De afgelopen tijd zijn verschillende hacks, lekken en kwetsbaarheden voorbijgekomen. “PrintNightmare”, Kaseya-software en Hackerscollectief REvil kwamen langs en veel organisaties (en medewerkers) zijn op zoek naar manieren om de organisatie te beschermen. We vragen er naar bij Peter van den Broek, Account Manager bij Claranet.
Hoe erg is het momenteel?
Het lijkt erop dat de cybercriminelen actiever zijn dan ooit. We zagen al een toename van het aantal aanvallen toen we met z’n allen thuis gingen werken, en die trend lijkt doorgezet in 2021. De nieuwsberichten liegen er ook niet om. Complete omgevingen op zwart, supermarkten die gesloten worden, losgeld van maar liefst 70 miljoen om geïnfecteerde IT-platformen vrij te geven, en ga zo maar door. Dat is in een aantal gevallen een ongelukkige samenloop van omstandigheden, maar hoe dan ook, het benadrukt de noodzaak om security een serieus onderdeel te laten zijn van de bedrijfsvoering en er niet even ‘bij te doen’. Security zou in mijn beleving een absolute “boardroom” topic moeten zijn.
Wat kun je wel doen?
Als eerste; neem het serieus! Je zal de eerste niet zijn die het niet serieus genoeg neemt en geconfronteerd wordt met een netwerk of platform dat in handen is gevallen van een stel criminelen die tonnen aan bitcoins eisen om je systeem vrij te geven. Security kun je er niet zomaar bij doen, of afdoen met een enkele rol als Security Officer binnen een IT-afdeling of organisatie. De trends en ontwikkelingen op dit gebied gaan zo enorm snel dat je security echt integraal moet oppakken binnen je beleid. We hebben het binnen Claranet gemerkt toen een paar jaar geleden de securityspecialisten van zowel Sec-1 als NotSoSecure onderdeel werden van de Claranet Group. Het kennisniveau binnen onze organisatie knalde omhoog. Niet gek als je elk jaar tienduizenden uren aan pentesten uitvoert voor onze klanten en de meest bezochte trainingsmodules op de grote Black Hat-conventies wereldwijd geeft. Dan wordt security zo’n groot onderdeel van je dagelijkse werk dat je ineens ook vooroploopt op potentiële dreigingen en mogelijke kwetsbaarheden. En voorop lopen heeft veel meer voordelen; je hebt minder incidenten en je bent op tijd met beschermende maatregelen voor potentiële dreigingen. We kunnen daarmee incidenten aanpakken zonder dat ze uitgroeien tot een security-catastrofe.
Maar niet elke organisatie kan hierin mee, wat dan?
Dat is waar. Voor nu kunnen we eigenlijk maar één advies geven; zorg dat je een IT-partner in huis haalt die voor je aan slag kan om je grootste issues aan te pakken. En dan heb ik het niet enkel over het plaatsen van een firewall achter je internetverbinding of je andere technische maatregelen rondom virusscanning en multi-factor authenticatie. Dat zijn tegenwoordig dermate standaard IT-hygiëne zaken die sowieso geregeld moeten zijn. Anders kun je net zo goed de voordeur open zetten en de koffie alvast klaar zetten.
Het gaat tegenwoordig veel meer nog om de niet-technische issues. Criminelen scannen automatisch de netwerken af naar mogelijke lekken waardoor ze binnen kunnen komen, maar ook zij zien dat de bovengenoemde technische maatregelen wel ‘in place’ zijn. Waar ze tegenwoordig veelal op binnenkomen zijn de ‘lekken’ tussen toetsenbord en scherm, oftewel via de medewerkers, dat zijn nog altijd de zwakste schakels. En voor die zwakke schakels moet je een oplossing zien te vinden. Dus zorg ervoor dat de medewerkers niet meer blind op een linkje in de e-mail klikken, een verdachte bijlage openen of hun prive-gegevens laten slingeren.
Hoe groot is dit probleem en hoe pak je dat aan?
Specifiek voor deze uitdaging werken we samen met een van de grootste Security Awareness-leveranciers ter wereld: KnowBe4. Als je een testphishing campagne verstuurd vanuit hun platform, zie je dat zo’n 40% van de medewerkers geneigd zijn om in te gaan op een phishingmail. En dan hebben we het hier over een gemiddeld getal! 4 op de 10 medewerkers klikt gewoon, zonder enige aarzeling. Als we dan de training starten, zie je dat in de 2e testbatch na zo’n drie maanden het aantal met 50% daalt… en na een jaar zitten we op 90 a 95% van de medewerkers die oplettend genoeg zijn om niet in de val te trappen. Dat is enorme winst. Nog steeds kan het misgaan maar de kans wordt aanzienlijk verkleind. Het voordeel van de methodiek van KnowBe4 is dat ze informatie zo weten te verpakken in hun cursusaanbod dat het ook echt binnenkomt bij de medewerkers. Dus geen opgenomen PowerPoint-presentatie met monotone vertelstem eronder, maar veel meer interactie. Zo zetten ze bijvoorbeeld de Netflix-achtige serie “The Inside Man” in die onlangs nog internationale erkenning kreeg met een NYX Video Award in de categorie E-learning. Juist door dit soort materiaal in te zetten, komt de informatie echt bij de medewerkers binnen en veranderen ze daarop hun gedrag.
En dat is echt succesvol?
Absoluut, we hebben deze Security Awareness training nu draaien bij zo’n 20 woningcorporaties in Nederland en je ziet de resultaten in de loop van de tijd. We hebben hier onlangs trouwens nog een optionele extra module aan toegevoegd. Net zoals bij veel nieuwe dingen of veranderingen is het een uitdaging om er alles uit te halen. Daarom hebben we nu een special adoptie-module toegevoegd aan Security Awareness. Hiermee gaat een van onze consultants ervoor zorgen dat de dienst volledig tot zijn recht komt. Hiermee garanderen we dat dit niet een van die veranderingen is, die na een enthousiast begin weg ligt te stoffen in een la. Nogmaals; security moet serieus genomen worden, en dat kun je echt alleen maar doen als je dit soort diensten actief houdt en zorgt dat het een terugkerend thema wordt binnen de organisatie. Bovendien zorgt dit ervoor dat je een vliegende start hebt, juist nu heb je geen tijd te verliezen. Security is nog nooit zo’n uitdaging geweest! En neem van mij aan dat cybercriminaliteit niet meer weg gaat. Het is helaas een goed verdienmodel gebleken en gezien de waarde van data mag je als onderneming er zeker van zijn dat je op de korrel genomen wordt. Het is niet meer de vraag OF maar eerder WANNEER jij aan de beurt bent! Daarom is het belang van Security Awareness binnen je organisatie enorm.
Note: dit blog is eerder verschenen op CorporatieGids