarmee dit wordt bereikt. Bijvoorbeeld door zich voor te doen als een CEO of een leverancier, en deze kunnen prima worden geïntegreerd in bewustmakingsoefeningen voor phishing (phishing awareness exercises). Deze kunnen gecombineerd worden met investeringen in geavanceerde e-mailbeveiliging, robuuste betalingsprocessen en dubbel controleren van betalingsaanvragen.
Phishing bestaat al tientallen jaren, maar is nog steeds een van de belangrijkste vectoren voor toegang tot bedrijfsnetwerken. En dankzij verstrooide thuis- en mobiele werkers hebben criminelen nog een grotere kans om hun doel te bereiken. In veel gevallen zijn de tactieken nu aan het veranderen, wat ook geldt voor de bewustmakingsoefeningen op het gebied van phishing. Live simulaties kunnen echt helpen om het gedrag van gebruikers te veranderen. Voor 2024 moet men overwegen om inhoud over phishing op te nemen via sms- of berichtenapps (smishing), spraakoproepen (vishing) en nieuwe technieken zoals het omzeilen van multi-factor authenticatie (MFA).
Specifieke social engineering-tactieken veranderen zeer vaak. Het is dus een goed idee om samen te werken met een aanbieder van trainingen die de inhoud van zijn training regelmatig bijwerkt.
2) Beveiliging van werk, hybride en op afstand
Deskundigen waarschuwen er al lang voor dat werknemers eerder geneigd zijn beveiligingsrichtlijnen en -beleid te negeren of gewoonweg te vergeten als ze van thuis werken. Uit een onderzoek blijkt dat 80% van de werknemers toegeeft dat in de zomer, thuiswerken op vrijdag hen meer ontspannen en afgeleid maakt. Zo lopen ze een verhoogd risico op compromissen, vooral wanneer thuisnetwerken en toestellen minder goed beschermd zijn dan bedrijfstoestellen. Hier moeten trainingsprogramma’s ingrijpen met advies over beveiligingsupdates voor laptops, wachtwoordbeheer en het gebruik van toestellen die enkel door het bedrijf goedgekeurd zijn. Het moet een aanvulling zijn op de bewustwordingstraining over phishing.
Cybersecurity voor de hybride werkplaats: The hybrid workplace: What does it mean for cybersecurity?
Protecting the hybrid workplace through Zero Trust security
Tackling the insider threat to the new hybrid workplace
Why cloud security is the key to unlocking value from hybrid working
Examining threats to device security in the hybrid workplace
Vandaag is hybride werken voor veel bedrijven de norm geworden. Eén studie beweert (study claims) dat 53% van de bedrijven hiervoor nu een beleid heeft, wat zeker nog zal toenemen. Het woon-werkverkeer naar kantoor of het werken vanaf een openbare locatie brengt echter risico’s met zich mee. Eén ervan zijn bedreigingen afkomstig van publieke Wi-Fi-hotspots die mobiele werknemers kunnen blootstellen aan Adversary-in-the-Middle-aanvallen (AitM), waarbij hackers toegang krijgen tot een netwerk en de gegevens afluisteren die tussen aangesloten toestellen en de router worden uitgewisseld. Er zijn ook ‘evil twin’-bedreigingen, waarbij criminelen op een specifieke locatie een dubbele Wi-Fi-hotspot opzetten die zich voordoet als legitiem. Trainingssessies zijn een goede gelegenheid om het personeel aan de gevaren van schouder surfen (shoulder surfing) te herinneren.
3) Gegevensbescherming
In 2022 zijn de AVG- boetes jaarlijks met 168% gestegen, tot ruim € 2,9 miljard, omdat toezichthouders hardhandig gingen optreden. Dat is een behoorlijk sterk argument voor organisaties om te zorgen dat hun personeel het gegevensbeschermingsbeleid correct naleeft.
Regelmatige training is een van de beste manieren om de beste praktijken inzake gegevensverwerking in gedachte te houden. Dat betekent o.a. het gebruik van sterke encryptie, goed wachtwoordbeheer, toestellen veilig houden en het onmiddellijk melden van incidenten aan de relevante contactpersoon.
Medewerkers kunnen ook geholpen worden met een verfrissing in het gebruik van blind carbon copy (BCC), een veelgemaakte fout die leidt tot onbedoelde lekken van e-mailgegevens, en andere technische trainingtips. Ze zouden ook steeds moeten overwegen of wat ze op sociale media plaatsen vertrouwelijk moet blijven.
Trainings- en bewustmakingscursussen zijn een kritische onderdeel van elke beveiligingsstrategie. Maar geïsoleerd kunnen ze niet werken. Organisaties moeten ook een waterdicht beveiligingsbeleid afdwingen met krachtige controles en tools zoals het beheer van mobiele toestellen. “Mensen, processen en technologie” is de mantra die zal helpen bij het opbouwen van een meer cyberveilige bedrijfscultuur.
