Laten we beginnen met een schokkende statistiek: meer dan 70% van de cyberincidenten binnen ondernemingen wordt veroorzaakt door onoplettendheid of onwetendheid van medewerkers.
Hoewel veel medewerkers inmiddels wel weten dat ze twijfelachtige e-mails beter niet kunnen openen en dat je zeker niet moet klikken op links of bijlages in verdachte berichten, gebeurt het in 1 op de 4 gevallen toch. Een kort moment van onoplettendheid kan verstrekkende gevolgen hebben. Gevoelige bedrijfsinformatie kan op straat terecht komen. Activa kunnen ontvreemd worden. Of je kan reputatieschade oplopen, waardoor klanten minder geneigd zijn zaken met je te doen, omdat ze je niet meer vertrouwen.
De meest gebruikte technieken
Cybercriminelen worden steeds professioneler. Ze zijn steeds gerichter bezig om individuele bedrijven binnen te dringen, vaak met een combinatie van technieken om daar een grote buit uit te halen. Veel gebruikte technieken zijn onder meer phishing, social engineering en wachtwoordfraude.
Bijna elk type aanval maakt gebruik van een vorm van social engineering. De grootschalige Twitter-hack die recent plaatsvond, waarbij via accounts van bedrijven en beroemdheden oproepen werden geplaatst om bitcoins over te maken, was het gevolg van social engineering. Dat is een techniek waarbij aanvallers via de mens proberen vertrouwelijke informatie te achterhalen. Ze spelen daarbij in op menselijke eigenschappen als nieuwsgierigheid, behulpzaamheid en gierigheid. Bij Twitter zouden de hackers toegang hebben gekregen tot systemen via een medewerker die in ruil daarvoor betaald kreeg.
Ook phishing vormt een serieuze bedreiging voor ondernemingen. Waar phishingmails een paar jaar geleden nog eenvoudig te herkennen waren aan de taalfouten, onprofessionele lay-out en titels in capslock, zijn de mails van nu steeds realistischer en dus moeilijker te herkennen. Voor het ongetrainde oog zijn ze bijna niet meer van echt te onderscheiden.
Phishing wordt onder meer ingezet om wachtwoorden te achterhalen en zo toegang te krijgen tot systemen. Hergebruik van hetzelfde wachtwoord voor verschillende systemen, vormt dus een grote bedreiging voor bedrijven. Wanneer een cybercrimineel een wachtwoord heeft achterhaald, kan hij in elk systeem komen waarvoor het wachtwoord wordt gebruikt. Met alle vervelende gevolgen van dien.
Hoe maak je medewerkers bewust van cyberrisico’s?
Het ontwikkelen van medewerkersbewustzijn is essentieel als je je bedrijfsgegevens veilig wilt houden. Een van de voorlopers in security awareness training is Infosequre. ‘Waar een aantal jaar geleden de nadruk lag op technische security zien we dat de menselijke factor steeds vaker prioriteit krijgt’, zegt Ernst Bouwman, directeur van Infosequre. ‘Bedrijven snappen steeds beter dat je met security awareness training je bedrijfscontinuïteit waarborgt. Ze zijn vaker bereid maatregelen te treffen, maar het blijft een afweging tussen risico’s en kosten. Wij helpen ze daarbij.’
Er zijn meerdere methodes om de cyber skills van medewerkers te verbeteren. Welke aanpak het beste bij een organisatie past, is onder meer afhankelijk van het aantal medewerkers en de cyber volwassenheid van een organisatie.
In de praktijk worden e-learning en game-based training vaak met elkaar gecombineerd. Meestal wordt gestart met een nulmeting om de motivatie en het gedrag van medewerkers in kaart te brengen om dit vervolgens stapsgewijs te beïnvloeden. In lijn met de meest voorkomende cyberincidenten kiezen veel bedrijven ervoor om hun medewerkers met digitale programma’s te trainen in veilig wachtwoordgebruik, het herkennen van phishingmails en social engineers. Ook game based trainingen, zoals VR-games, escaperooms en phishing battles, waarbij teams tegen elkaar strijden, zijn populair. De beleving van het programma is essentieel voor het resultaat.
Als het om cyber security gaat, is stilzitten geen optie. Door telkens opnieuw aandacht te besteden aan het gewenste gedrag, werk je toe naar een sterke security cultuur. Zo ontwikkelen je werknemers zich tot je belangrijkste verdediging.
7 cyber security tips
Direct de security awareness binnen je onderneming verbeteren? We delen 7 praktische cyber security tips waar je vandaag nog mee aan de slag kan.
- Laat medewerkers een wachtwoordmanager gebruiken. Daarmee hoeven ze zelf geen wachtwoorden meer te verzinnen en onthouden.
- Activeer tweefactorauthenticatie (2FA). Daarmee voeg je een extra beveiligslaag toe aan accounts.
- Laat medewerkers gebruik maken van een VPN als ze thuiswerken of op een andere locatie. Op die manier bescherm je gegevens die ze naar de servers van het bedrijf sturen en vice versa.
- Maak het rapporteren van incidenten eenvoudig. Voeg bijvoorbeeld een link aan het e-mailprogramma toe waarmee medewerkers met 1 klik verdachte e-mails kunnen melden.
- Laat bedrijfsinformatie alleen delen via versleutelde e-mails of door de organisatie goedgekeurde clouddiensten.
- Betrek cyber security op de thuissituatie van medewerkers. Dan blijft het beter hangen.
- Geef het goede voorbeeld. Als het management laat zien dat zij informatieveilig werken belangrijk vindt, heeft dat grote invloed op het gedrag van medewerkers.
Je moet inloggen om een reactie te kunnen plaatsen.