Gelekte data, boze gedupeerden, negatieve media-aandacht en financiële schade… de consequenties van een cyberaanval liegen er niet om. En elke organisatie is kwetsbaar: je kunt je systemen nog zo goed beveiligd hebben, maar hoe mensen ermee omgaan heeft minstens zoveel impact. 80% van deze incidenten is het gevolg van menselijk handelen. Security awareness is geen luxe maar noodzaak. Hoe maak je van mensen de sterkste schakel in een weerbare (overheids-)organisatie?
Of wij in Nederland cyberrisico’s onderschatten? Steeds minder, denkt Paul Koetsier: “Veel bedrijven zijn wel wakker geschud. Sinds de pandemie zijn het aantal cyberaanvallen vervijfvoudigd en de oorlog in Oekraïne heeft de aandacht voor cybercrime alleen nog maar meer aangewakkerd.” Koetsier werkt als Project manager Mission Critical Systemen bij TriOpSys, dat zich onder meer richt op het cyberweerbaar maken van organisaties in het mission critical domein.
Het prijskaartje van gemak
“Wél onderschatten we de impact van het menselijk handelen op cyberdelicten,” vervolgt hij. “In 2014 slaagde hackers vanuit Rusland erin om een virus te implementeren op de telefoons van het Oekraïense leger. De Oekraïense commandanten maakten namelijk gebruik van een tool om kogelbanen te berekenen, niet wetende dat zij daarmee hun precieze locatie prijsgaven aan de Russen. Daarmee werden ze extreem kwetsbaar. Het is exemplarisch voor hoe we als mens handelen: we kiezen voor gemak en betalen daar -onbedoeld- een prijs voor. In dit voorbeeld een hoge prijs, we weten allemaal hoe de strijd toen afliep… inmiddels heeft het Oekraïense leger zich overigens digitaal een stuk beter bewapend.”
“Je cyberweerbaarheid is zo sterk als je zwakste schakel, daarom moet je óók aandacht besteden aan je mensen.” – Paul Koetsier, Projectmanager Mission Critical Systemen
Cybercrime aanpakken is geen kwestie van kiezen
“Ondanks dat mensen gemakkelijk doelwit zijn, zetten organisaties vooral in op technische maatregelen om zich te beschermen tegen cybercrime. Techniek wordt gezien als basishygiëne. Dat is ook terecht, als organisatie heb je een verantwoordelijkheid om digitale veiligheid te regelen en dat begint bij beveiligingsstandaarden zoals ISO27001 en SOC2. Doe je dit niet, dan moet je je afvragen hoe serieus je cyberveiligheid neemt.”
Een misvatting is echter dat technische beveiliging volstaat. “Dat is niet zo, met techniek kan je op basis van informatie over aanvallen in het verleden controles ontwerpen en inbouwen. Dan ben je alert op een herhaling van de vorige aanval. Ook belangrijk. Maar in een omgeving met een hoge security awareness gebeurt het vaker dat iemand zegt: ‘Hé, dat is vreemd…’ Waarbij dan een nieuw soort aanval ontdekt wordt.
Dat gezegd hebbende, is het creëren van security awareness geen quick fix. Daar zit ook de crux voor het management: het kost tijd, vereist (veel) herhaling en het effect laat zich moeilijk meten. Zet dat af tegen technische maatregelen en security awareness verliest het als het aankomt op voorspelbaarheid. Gedragsverandering laat zich nu eenmaal moeilijk ‘afvinken’. Toch is cyberweerbaarheid niet een kwestie van óf techniek óf awareness, het is en-en. Anders is er sprake van schijnveiligheid.”
“There are only two kinds of companies — those that have been hacked, and those that will be.” – Robert Mueller, FBI Director, 2012
100% veiligheid een illusie
Wat kun je doen om je mensen bewust te maken van de risico’s? Om het maar meteen de wereld uit te helpen: “100% veiligheid is een illusie”, waarschuwt Paul. “Waar mensen werken worden fouten gemaakt. Dat is nooit helemaal te voorkomen. Onwelwillendheid van mensen is zelden de oorzaak, onwetendheid en onoplettendheid spelen wel een rol. Organisaties die dit erkennen en werkelijk leren begrijpen waarom mensen fouten maken en in welke context ze extra kwetsbaar zijn, kunnen het risico op menselijk falen fors terugdringen.
Cybercrime aanpakken: hoe maak je van mensen de sterkste schakel?
We maken onderscheid tussen twee soorten dreigingen waar je als organisatie op kunt anticiperen: bekende dreigingen en nieuwe dreigingen. Dreigingen die bekend zijn kun je bijvoorbeeld, op twee manieren ondervangen: (1) minder mensenwerk door geautomatiseerde controles en (2) door de veiligste werkwijze ook de makkelijkste werkwijze te maken.
