Ergens zou je verwachten dat mensen inmiddels alert zijn op phishing mails, vreemde berichten van ‘de bank’ en andere onveilige zaken waar we online mee geconfronteerd worden. Toch komen we in de praktijk nog vaak genoeg tegen dat mensen er toch in trappen. Wat kunnen we samen doen om het security bewustzijn te vergroten?
René de Graaf van Arrix ziet het regelmatig gebeuren: medewerkers die zich niet (voldoende) bewust zijn van wat ze doen en op die manier onbewust onveilige situaties creëren. “Denk daarbij aan phishing mails, of telefoontjes waarin geprobeerd wordt je informatie te ontfutselen. Dan zijn mensen te goed van vertrouwen en gaan op dat soort mails of berichten in. Ze klikken dan op links zonder zich af te vragen of te weten welke gevaren erachter schuil kunnen gaan. Met alle gevolgen van dien.”
Genoeg informatie?
Er gaat veel informatie rond over onveilige links en cyberattacks. Bijna elke week is er wel een bedrijf of organisatie in het nieuws dat getroffen is door een aanval met ransomware. Is de informatie dan toch niet goed genoeg bekend? “Ja en nee”, vindt René. “In vergelijking met een jaar geleden is de situatie wel verbeterd. De bewustwording wordt door het nieuws wel getriggerd. Organisaties en bedrijven moeten zich ervan bewust zijn dat hun medewerkers een heel belangrijk deel van hun verdedigingslinie zijn. Ook bij medewerkers zelf groeit het bewustzijn. Maar er valt nog wel wat te verbeteren, ze zijn nog te vaak onbewust onbekwaam op dit gebied.”
Eerste linie
René vraagt zich hardop af of medewerkers zich genoeg bewust zijn van het feit dat juist zij de eerste verdedigingslinie zijn. “Vaak wordt gedacht: er is een firewall, virusscanner, allerlei technische zaken die ons beschermen. Onze nieuwe safety software monitort ook wat er allemaal gebeurt en dan zien we toch dat er nog enorm veel wordt geklikt op allerlei links en dat mensen onhandig omgaan met bepaalde situaties. Zoals je scherm open laten staan als je even wegloopt. Het zijn misschien kleine dingen, maar de factor ‘door een menselijke fout’ is helaas nog altijd erg groot. Daarom is bewustwording zo belangrijk, want je kunt je beveiliging optimaal hebben ingericht, als medewerkers desondanks op vage links klikken en dergelijke, gaat het alsnog mis.”
Veilig fit
De Veilig fit-test van Arrix is ontwikkelt om binnen een paar minuten een goed beeld te krijgen van de beveiliging binnen je organisatie. Hackers zijn slim en weten eenvoudig binnen te dringen. Via een onoplettende medewerker of via een klein lek. Niets is hen te gek. Is jouw data veilig en is jouw organisatie wel ‘in control’? Beantwoord de 7 vragen van de Veilig fit-test en ontvang een rapport om te ontdekken hoe je er als organisatie voorstaat.
Workshops
Om het security bewustzijn verder te vergroten, heeft Arrix verschillende cursussen en workshops. “We gaan dan eerst om tafel met de mensen van de IT-afdeling om erachter te komen of medewerkers in de organisatie zich genoeg bewust zijn van wat ze wel en niet moeten doen. Als de organisatie daarbij om hulp vraagt, kunnen we een awareness-campagne inzetten. Dan gaan we met groepjes medewerkers aan de slag om ze te trainen”, vertelt René. Medewerkers worden gevraagd om een quiz in te vullen, waarmee het niveau van het security bewustzijn wordt bepaald. Voorafgaand aan de training wordt ook een ‘nep-phishing-mail’ verstuurd, die medewerkers aanzet tot een handeling. “Tijdens de training wordt duidelijk wie er op de phishinglink heeft geklikt en wie wat allemaal heeft ingevuld. Ja, dat is wel eens confronterend, maar het werkt wel.
Identificatie management en Access Control
Op organisatieniveau spreekt René met beheerders over nalevingsbeleid (aan welke randvoorwaarden moet je voldoen) en conditional access oftewel toegang onder voorwaarden. Dat betekent dat medewerkers bijvoorbeeld niet zomaar kunnen inloggen vanaf een niet-vertrouwd adres, maar dat dan altijd multifactor authenticatie (MFA) nodig is. “Daar hoort ook een wachtwoordbeleid bij. Hoe streng dat beleid is, is weer afhankelijk van de mate waarin andere maatregelen zoals MFA zijn genomen.” Het allerbelangrijkste is en blijft echter bewustwording. “Medewerkers moeten zich echt bewust zijn van de urgentie. Zij zijn echt het belangrijkste onderdeel van je verdediging tegen malware. Dan moeten ze wel weten waar ze op moeten letten, dus dan is scholing zeker nodig.”