Onwetendheid
De reden waarom medewerkers menselijke fouten maken blijft gissen. Echter zijn er wel tal van voorbeelden hoe organisaties slachtoffer worden van cybercrime. Zo lekken medewerkers bijvoorbeeld vaak per ongeluk vertrouwelijke informatie. Dit doordat hij of zij een email met vertrouwelijke informatie doorstuurt naar de verkeerde ontvanger. Daarnaast zien we ook vaak dat mensen simpelweg onwetend zijn over de risico’s.
Zo worden er bijvoorbeeld aan de lopende band slechte wachtwoorden aangemaakt, die over het algemeen gemakkelijk geraden worden. Denk aan namen, geboortedatums en gebruikelijke combinaties zoals ‘1234’ en ‘welkom123’. De beste wachtwoorden zijn echter lange en willekeurige combinaties van letters (hoofd- en kleine letters!), cijfers en leestekens. Om die reden maken veel mensen een lijstje aan met alle inloggegevens die ze hebben. Vaak gebeurt dat in een simpel Word-bestand. Dat is ten zeerste af te raden. Bijna alle malware scant documenten op interessante data, inloggegevens zijn dan absoluut niet veilig. Daarnaast gebruiken mensen ook vaak hetzelfde wachtwoord voor meerdere diensten.
Psychologie
Cybercriminelen maken ook vaak gebruik van psychologie. Door sympathiek over te komen aan de telefoon, proberen ze slachtoffers zo ver te krijgen dat ze voldoen aan een verzoek om gevoelige informatie te geven. Soms spelen ze ook in op autoriteit door bijvoorbeeld een nep-mail te sturen vanuit een CEO, waarin wordt gevraagd om ‘even’ een factuur van €15.000 over te maken. Mensen zijn geneigd hier gehoor aan te geven, aangezien het verzoek van een hooggeplaatst persoon komt. Deze tactiek noemen we ook wel CEO fraude.
Fysieke beveiliging
Daarnaast is het ook belangrijk dat medewerkers letten op de fysieke beveiliging. Denk hierbij bijvoorbeeld aan het onbeheerd achterlaten van gevoelige documenten op bureaus. Iedereen die toegang heeft tot het kantoor kan het document dan gewoon meenemen zonder dat iemand doorheeft dat het weg is. Maar denk ook aan het verlies van een laptop. Bovendien geldt ook bij fysieke datalekken, dat organisaties dit moeten melden bij de GBA volgens de AVG/GDPR wet. Met als gevolg mogelijke imagoschade en boetes. Zeker nu mensen steeds vaker gebruik maken van openbare en gemeenschappelijke werkplekken, zien we dit soort incidenten steeds vaker toenemen.
Het is belangrijk dat organisaties actie ondernemen om menselijke fouten te voorkomen. Toch zien we dat weinig organisaties er écht iets aan doen. Uit het onderzoek van G DATA blijkt dat slechts 59% van de werkgevers in België er aan doet. De meeste bedrijven voeren strengere richtlijnen in (23%) en/of schaffen extra security oplossingen aan (16%). Slechts 13 procent van de organisaties biedt medewerkers security awareness trainingen aan om menselijke fouten te voorkomen.
Zorg voor een beveiligingscultuur
Echter is er meer nodig om menselijke fouten écht te voorkomen. Allereerst is het belangrijk dat een organisatie zijn cultuur aanpast. Het is belangrijk er een cultuur komt die op security is gericht. Bij een solide beveiligingscultuur kunnen medewerkers risico’s identificeren en weten ze ook hoe ze moeten handelen bij een incident.
Een beveiligingscultuur is er niet meteen en het duurt meestal een aantal jaar voordat er echt verandering zichtbaar is. Om dit te realiseren is het belangrijk dat eerst het management begrijpt dat de meeste inbreuken komen door menselijke fouten. Vervolgens zullen ook de werknemers moeten snappen dat zij doelwit zijn van cybercriminelen. Medewerkers hebben toegang tot interessante informatie die cybercriminelen graag willen bemachtigen, ze beschouwen hen dan ook als een gemakkelijke prooi.