1. Minder mensenwerk door automatisering
De eerste stap om menselijke fouten te voorkomen is om hen geen gelegenheid te geven, door waar mogelijk geautomatiseerde controles in te bouwen. Voorbeelden zijn:
- Je firewalls en andere beveiligingssoftware up to date te houden zodat de bekende zaken er uitgefilterd worden.
- Loggen van zaken en ook met die logs iets doen; real time geautomatiseerd analyseren op onverwachte zaken. Veel bedrijven gebruiken logs alleen voor troubleshooting achteraf als er iets gebeurd is; goed om van te leren maar je bent wel te laat.
- Implementeer DLP (Data Loss Prevention) technieken; in de eenvoudigste vorm: genereer een waarschuwing (en een vertraging) voor een extra controle als data naar een verdacht adres gaat of als de hoeveelheid uit te wisselen data afwijkt van het normale patroon.
Daardoor kun je meer tijd besteden aan het verbeteren van je beveiligingsmaatregelen, omdat je minder tijd kwijt bent aan de uitvoering ervan. Ook maakt automatisering het mogelijk op grotere schaal te monitoren en sneller te reageren op dreigingen.
2. De veiligste werkwijze is de makkelijkste werkwijze
Van nature willen we dingen goed doen, maar we kiezen we ook graag voor de makkelijkste route. Dat wordt versterkt onder bepaalde omstandigheden, bijvoorbeeld als we druk zijn, verschillende dingen tegelijk doen of onze aandacht er niet helemaal bij hebben. Juist dan sluipt onoplettendheid erin en vallen we terug in oude patronen.
“Daarom moet veiligheid moet voor iedereen een werkbare situatie worden”, zegt Paul. “En de techniek kan daarbij helpen. Niet door gebruikers te beperken, maar door te faciliteren in een gebruiksvriendelijke oplossing die uitnodigt het juiste te doen.
Het curb-cut effect vormt daarbij een mooi uitgangspunt: je werpt obstakels op voor kwaadwillenden en haalt deze weg voor mensen die goed willen. Oftewel: als je weet dat mensen geneigd zijn voor de makkelijkste weg te kiezen, zorg er dan voor dat dit ook de veiligste weg is. Zo maak je de kans op menselijke vergissingen zo klein mogelijk.
Naast bekende dreigingen worden organisaties ook doorlopend geconfronteerd met nieuwe dreigingen: cybercrime evolueert snel. Hoe kun je je wapenen tegen nieuwe technieken als je het nog niet eerder hebt meegemaakt? Door (3) het kritisch vermogen van je mensen te stimuleren en (4) een veiligheidscultuur te creëren” zegt Paul. Want waar de techniek je tegen hedendaagse bedreigingen beschermt, doen je medewerkers dat in de toekomst.
3. Stimuleer het kritisch vermogen van mensen
“Kritisch denken en daarnaar handelen begint bij voldoende kennis. Daarom is het belangrijk om mensen te trainen en te laten zien hoe hackers te werk gaan, wat beproefde aanvalstechnieken zijn en op welke manier mensen doelwit zijn. Laat zien hoe phishing, malware, e-mail en social media een risico kunnen vormen, hoe je dit herkent en vervolgens tot het minimum beperkt. Vervolgens is het van belang om mensen te stimuleren om zélf kritisch na te denken, proactief vragen te stellen en actie te ondernemen. Komt er een verdachte e-mail binnen? Check of het klopt, óók als het van de CEO komt. Worden er afwijkende datastromen opgemerkt? Doe even een extra belletje.”
4. Creëer een veiligheidscultuur
“Uiteindelijk wil je dat veiligheid onderdeel uitmaakt van het DNA van de organisatie. Dat realiseer je alleen als je erin slaagt digitale veiligheid top of mind te maken. En dat is best een opgave. Ook in een organisatie als die van ons, waar IT en de veiligheid daarvan tot onze kerntaken behoort, besteden we doorlopend aandacht aan bewustwording. Er hangen momenteel overal posters, om mensen te wijzen op de risico’s. En we hebben maandelijkse nieuwsbrieven over privacy. Want ook wij kiezen van nature graag de snelste of makkelijkste weg, zeker als we het druk hebben. We zijn ook gewone mensen” lacht Paul.
De nummer één succesfactor in de aanpak tegen cybercrime
“Wat cyberweerbare (overheids-)organisaties kenmerkt? Met stip op één: het management. Als ik met slechts één vraag zou moeten toetsen wat het potentieel van een organisatie is om cybercrime het hoofd te bieden, dan is dat: ‘vind het management van de organisatie cyber weerbaarheid belangrijk?’ Of liever nog ‘waarom vinden zij het belangrijk?’
De mate waarin een organisatie intrinsiek gemotiveerd is om de organisatie – en burgers of andere stakeholders – te beschermen, zegt namelijk alles over het potentieel om van een organisatie met veiligheidsbesef te groeien naar een organisatie met een veiligheidscultuur.
Want dat is waartoe de realiteit van vandaag de dag ons uitdaagt.