Cyber threats? Bouw een menselijke firewall

Frank van der G...
Of ze het nu bewust doen of niet, werknemers kunnen door hun onveilig online gedrag een groot gevaar zijn voor de beveiliging van bedrijfsnetwerken. Nu veel medewerkers vanuit huis werken is het probleem alleen maar groter. Het groot aantal thuiswerkers biedt cybercriminelen nieuwe kansen om bedrijfsnetwerken te hacken. Een van de methoden waar hackers de afgelopen tijd intensief gebruik van maken, is het opstellen van phishing-mails. Deze zijn nauwelijks van ‘echte’ berichten te onderscheiden. Het lastige is dat thuiswerkers niet naar het bureau van een collega kunnen lopen om zijn mening te vragen over een verdacht uitziend mailtje. Dit maakt hen ook vatbaarder voor social engineering-aanvallen.

Hoe denken bedrijven over cyberrisico’s?

Volgens een recent onderzoek van Fortinet denkt 68 procent van alle organisaties dat ze gematigd tot extreem kwetsbaar zijn voor bedreigingen door insiders. Insiders zijn dus werknemers met kwade bedoelingen of medewerkers die de organisatie onopzettelijk in gevaar brengen. Volgens het onderzoek zien beveiligingsteams het ten prooi vallen aan phishing-aanvallen (38 procent) als de grootste onopzettelijke bedreiging door insiders. Daarna volgen spear phishing (21 procent), het gebruik van zwakke wachtwoorden (16 procent) en het bezoek van kwaadaardige websites (7 procent). Werknemers die hun e-mailberichten niet afdoende verifiëren kunnen met een klik op een link of een bijlage de deur voor cybercriminelen openzetten.

Hoe bouw je een menselijke firewall?

Gelukkig zijn werknemers niet alleen het probleem, maar ook de oplossing! Werknemers kunnen namelijk een ideale verdedigingslinie worden. Hoe pak je dat aan?

Leg uit

Het is van cruciaal belang dat het IT-management werknemers goed voorlichten over de beveiliging. Dat is onder meer mogelijk door security awareness-training op te nemen in hun strategie voor cybersecurity. Deze trainingen zouden werknemers niet alleen vertrouwd moeten maken met de meest voorkomende tekenen van cyberscams (zoals nepaanbiedingen voor gratis producten), maar ook moeten voorzien in simulaties van phishing-aanvallen. Dit is nodig om de kennis van werknemers te toetsen en medewerkers uit te lichten die wat meer hulp kunnen gebruiken. Dergelijke maatregelen kunnen ertoe leiden dat werknemers beter in staat zijn om na te gaan of zij het doelwit vormen van een social engineering-aanval en daar op passende wijze te reageren. Het NSE Training Institute van Fortinet biedt gratis Information Security Awareness-training aan die werknemers voorlicht over de toenemende risico’s rond cyberdreigingen en manieren om die te identificeren.

Laat zien

Medewerkers zouden, ongeacht hun functie of rol binnen de organisatie, inzicht moeten hebben in de gevolgen van een beveiligingsincident voor zowel hun werkgever als voor henzelf. Het belang van een dergelijke bedrijfsbrede strategische aanpak komt duidelijk naar voren in het rapport van een enquête die Forbes Insights in 2019 onder tweehonderd CISO’s uitvoerde. Die werden gevraagd naar de budgettaire prioriteit die zij toekenden aan hun beveiliging initiatieven voor de komende vijf jaar. 16 procent zag het opbouwen van een cultuur van beveiliging als hun grootste prioriteit.

Hoewel dit een stap in de goede richting is, is het pas mogelijk om een solide basis voor cyberhygiëne te leggen zodra CISO’s werknemers duidelijk hebben gemaakt waarom ze cybersecurity serieus moeten nemen. Hou werknemers dus goed op de hoogte van mogelijke gevaren, en hoe zij hierop moeten reageren.

Werk samen

Cybersecurity zou niet louter de verantwoordelijkheid moeten zijn van de IT-afdeling en het security-team. Zeker niet nu cyberbedreigingen steeds slimmer worden en moeilijker te detecteren zijn. It-managers moeten er niet alleen voor zorgen dat werknemers in staat zijn om phishing-aanvallen te herkennen, maar ook de samenwerking tussen het security-team en andere afdelingen bevorderen. Het is belangrijk om ervoor te zorgen dat beide kampen een goed beeld hebben van elkaars verwachtingen. Hoewel leden van het security-team zijn de experts zijn in het vaststellen van cyberrisico’s, kunnen andere afdelingen een belangrijke bijdrage leveren aan de ontwikkeling van beleidsregels die makkelijk toe te passen zijn op kantoor en in thuiswerkomgevingen, ook voor medewerkers die wat minder ‘cyber aware’ zijn.

Ook als werknemers weten hoe ze social engineering-trucs moeten herkennen, is het mogelijk dat ze nog steeds behoefte hebben aan advies over de volgende stap in het proces. Het is makkelijk om een verdacht mailtje te negeren of verwijderen, maar wat te doen met een bericht dat er bonafide uitziet, maar toch twijfels oproept? IT-managers zouden werknemers moeten aanmoedigen om zich in dit soort situaties zichzelf een aantal vragen te stellen om tot de juiste beslissing te komen. Ken ik de afzender? Verwachtte ik deze mail? Wekt dit bericht een sterke emotie op, zoals spanning of angst? Word ik onder druk gezet om iets met spoed te doen?

Conclusie

Door trainingen, inzicht krijgen in gevaren en samenwerkingen krijgt iedereen binnen de organisatie ervaring met het interne beveiligingsbeleid. Maar ook met de gevolgen die hun handelingen kunnen hebben voor hun organisatie. Werknemers die hebben geleerd hoe cybersecurity in de praktijk werkt, zullen in staat zijn om adequater te reageren op verdachte e-mails en websites, ook als ze vanuit huis werken. Bovendien zijn medewerkers die weten wat er van ze wordt verwacht, en het gevoel hebben dat ze deel uitmaken van een team, sterker gemotiveerd om goede cybersecurity toe te passen. Zij kunnen helpen met het uitroeien van vormen van gedrag die onbedoeld bijdragen aan beveiligingsincidenten, zoals het nalaten om standaardwachtwoorden te wijzigen of gebruik te maken van sterke wachtwoorden. Hoe meer werknemers het goede voorbeeld volgen, hoe sterker de menselijke firewall is.

afbeelding van Frank van der Gaarden

Frank van der Gaarden | Channel Manager bij Fortinet Nederland

Bekijk alle artikelen vanFrank