Het gaat de goede kant op met het bewustzijn rondom het belang van cybersecurity in Nederland. Ondertussen evolueert het dreigingslandschap voortdurend. Inmiddels wordt 70 tot 90% van succesvolle cybercrime-aanvallen gevormd door zogeheten social engineering-aanvallen. Training is een goede manier om gebruikers daartegen te wapenen, zegt Jelle Wieringa van KnowBe4.

Social engineering aanvallen gaan tegenwoordig verder dan phishing e-mails die voorafgaan aan datadiefstal of afpersingspraktijken met ransomware. Ze zijn erop gericht medewerkers zo te manipuleren met geavanceerde technologie, dat ze onbedoeld kwaadwillenden toegang verschaffen tot systemen en data. “De beste verdediging tegen dit nieuwe type aanval is het verhogen van het securitybewustzijn van medewerkers door training”, zegt Jelle Wieringa, Security Advocate bij KnowBe4, gespecialiseerd in het bevorderen van security awareness binnen organisaties.

Doel van die training is medewerkers het juiste gedrag aan te leren en ze weerbaar te maken tegen cybercrime. “Om de risico’s van cybercrime zoveel mogelijk te mitigeren is een combinatie van technologie, training van mensen en deugdelijke processen van groot belang. In de strijd tegen cybercriminaliteit haal je het meeste rendement uit die training van mensen.” 

Security is gezamenlijke verantwoordelijkheid

Volgens Wieringa moeten IT-gebruikers de kans krijgen om een actieve rol te spelen in de informatiebeveiliging van hun organisatie. “Die rol vervullen ze ook graag. Daarom is het belangrijk de hele organisatie erbij te betrekken. Cybersecurity is niet alleen een IT-vraagstuk. Ik zie steeds vaker dat de HR-afdeling zich bij de security-trainingen gaat helpen en de marketingafdeling met de communicatie rondom het thema security. Het is tenslotte de verantwoordelijkheid van de hele organisatie.”

“Het blijft een soort brandoefening, maar voor cyberaanvallen moet je vaker dan twee keer jaar oefenen. Daarom moet je elke maand 5 tot 10 minuten trainen op een onderwerp. Herhaling helpt daarbij. Doe drie maanden hetzelfde onderwerp, gepresenteerd in verschillende vormen, en kies het volgende kwartaal een nieuw onderwerp. Doe ook twee keer in de maand een gesimuleerde social engineering simulatie als test, stuur een phishing-mail of doe een voicemail-aanval, laat een paar usb-sticks in de organisatie rondslingeren en kijk wie deze in zijn pc steekt.”

Trainen, testen en monitoren

Een derde belangrijke stap, naast trainen en testen, is volgens Wieringa het monitoren of het gedrag van medewerkers in de praktijk ook daadwerkelijk verandert. “Door de bestaande security-middelen te monitoren en te correleren aan het gebruikersgedrag, kun je gebruikers real time sturen. Zo kun je het gedrag van mensen vormen waar nodig. Niet door ze op de vingers te tikken, maar door riskant gedrag op te merken als het gebeurt en erbij te zeggen wat in zo’n geval het juiste gedrag is. Dan maak je er een trainingsmoment van. Dat is buitengewoon effectief.”

Jelle Wieringa / KnowBe4

“Wanneer iemand een riskante usb-stick inplugt, krijgt die persoon gelijk een melding en een korte uitleg waarom dat niet de bedoeling is. Dat kost slechts een paar minuten tijd. Door de timing beklijft die training veel beter. De social engineering-aanvallen vormen de grootste cyberbedreiging voor organisaties. Is een paar minuten trainen en een paar minuten testen per maand en het automatisch monitoren van de beveiliging dan te veel gevraagd? Ik denk het niet. Bedenk maar eens wat het aan tijd en geld kost als het mis gaat.”

Gehaaider en persoonlijker

“Cybercriminaliteit is nog steeds een groeiende markt”, zegt Wieringa. “Social engineering aanvallen worden steeds gehaaider en persoonlijker en zijn met technologie alleen moeilijk te bestrijden, denk maar aan CEO-fraude.” Bij CEO-fraude wordt geprobeerd om mensen geld te laten overmaken naar de bankrekening van een oplichter door zich voor te doen als een hoogstaande persoon van een bedrijf.

De grootste bedreigingen kun je volgens Wieringa afvangen door goede security awareness trainingen toe te passen, waarvan de baten ruimschoots opwegen tegen de kosten. “Ten tweede is het secuur uitvoeren van security-updates van alles wat met internet is verbonden van het grootste belang. Routers, servers en printers kunnen allemaal een ingang vormen voor criminelen en moeten gewoon goed gepatcht worden. Tenslotte het punt van de wachtwoorden. Mensen zijn niet goed met wachtwoorden en zullen het waarschijnlijk ook nooit worden. Daarom zou iedereen een wachtwoordmanager moeten gebruiken.”

Wieringa pleit heel erg voor een gelaagde aanpak in de strijd tegen cybercriminaliteit. “Met technologie die het overgrote deel van aanvalspogingen afslaat. Multifactor authenticatie is een must en prima vorm te geven. En met medewerkers die getraind zijn in het herkennen van criminaliteit en het juiste gedrag dat er tegenover moet staan, is de kans het grootst dat je veilig bent.”

KnowBe4 is ’s werelds grootste platform voor security awareness training in combinatie met gesimuleerde phishing-aanvallen. Het Knowbe4-platform helpt organisaties om hun personeel te trainen in het herkennen, rapporteren en voorkomen van phishing-aanvallen, malware, CEO-fraude en andere vormen van cybercrime. Bezoek de website voor meer informatie.