Verveling en eenzaamheid tijdens de lockdown - het grootste cyberrisico van 2021?

Adenike Cosgrove
In het voorjaar van 2020 legde het coronavirus een ongekende druk op cybersecurity-teams. Zonder enige waarschuwing liepen de meeste organisaties, door de massale migratie naar thuiswerken, al snel veel meer risico op een aanval. Naast de grotere afhankelijkheid van cloud-systemen werden cybersecurity-teams ook belast met het beheren van en reageren op gedragsveranderingen. Doordat veel gebruikers in niet-traditionele werkomgevingen belandden, waren best practices op het gebied van security veel moeilijker te handhaven. Het duurde dan ook niet lang voordat cybercriminelen hun kans grepen.

Het aantal meldingen van phishing-aanvallen bereikte nieuwe hoogten, waarbij honderden COVID-gerelateerde aanvallen werden waargenomen.

Meer technologische controles in combinatie met bijgewerkte processen en trainingen in beveiligingsbewustzijn hielpen veel organisaties deze eerste golf te trotseren. Helaas, nu de meeste gebruikers gewend zijn thuis te werken en nog vele maanden buiten kantoor zullen doorbrengen, heeft de eerste golf plaatsgemaakt voor een volgende. In het komende jaar is de menselijke factor waarschijnlijk je grootste cyberrisico. Een combinatie van langdurige afzondering van collega's, afleiding door bijvoorbeeld thuisonderwijs en verhoogde stress als gevolg van de pandemie kan ervoor zorgen dat security nog lager op de prioriteitenlijst van je medewerkers komt te staan.

De psychologie van een pandemie

Weinig afwisseling tussen de dagen, de samensmelting van werk en privé, minimale menselijke interactie en het uitzichtloze karakter van de pandemie dragen allemaal bij tot wat psychologen de ‘pandemie-malaise’ noemen. De daaruit voortvloeiende verveling, doordat het dagelijks leven zich continu lijkt te herhalen, heeft gevolgen voor ons welzijn en ons gedrag. Diverse onderzoeken tonen het effect van verveling op concentratie, prestaties en productiviteit aan. Met andere woorden, als we ons vervelen, worden onze normen lager en maken we vaker fouten.

Alsof dit nog niet genoeg is voor de opportunistische cybercrimineel, hebben gebruikers ook nog eens te maken met de vele afleidingen die thuiswerken met zich meebrengt. Thuisonderwijs, het delen van een werkruimte met een echtgenoot of kamergenoot, het doen van klusjes en de verleidingen die thuis op de loer liggen, kunnen de aandacht telkens weer afleiden.

Het is aangetoond dat de cognitieve vermoeidheid toeneemt wanneer mensen steeds hun aandacht verleggen van taak naar taak. Dit verhoogt het risico op fouten, nalatigheid en psychische problemen. Dat is allemaal slecht nieuws voor security-teams en geweldig nieuws voor cybercriminelen. Cybercriminelen vertrouwen op fouten. Eén overhaast geopende bijlage, één hergebruikt wachtwoord of één detail dat over het hoofd wordt gezien, is alles wat nodig is om je organisatie schade toe te brengen. En het risico moet niet onderschat worden.

Dit soort nalatigheid is de meest voorkomende oorzaak van insider threats en is verantwoordelijk voor bijna tweederde van de gerapporteerde incidenten. De gevolgen kunnen verwoestend zijn voor de slachtoffers: het kost organisaties 4,5 miljoen dollar per jaar - 307.111 dollar per insider-incident.

Een meedogenloze tegenstander

De moderne cybercrimineel is zich er goed van bewust dat de snelste weg door je verdediging loopt via je mensen. Voor de pandemie waren al meer dan 94% van de cyberaanvallen gericht op mensen via e-mail, waarbij in 99% van de gevallen menselijke interactie nodig was om te slagen.

Een angstig, verveeld en afgeleid doelwit verhoogt het risico nog verder. Zodra het coronavirus in het collectieve bewustzijn was doorgedrongen, deden ook de COVID-gerelateerde phishing-aanvallen hun intrede. In ruil voor persoonlijke informatie en inloggegevens werden tests, geneesmiddelen, steunbetalingen en de belofte van een vaccin aangeboden.

Nu Nederland zich midden in een derde nationale lockdown bevindt, zijn er weinig tekenen die erop wijzen dat deze trend binnenkort zal afzwakken. Welke vorm de aanvallen ook hebben, gebruikers worden geconfronteerd met een aanhoudend spervuur van aanvallen, waarbij zelfs het minste of geringste gedrag je organisatie in gevaar kan brengen. En helaas zijn veel van die gedragingen aan de orde van de dag.

Een op de vier mensen die wel eens een phishing-e-mail heeft ontvangen, geeft toe deze te hebben geopend. Erger nog, 10% heeft vervolgens een schadelijke bijlage geopend. Een gebrek aan beveiligingsbewustzijn is de kern van dit probleem. Uit een onderzoek dat vorig jaar door Proofpoint werd uitgevoerd, blijkt dat 31% van de gebruikers niet in staat is de term phishing te omschrijven, laat staan dat deze mensen kunnen aantonen over de juiste kennis te beschikken om phishing tegen te gaan. Tegelijkertijd gaf 80% van de professionals in het onderzoek aan dat zijn of haar personeel in 2020 overging op thuiswerken, maar slechts 30% gaf aan dat gebruikers worden getraind in veilig werken op afstand.

Mensgerichte aanval versus mensgerichte verdediging

De mensgerichte verdediging is zeker geen nieuw concept. Maar nu cybercriminelen hun inspanningen intensiveren om onze mensen aan te vallen, moeten wij ook onze inspanningen intensiveren om ons tegen hen te verdedigen. De kern van deze aanpak wordt gevormd door uitgebreide, voortdurende en contextgebonden training in beveiligingsbewustzijn. Het is niet genoeg dat je gebruikers de woordenboekdefinitie van phishing of ransomware kennen. Ze moeten weten hoe ze deze bedreigingen in de praktijk kunnen herkennen en hoe hun gedrag de slagingskans van een aanval aanzienlijk kan vergroten.

Helaas is dit een aspect waar veel organisaties nog steeds tekortschieten, aangezien slechts 11% van de Nederlandse organisaties aangeeft drie keer per jaar of vaker een uitgebreid trainingsprogramma te organiseren. Dit moet veranderen. En snel ook. De meest robuuste verdediging kan volledig worden ondermijnd door één klik op een schadelijke link. Zonder regelmatige en uitgebreide training van je gebruikers, zet je als het ware de deur op slot maar laat je het raam wagenwijd open staan.

afbeelding van Adenike Cosgrove

AdenikeCosgrove | Cybersecurity Strategist bij Proofpoint

Bekijk alle artikelen vanAdenike