De ‘human firewall’ is misschien wel de belangrijkste schakel in security. Veel bedrijven hebben dan ook een programma voor het vergroten van het beveiligingsbewustzijn. Het opzetten van een succesvol programma blijkt echter nog niet zo eenvoudig. Wat zijn de lessons learned?
Mensen maken fouten, soms met verstrekkende gevolgen voor de organisatie. Recente incidenten bewijzen dat. Zoals bij Klarna, een dienst voor het achteraf betalen van een webshopaankoop. Gedurende een korte periode kwamen klanten na inloggen terecht in accounts van andere gebruikers. Volgens de CEO van het Zweedse bedrijf was de bug het gevolg van een ‘human error’.
De Amerikaanse propaangasdistributeur AmeriGas had in mei te maken met een datalek toen een aanvaller gedurende korte tijd toegang had tot de persoonsgegevens van 123 medewerkers. De oorzaak bleek bij een partner te liggen. Een medewerker van deze partner was in een phishingmail getrapt, waarna de aanvaller toegang had tot het e-mailaccount van het slachtoffer.
Dichter bij huis gingen medewerkers van de gemeente Utrechtse Heuvelrug in de fout. Als inwoners belden om een afspraak te maken maar geen e-mailadres konden of wilden geven, dan vulden de medewerkers een fictief adres in waarvan ze dachten dat het niet in gebruik was. Die aanname bleek onjuist. De eigenaar van het ‘fictieve adres’ ontving alle bevestigingsmails.
Vergroten beveiligingsbewustzijn
Volgens een onderzoek van onder andere de Stanford University is bijna 88 procent van de datalekken het gevolg van menselijke fouten. Bijna vijftig procent van de ondervraagde medewerkers gaf aan er ‘zeker’ of ‘vrij zeker’ van te zijn dat ze weleens een fout hebben gemaakt die tot een incident had kunnen leiden.
Een security-awarenessprogramma is bedoeld om dergelijke fouten te voorkomen. Zo’n programma traint de medewerkers bijvoorbeeld in:
het gebruik van multi-factor authenticatie (MFA), waarbij de gebruiker inlogt met iets wat hij weet (zoals een wachtwoord) en iets wat hij heeft (zoals een sms-code),
- het herkennen van aanvallen via verdachte websites, e-mails en andere tekstberichten,
- het creëren van verschillende sterke wachtwoorden voor verschillende accounts,
- het regelmatig patchen en updaten van devices en applicaties.
Factsheet: KPN Security Awareness Programma
Om medewerkers bewustzijn bij te brengen over securitybeleid, biedt KPN het Security Awareness Programma. Meer weten?
Download5 lessons learned
Gartner voorspelde dat bedrijven wereldwijd in 2027 zo’n tien miljard dollar uitgeven aan security-awarenesstrainingen. De vraag is hoe succesvol die trainingen tot dusver zijn. Vlak voor het uitbreken van de pandemie stuurde PwC een nep-phishingmail naar medewerkers van financiële instellingen. Maar liefst 70 procent opende de e-mail. 7 procent klikte op links die kwaadaardig hadden kunnen zijn, terwijl één klik voldoende is om malware binnen te halen.
Wat zijn de valkuilen bij het opzetten van security-awarenessprogramma’s? En wat kunnen we van die valkuilen leren? We beperken ons hier tot vijf ‘lessons learned’:
1. Stel de focus scherp
Het is onmogelijk om met een awarenesstraining alle risico’s die samenhangen met menselijk gedrag te elimineren. Het is daarom beter om het awarenessprogramma af te stemmen op de belangrijkste cyberrisico’s die de organisatie loopt. Door de focus op de juiste onderwerpen te leggen, heeft het programma toegevoegde waarde en is het makkelijker om vooraf opgestelde doelen en vorderingen meetbaar te maken.
Het uitvoeren van een nulmeting is daarvoor een goed startpunt. Daarmee krijgt u een beeld van het kennisniveau en gedrag van medewerkers, weet u waar verbeteringen noodzakelijk zijn en zijn vorderingen ook meetbaar. Het uitvoeren van een nulmeting kan bijvoorbeeld via enquêtes, scans of geautomatiseerde testen. De security consultants van KPN kunnen hierbij helpen.
2. Bied uitdaging en afwisseling
Laten we er geen doekjes om winden: Veel medewerkers zijn veelal niet geïnteresseerd om security-awarenesstrainingen bij te wonen. De sessies duren te lang, de getoonde video’s zijn vaak verouderd en van interactie is doorgaans al helemaal geen sprake. Een aanzienlijk deel van de medewerkers heeft het dan al snel ‘te druk’ om deel te nemen.
Zorg daarom voor afwisseling. Denk aan een combinatie van bijvoorbeeld workshops, (online) trainingen en campagnemiddelen als posters, mokken en andere aandachtstrekkers. Ook virtual reality en serious games kunnen een zeer waardevolle toevoeging aan het programma zijn. Tijdens een serious game ervaren medewerkers security daadwerkelijk in de praktijk en doen ze op een speelse wijze kennis en ervaring op.
Tijdens het webinar van 24 juni lieten we de digitale tooling zien en werd er zelfs een demo gegeven. Hierin lieten we onder andere zien hoe we de juiste security awareness modules koppelen aan het doel dat een organisatie wil bereiken.
3. Zorg voor een eenduidige boodschap
Veel bedrijven wijzigen nogal eens de richtlijnen, bijvoorbeeld als het gaat om het gebruik van wachtwoorden. Wel speciale tekens, geen speciale tekens, iedere dertig dagen vernieuwen, dan weer iedere drie maanden, et cetera. Niet verwonderlijk dat er dan onder werknemers verwarring ontstaat over wat ze wel en niet moeten doen om bedrijfsinformatie te beschermen.
Gedrag moet inslijten. Dan is het beter om de boodschap niet te vaak te wijzigen, en die boodschap ook te blijven herhalen. Tenzij veranderende omstandigheden natuurlijk vragen om een wijziging.
4. Actualiseer het programma continu
Een eenduidige boodschap is belangrijk, maar dat betekent niet dat een security-awarenessprogramma in beton moet zijn gegoten. Integendeel. Cybercriminelen verfijnen hun technieken en strategieën voortdurend. Dat betekent dat ook security-awarenessprogramma’s continu in ontwikkeling moeten blijven. De medewerkers moeten immers op de hoogte blijven van de nieuwste trucs die cybercriminelen toepassen.
Een geactualiseerd programma zal het beveiligingsbewustzijn een nieuwe impuls geven, en dat verkleint weer de kans op een kostbaar cyberincident. Zorg er daarom voor dat uw security awareness programma 1x per jaar wordt bijgewerkt op de dan actuele situatie. Daarnaast moet het security awareness programma ook worden aangepast als er bijvoorbeeld grote wijzigingen in de organisatie plaatsvinden. Hierbij kan KPN u helpen.
5. Herhaal, herhaal, herhaal
Herhaling is een krachtige manier om een boodschap te laten beklijven. Het bewustzijn en gedrag verbeteren niet of nauwelijks als bewustzijnstrainingen een ‘one-off’ zijn. De lessen moeten regelmatig terugkeren. Alleen dan wordt awareness onderdeel van het DNA van de organisatie.
Het veranderen van gedrag vergt een lange adem. Sterker nog: een security-awarenessprogramma houdt nooit op. Er zijn altijd weer nieuwe cyberrisico’s waar medewerkers alert op moeten zijn, en er zijn altijd weer nieuwe medewerkers die nog niet zijn opgeleid tot human firewall.
