Je mailbox stroomt vol, deadlines stapelen zich op, en dan krijg je ook nog een verdachte mail binnen. Herken je dat moment van twijfel? Even snel klikken of toch beter checken? In de dagelijkse hectiek is het al een uitdaging om alert te blijven op cyberdreigingen. En met nieuwe wetgeving zoals NIS2 en BIO2.0 staat er nu ook nog eens meer op het spel.
Jan Kupers, adviseur ICT en security bij Arrix, legt uit hoe je security-awareness effectief aanpakt.
Niemand staat 24/7 op scherp
Laten we eerlijk zijn: niemand kan 24/7 op scherp staan. Security-awareness is dan ook geen eenmalige training, maar een continu proces. Dat heeft alles te maken met hoe wij mensen werken. Het is heel menselijk dat dingen die je leert niet eeuwig blijven hangen. Vooral als het om abstracte zaken gaat, zoals cybersecurity. Je bent de hele dag druk met van alles en nog wat en als je niet regelmatig in aanraking komt met twijfelachtige cyberzaken, denk je er simpelweg niet over na. Die alertheid verslapt dan vanzelf. Daarom is het zaak om het actief te houden. En doe dat vooral op een leuke manier.
Vrijblijvendheid is echt passé
Security-awareness is niet alleen vanuit menselijk oogpunt belangrijk. De nieuwe wetgeving maakt het ook gewoon verplicht. De Europese NIS2-richtlijn, de Baseline Informatiebeveiliging Overheid (BIO2.0) en de Digital Operational Resilience Act (DORA) stellen strenge eisen aan hoe organisaties omgaan met cybersecurity en informatiebeveiliging. Bij verzekeraars en banken komt daar nog de DORA-wetgeving bovenop. Deze wet stelt extra eisen aan de digitale weerbaarheid van de financiële sector. Het is geen kwestie meer van ‘wel handig’ of ‘misschien ooit’. Deze nieuwe wetgeving verplicht organisaties om security-awareness structureel aan te pakken. Je moet kunnen aantonen dat je je medewerkers regelmatig traint en test op hun cyberbewustzijn.
Waarom security-awareness voor iedereen belangrijk is
Er zijn twee redenen waarom je aan de slag moet met securitybewustzijn. De eerste is simpel: het is verplicht. Maar minstens zo zwaarwegend is de tweede reden: het is gewoon verstandig. Ook als je niet onder de NIS2- of BIO2.0-wetgeving valt, is het een goed idee om deze richtlijnen zoveel mogelijk te volgen.
Natuurlijk verschilt het per organisatie hoe spannend cybersecurity is. Dan kom je bij het meer filosofische deel van het verhaal: wat zijn acceptabele risico’s? Een bakker om de hoek moet zeker veilig werken, maar heeft een ander risicoprofiel dan een verzekeraar, bank of medische dienstverlener. Het verschil zit ‘m in de gevoeligheid van de data en de mogelijke impact van een incident.
Breng voor jouw organisatie goed in kaart: welke data heb ik, wat moet ik beveiligen, wat doen mijn werknemers met die data, en welk niveau van beveiliging vind ik acceptabel? Die antwoorden bepalen hoe ver je moet gaan met security-awareness.
Die aandacht is voor alle organisaties belangrijk, ook voor de bakker om de hoek. Want of je nu broden bakt of verzekeringen verkoopt: bepaalde basisregels gelden altijd. Niet zomaar op elk linkje klikken bijvoorbeeld en ook geen USB-stick die je op de parkeerplaats vindt in je laptop stoppen.
Waarom je niet alleen op techniek kunt vertrouwen
Kijk eens naar de cyberincidenten van de afgelopen jaren. Bij maar liefst 80 tot 90 procent van alle incidenten speelt menselijk handelen een hoofdrol. Toch richten veel bedrijven zich vooral op technische maatregelen. Dat is ook jarenlang de standaard geweest. Pas de laatste jaren is het besef doorgedrongen hoe allesbepalend de menselijke factor is. Je ziet dat ook terug bij de toezichthouders. BIO2.0, NIS2 en andere Europese regelgeving besteden nu veel meer aandacht aan het menselijke aspect van cybersecurity. Eigenlijk had dat al veel eerder gemoeten. Want hoe goed je de techniek ook op orde hebt – je kunt het beste beveiligingssysteem van de wereld hebben – maar als een medewerker zonder nadenken op linkjes klikt, ben je nog steeds kwetsbaar.
