Overal horen we het belang van cybersecurity om de groeiende cybercriminaliteit tegen te gaan. Bedrijven investeren steeds meer in het op orde brengen en houden van cybersecurity. Wanneer er namelijk een hack van een bedrijf in het nieuws komt, heeft dit veel gevolgen voor de betrouwbaarheid van het bedrijf en zorgt het dus voor imagoschade.
Maar is het technische aspect dan het enige belangrijke om cybercriminaliteit tegen te gaan? Zeker niet. Criminelen gebruiken regelmatig de onwetendheid van medewerkers om informatie te bemachtigen. Deze onwetendheid kan namelijk leiden tot nalatigheid. Een voorbeeld is de hack van de gemeente Hof van Twente. Zij startte een juridische strijd tegen het bedrijf dat werd ingehuurd voor de veiligheid van de online systemen. Maar de rechtbank heeft geoordeeld dat het de hackers makkelijk was gemaakt, omdat een gemeentemedewerker het wachtwoord van het beheerdersaccount had veranderd in ‘Welkom2020’. In deze blog zullen we daarom kijken welke rol deze onwetendheid speelt en hoe dit tegengegaan wordt.
Nalatigheid als insider threat
Insider threat betekent dat er een dreiging van binnenuit is. Dit kan bijvoorbeeld iemand zijn die bewust op een bepaalde positie is gezet, om toegang te krijgen tot de informatie van de organisatie. Daarnaast kan iemand kwetsbaarheden hebben, waardoor de persoon een insider threat kan worden na indiensttreding. Een voorbeeld is een persoon met financiële problemen, waardoor deze persoon gevoelig kan zijn voor chantage.
De insider threat kan ook door nalatigheid ontstaan. Dit kan zowel bewust als onbewust plaatsvinden. Een voorbeeld is het aan laten staan van je scherm wanneer je wegloopt van het bureau, waardoor alle informatie op je scherm leesbaar is voor anderen. Bij bewust nalatig wordt er iets bedacht om de veiligheidssystemen te omzeilen uit gemak. Een voorbeeld is het niet beschermen van een computer met een wachtwoord, zodat je niet zo vaak hoeft in te loggen tijdens het werk.
Gevolgen van de menselijke factor als zwakke schakel
Kwaadwillenden kunnen goed gebruik maken van deze nalatigheid. De nalatigheid creëert namelijk de gelegenheid voor deze kwaadwillenden om toegang te krijgen tot informatie. Dit wordt ondersteund door de gelegenheidstheorie uit het criminologische werkveld: de kans op criminele activiteiten is groter als de gelegenheid groot is.
Fouten zijn menselijk, maar menselijke fouten door het slordig omgaan met apparaten kunnen grote gevolgen hebben. Voorbeelden zijn imagoschade, financiële schade en het verlies van data.
Security awareness
Om deze gelegenheid voor kwaadwillenden kleiner te maken, is het belangrijk om security awareness op de agenda binnen de organisatie te zetten. Security awareness betekent dat er bewust en veilig omgegaan wordt met informatie. Werknemers moeten bewust zijn van de risico’s die er zijn en hoe zij deze risico’s met hun eigen handelingen kunnen beperken. Er kunnen in het bedrijf hele goede systemen geïnstalleerd worden, maar wanneer de medewerkers niet bewust zijn van het belang, krijgen kwaadwillenden onnodig de gelegenheid om makkelijk informatie te vergaren. De medewerkers moeten dus inzien dat zij ook een cruciale rol spelen in de bescherming van de organisatie.
Er zijn aanvalsmethoden die juist gericht zijn op de menselijke zwakheden. Dit heet social engineering. Voorbeeld hiervan is phishing. Zo kan iemand een e-mail ontvangen waarin vermeld staat dat er nog een factuur open staat, met een link om deze factuur te betalen. Door op de link te klikken, krijgt de verzender toegang tot bepaalde gegevens. Wanneer de e-mail een goed doordachte aanval is en gericht is op een specifiek doelwit, wordt het ‘spearphishing’ genoemd. Om te zorgen dat medewerkers dergelijke aanvallen herkennen en juist handelen, moeten de medewerkers een ‘Security-First’ mentaliteit ontwikkelen.
De bewustheid creëren
De security awareness wordt bereikt door middel van trainingen. Deze trainingen kunnen gericht zijn op verschillende onderwerpen: wachtwoorden, verdachte e-mail herkennen, voorzorgsmaatregelen die ze zelf kunnen treffen en het verder veilig gebruiken van de apparaten. Het is belangrijk dat het onderwerp security awareness blijvend op de agenda staat. Hierdoor komen de handelingen in de routine van de medewerkers. Daarnaast zijn er veel ontwikkelingen in de wereld van cybersecurity, waardoor medewerkers blijvend geïnformeerd moeten worden over de risico’s.
Het is dus belangrijk dat er continue aandacht in de organisatie is voor het veilig omgaan met de informatie en apparaten, en dus het creëren van security awareness. Op deze manier worden risico’s van insider threats verminderd. Dit is echter niet de enige manier om insider threats te beperken. Het is bijvoorbeeld ook belangrijk om te weten wie je binnenhaalt in je organisatie. Wij kunnen daarbij helpen. Neem daarom gerust contact met ons op voor meer informatie!
0 Reacties