Het is daarom essentieel om ze te wijzen op hun gedrag om cybercrime te voorkomen en potentiële risico’s te verminderen. Dit is te realiseren door ze te confronteren met de risico’s. Op deze manier zullen ze eerder de voordelen van gedragsverandering inzien. Een confrontatie van ‘verkeerd’ gedrag kan bijvoorbeeld worden aangekaart middels een phishingtest. Daarnaast is het een ideale nulmeting om het bewustzijnsniveau te meten van medewerkers.
Train medewerkers
Nadat het besef van noodzaak is bijgebracht, is het tijd om medewerkers structureel te trainen. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er toegewerkt naar een positieve beveiligingscultuur. Een e-learning training, zoals de G DATA Security Awareness Training, is hier ideaal voor. Om medewerkers, die meer instructies nodig hebben, te ondersteunen kan er bijvoorbeeld iemand worden aangesteld binnen het bedrijf.
Op deze manier is er ruimte om vragen te stellen en samen te werken aan een veilige werkomgeving. Daarnaast is het belangrijk om regelmatig een evaluatie uit te voeren. Op deze manier kan er worden vastgesteld of de inspanningen effect hebben. De conclusies van de evaluatie zijn er niet om mensen de les te lezen, maar juist om de medewerkers open en eerlijk te vertellen wat er moet gebeuren om de tekortkomingen te compenseren. Met een goede evaluatie kun je ook bepalen welke strategie wel en niet werkt binnen de organisatie.
Verklein de kans op fouten
Naast bewustwording is het belangrijk om de kans op fouten te verkleinen. Dit kunnen organisaties bijvoorbeeld realiseren door hun werkmethoden, routines en technologieën te veranderen. Denk hierbij bijvoorbeeld aan de ontwikkeling van een plan waarbij alle risico’s in kaart zijn gebracht. Door medewerkers in te lichten over deze risico’s en te leren welke handelingen ze moeten uitvoeren kunnen aanvallen worden voorkomen. Zorg er ook voor dat er een lijst is met alle sleutelpersonen en verantwoordelijken. Op deze manier weet iedereen binnen de organisatie bij wie ze kunnen aankloppen indien er een incident is.
Zorg er daarnaast ook voor dat niet iedereen overal toegang heeft tot bepaalde informatie. Als medewerkers alleen toegang hebben tot de gegevens en functies die zij nodig hebben om hun rol te vervullen, zal er minder data worden blootgesteld wanneer deze medewerker een fout begaat die tot een inbreuk leidt. Gezien simpele wachtwoorden veel risico’s met zich meebrengen, doen organisaties er goed aan om alleen genoegen te nemen met sterke wachtwoorden.
Wachtwoordbeheer
Zorg daarom voor een solide wachtwoordbeheer tool. Dit dwingt gebruikers niet alleen om sterke wachtwoorden aan te maken. Maar de applicatie slaat ze ook op zonder dat gebruikers het wachtwoord moeten onthouden. Zorg er ook voor dat iedereen zoveel mogelijk gebruik maakt van multi-factor authenticatie (MFA). MFA is een stuk veiliger omdat gebruikers extra handelingen moeten doen om toegang te krijgen tot een account. Het toevoegen van nog een extra factor aan het verificatieproces verhoogt de veiligheid van uw accounts en maakt het moeilijker voor een aanvaller om toegang te krijgen tot gegevens.
Kortom, het beperken van menselijke fouten hangt samen met het beperken van de kans op fouten. En met het trainen van gebruikers. Op deze manier kan men werken aan een solide beveiligingscultuur. Door deze elementen te combineren met een moderne beveiligingsoplossing kunnen organisaties een veiligere werkomgeving bieden.
Dirk Cools, Country Manager BeLux en Frankrijk bij G DATA CyberDefense