Hackers schieten met hagel
“Ach, ik ben maar een simpel retailbedrijf” of “Ik ben maar een bakker, hackers hebben geen interesse in mijn data.” Het is een gedachtegang die ik vaak hoor. Maar zo werkt het helaas niet. Het gaat de criminelen niet om hoe belangrijk jouw data voor hen is – het gaat erom hoe belangrijk die data voor jou is. Daar maken ze slim misbruik van. Want zodra jij niet meer bij je eigen data kunt, weten ze dat ze je in de tang hebben. Dan kunnen ze flink wat losgeld vragen om je weer toegang te geven. En het enge is: ze kiezen hun slachtoffers meestal niet eens bewust uit. Ze scannen gewoon het hele internet af en schieten met hagel. Er zijn maar één of twee onoplettende mensen nodig om ergens binnen te komen. En voor je het weet ben jij die ene die ze te pakken hebben.
Hoe zorgvuldig gedrag je nog steeds niet volledig beschermt
Natuurlijk gebeuren er ook gerichte aanvallen. Recent hadden we nog een klant die slachtoffer werd van zo’n geval – en dat terwijl ze zelf alles perfect op orde hadden. De aanvallers hadden namelijk hun leverancier gehackt. Vanuit het gehackte e-mailaccount van die leverancier stuurden ze een heel geloofwaardig bericht: “Ons bankrekeningnummer is veranderd, graag de facturen naar dit nieuwe nummer overmaken.” Dan kun je nog zo zorgvuldig zijn, het laat zien hoe kwetsbaar we allemaal zijn. Zelfs als jij alles perfect op orde hebt, kun je nog steeds slachtoffer worden als een zakenpartner gehackt wordt.
Zo maak je security-awareness leuk (ja, echt)
Security-awareness moet toegankelijk en leuk zijn. Voor de meeste mensen is het allemaal best abstract, dus maak er geen vervelende, schoolse verplichting van. Een kwartier per maand voor een training en een quizje moet al afdoende zijn. Wij pakken dit op twee manieren aan. We hebben een mooi platform waarmee medewerkers eens per paar weken een korte training doen, gevolgd door een quizje. Bij een goed antwoord krijg je een duim omhoog en bij een fout antwoord krijg je gewoon uitleg over het juiste antwoord. Gewoon lekker praktisch. Daarnaast houden we medewerkers scherp met willekeurige phishingmails. Niet volgens een vast patroon, maar op willekeurige momenten naar willekeurige medewerkers. Zo blijven ze altijd een beetje alert: is deze mail te vertrouwen of is het phishing? Als ze een phishingmail herkennen en rapporteren: goed bezig! Het mooie is: medewerkers hoeven er zelf niet veel tijd of energie in te steken.
Creëer een cultuur van security-awareness
Security-awareness moet van bovenaf komen. Als management of directie moet je laten zien dat je het ook belangrijk vindt én ernaar handelen. Als wij bijvoorbeeld een wachtwoordmanager uitrollen bij organisaties – wat steeds vaker verplicht wordt – dan schakelen we andere mogelijkheden gewoon uit. Zo helpen we mensen een handje. We zijn namelijk allemaal geneigd op de makkelijkste oplossing terug te vallen, dat is menselijk. Daarom moet je die makkelijke, maar onveilige opties gewoon niet meer aanbieden.
Directie hoofdelijk aansprakelijk
Een interessant punt van NIS2 is dit: als je als organisatie niet aan de richtlijn voldoet en het gaat mis, dan is de directie hoofdelijk aansprakelijk. Dat betekent dat het management niet alleen moet begrijpen wat die aansprakelijkheid inhoudt, maar dat ze ook aantoonbaar getraind moeten worden in cyberveiligheid. Alleen dan weet je zeker dat je de vaardigheden hebt om risico’s te herkennen. Voor NIS2 kun je je daar niet onderuit praten – je moet gewoon kunnen laten zien dat je het doet. Plan, do, check, act: zo werkt dat.
Laaghangend fruit
Gelukkig werken wij met toegankelijke platforms die het proces supermakkelijk maken. Als directeur of verantwoordelijke heb je er nauwelijks omkijken naar. We rollen het platform uit en de medewerkers kunnen ermee aan de slag. Het is echt laaghangend fruit. En laaghangend fruit – dat weten we allemaal – moet je plukken.
Benieuwd hoe jouw organisatie ervoor staat?
Wil je weten hoe het ervoor staat met het cyberbewustzijn van jouw medewerkers en directie? Wacht niet langer—zet vandaag de eerste stap! Laat je informeren over Arrix Continu Security Aware en werk samen met ons aan een toekomstbestendige en veilige IT-omgeving.