Een menselijke firewall als oplossing voor cyberbedreigingen

De grotere afhankelijkheid van de privéapparatuur van thuiswerkers biedt cybercriminelen nieuwe kansen om bedrijfsnetwerken te hacken. Werknemers kunnen zélf een ideale verdedigingslinie vormen, stelt Filip Savat van Fortinet. ‘Maar dan moet er binnen ondernemingen wel eerst werk gemaakt worden van security awareness-trainingen.’

Een van de methoden waar hackers de afgelopen tijd intensief gebruik van maken is het opstellen van phishing-mails die nauwelijks van een bonafide bericht te onderscheiden zijn. Ze gebruiken die om gerichte cyberaanvallen uit te voeren. Hoewel dit geen nieuwe tactiek is, worden de social engineering-trucs voor phishing-aanvallen steeds geavanceerder. Het feit dat thuiswerkers van de rest van de organisatie zijn afgesneden, vergroot bovendien de slagingskans van deze aanvallen.

Bedreigingen door insiders

Volgens een recent onderzoek denkt 68% van alle organisaties dat ze gematigd tot extreem kwetsbaar zijn voor bedreigingen door insiders. Dit kan zowel om werknemers met kwade bedoelingen gaan als om medewerkers die de organisatie onopzettelijk in gevaar brengen. Volgens het onderzoek zien beveiligingsteams het ten prooi vallen aan phishing-aanvallen (38%) als de grootste onopzettelijke bedreiging door insiders.

Achteloosheid en nalatigheid kunnen ingrijpende gevolgen hebben voor organisaties, zeker als ze in een datalek resulteren. Steeds meer werknemers werken nu van thuis. Dat betekent dat ze niet naar het bureau van een collega kunnen stappen om diens mening te vragen over een verdacht uitziend mailtje, wat hen vatbaarder maakt voor social engineering-aanvallen. Het is daarom belangrijk dat Chief Information Security Officers een hoge prioriteit toekennen aan security awareness-training voor het personeel. Die is nodig om werknemers bewust te maken van de rol die zij spelen bij de beveiliging van het bedrijfsnetwerk en het terugdringen van interne bedreigingen.

Werknemers kunnen zelf een ideale verdedigingslinie vormen. Medewerkers zouden ongeacht hun functie of rol binnen de organisatie inzicht moeten hebben in de gevolgen van een beveiligingsincident voor zowel hun werkgever als voor henzelf. Daarvoor moeten CISO’s hun werknemers duidelijk maken waarom ze cybersecurity serieus moeten nemen. Dat kunnen ze op de volgende manieren doen.

Geef prioriteit aan security awareness-training

Organisaties worden aan de lopende band bestookt met social engineering-aanvallen, simpelweg omdat die zo effectief zijn. Om dit risico op te vangen moeten CISO’s hun werknemers inlichten over de meest voorkomende typen aanvallen, zoals phishing, spear phishing, smishing of tech support-scams. Training en voorlichting moeten een topprioriteit vormen, of die nu worden aangeboden via online vergaderruimtes, videochats of e-mail. Werknemers inzicht bieden in dergelijke cyberbedreigingen en tekenen van verdacht gedrag is noodzakelijk om te voorkomen dat ze het slachtoffer worden van frauduleuze e-mails en kwaadaardige websites.

Deze trainingen moeten ook voorzien in simulaties van phishing-aanvallen. Zo wordt de kennis van werknemers getoetst en worden medewerkers uitgelicht die wat meer hulp kunnen gebruiken. Dergelijke maatregelen kunnen ertoe leiden dat werknemers beter in staat zijn om na te gaan of zij het doelwit vormen van een social engineering-aanval om daar vervolgens op een passende wijze op te reageren.

Bevorder de samenwerking

Cybersecurity zou niet louter de verantwoordelijkheid moeten zijn van de IT-afdeling en het security-team. Zeker niet nu cyberbedreigingen steeds slimmer worden en moeilijker te detecteren zijn. CISO’s moeten er niet alleen voor zorgen dat werknemers in staat zijn om phishing-aanvallen te herkennen, ook de samenwerking tussen het security-team en andere afdelingen moet bevorderd worden.

Medewerkers die weten wat er van hen wordt verwacht en het gevoel hebben dat ze deel uitmaken van een team, zullen sterker gemotiveerd zijn om best practices voor cybersecurity toe te passen. Zij kunnen helpen met het uitroeien van vormen van gedrag die onbedoeld bijdragen aan beveiligingsincidenten, zoals het nalaten om standaardwachtwoorden te wijzigen. Hoe meer werknemers het goede voorbeeld volgen, hoe sterker de menselijke firewall die de eerste verdedigingslinie van je organisatie vormt.

Zorg voor helder gedefinieerde best practices

Ook als werknemers weten hoe ze social engineering-trucs moeten herkennen, is het mogelijk dat ze nog steeds behoefte hebben aan advies over de volgende stap in het proces. Het is makkelijk om een verdacht mailtje te negeren of verwijderen, maar wat te doen met een bericht dat er bonafide uitziet, maar toch twijfels oproept?

CISO’s zouden werknemers moeten aanmoedigen om zich in dit soort situaties een aantal vragen te stellen om tot de juiste beslissing te komen. Ken ik de afzender? Verwachtte ik deze mail? Wekt dit bericht een sterke emotie op, zoals spanning of angst? Word ik onder druk gezet om iets met spoed te doen? Het beantwoorden van deze vragen zou een einde moeten maken aan deze verwarring.

Passiviteit onacceptabel

Security awareness is een onmisbaar stukje van de legpuzzel van bedrijfsbrede beveiliging. Of werknemers het zich nu realiseren of niet, hun handelingen kunnen de deur openzetten voor cybercriminelen. En daarmee komt gevoelige bedrijfsinformatie in gevaar. Een passieve houding ten opzichte van cybersecurity is daarom niet langer acceptabel.

Door prioriteit toe te kennen aan voorlichting en training voor het personeel, en aan samenwerking tussen afdelingen en het security-team kunnen CISO’s de basis leggen voor een solide beveiligingscultuur. Het identificeren van verdacht gedrag, het bijwerken van apparatuur met de laatste updates en het beoefenen van cyberhygiëne zouden deel moeten uitmaken van het takenpakket van iedere medewerker. Op die manier bevat de menselijke firewall geen enkele zwakke schakel.