Home Security Een mensgerichte cyberverdediging is cruciaal voor Nederlandse werknemers

Een mensgerichte cyberverdediging is cruciaal voor Nederlandse werknemers

123

Cybercriminelen vinden voortdurend nieuwe en inventieve manieren om organisaties in Nederland aan te vallen. Of het nu via Business Email Compromise (BEC), credential phishing of ransomware is, aanvallers richten zich steeds vaker op hetzelfde doelwit – onze mensen in plaats van op onze infrastructuur.

De mensen binnen onze organisaties zijn niet alleen een belangrijk aanvalsoppervlak. Ze worden ook gezien als kwetsbaarder dan geautomatiseerde tools en technologieën. Dit is een visie die door een meerderheid van de CSO’s en CISO’s van Nederlandse organisaties wordt gedeeld. Bijna tweederde (61%) gelooft zelfs dat menselijke fouten en een gebrek aan veiligheidsbewustzijn de grootste risicofactor zijn voor hun organisaties, blijkt uit onderzoek.

Maar hoewel de meeste CSO’s en CISO’s zich bewust zijn van de risico’s en de gevolgen, hebben veel van hen moeite om hun organisatie te beschermen. Of het nu gaat om ineffectieve strategieën, een gebrek aan betrokkenheid op bestuursniveau of onvoldoende cybersecurity-kennis, er is verandering nodig – en snel.

Een nieuwe aanpak

De verdediging tegen mensgerichte cyberaanvallen vraagt om een nieuwe aanpak. Een die onze mensen centraal stelt. Om een dergelijke strategie op te bouwen en in te zetten, moeten we eerst het type en de frequentie van de aanvallen waar onze organisaties mee te maken hebben, beter begrijpen.

72% van de CSO’s en CISO’s in het Nederlandse rapport hebben in 2019 te maken gehad met minstens één cyberaanval. Eén op de vier meldt zelfs meerdere incidenten. Het zijn natuurlijk mensgerichte aanvallen die de ranglijst domineren. Insider threats werden gemeld door 38% van de organisaties, gevolgd door aanvallen op cloud-accounts (32%), BEC (31%) en phishing (31%).

Schade

Als de frequentie van deze aanvallen nog niet zorgwekkend genoeg is, zouden de succespercentages ervan tot grote ongerustheid moeten leiden. BEC was vorig jaar verantwoordelijk voor een geraamde schade van 1,7 miljard dollar, terwijl 55% van de organisaties het slachtoffer was van ten minste één succesvolle phishing-aanval. De gevolgen voor bedrijven kunnen verstrekkend zijn – van inkomstenverlies en reputatieschade tot stillegging van het bedrijf, juridische kosten, schadevergoeding en reorganisaties

Alleen door het type, de frequentie en de gevolgen van veelvoorkomende aanvallen te begrijpen, kunnen we mensen in de frontlinie voorzien van de kennis die nodig is om zich hiertegen te verdedigen. Helaas is dit een aspect dat tot nu toe te wensen overlaat. Ondanks de enorme belangen die op het spel staan, geven de meeste Nederlandse organisaties slechts één (47%) of twee (42%) keer per jaar een training op het gebied van veiligheidsbewustzijn. Geen van hen voert een doorlopend trainingsprogramma uit. Dit gebrek aan permanente educatie komt helaas tot uiting in het kennisniveau van de medewerkers.

Uit een recent Proofpoint-onderzoek blijkt dat slechts twee derde van het wereldwijde personeelsbestand bekend is met de term phishing. Eén op de vier heeft wel eens een phishing-e-mail geopend en 10% geeft toe dat er op schadelijke links wordt geklikt. In deze context is het niet verwonderlijk dat slechts 38% van de CSO’s en CISO’s in Nederland het er sterk mee eens is dat hun bedrijf is voorbereid op een cyberaanval. Hoewel cyberrisico’s en alertheid op de agenda van de meeste organisaties staan, wordt in de realiteit het gewenste niveau vaak bij lange na niet gehaald.

Bewustwording omzetten in actie

Dat het bestuur zich bewust is van de cyberrisico’s is niet genoeg. Een mensgerichte cyberverdediging werkt alleen als deze bedrijfsbreed wordt uitgevoerd. Medewerkers op alle functieniveaus en in alle afdelingen kunnen organisaties op tal van manieren in gevaar brengen – zoals CSO’s en CISO’s maar al te goed weten.

Meer dan de helft (53%) gelooft dat hun medewerkers hun bedrijf kwetsbaar maken voor cyberaanvallen door verkeerd om te gaan met gevoelige informatie, 47% door het slachtoffer te worden van phishing-aanvallen en 39% door gebrekkige omgang met wachtwoorden.

Helaas blijft er een duidelijke kloof bestaan tussen het besef van het probleem en het vermogen om een oplossing te implementeren. Dit is waarschijnlijk het gevolg van een gebrek aan cybersecurity-vaardigheden en -training. Dit wordt door 44% van de CSO’s en CISO’s genoemd als een belangrijk obstakel voor de implementatie van effectieve cybersecurity-maatregelen.

Wanneer onze mensen worden aangevallen, zijn zij onze verdediging. We kunnen niet van hen verwachten dat ze deze enorme verantwoordelijkheid dragen als we hen niet voorzien van de benodigde kennis. Dit betekent dat we de kennis over veelvoorkomende aanvallen moeten vergroten. En, nog belangrijker, dat eindgebruikers goed beseffen welke rol zij spelen bij de verdediging tegen deze aanvallen.

Een mensgerichte cyberverdediging ontwikkelen

Mensgerichte aanvallen vragen om een mensgerichte verdediging. Werknemers van alle rangen en standen kunnen een doelwit zijn. Organisaties moeten er dus voor zorgen dat hun hele personeelsbestand is uitgerust met de kennis en de middelen om zich te verdedigen tegen alle mogelijke bedreigingen.

Dit is alleen mogelijk via bedrijfsbrede trainings- en voorlichtingsprogramma’s. De training moet doorlopend, uitgebreid en afgestemd zijn op de meest recente bedreigingen. Omdat criminelen hun aanvallen blijven verfijnen, moeten wij ook onze verdediging blijven bijschaven. Naast het behandelen van basisprincipes zoals een goed gebruik van wachtwoorden en phishing-detectie, moet de training ook het bewezen verband tussen gebruikersgedrag en de mogelijke ernstige gevolgen daarvan duidelijk maken.

Cybersecurity training is lange tijd gezien als een compliance-oefening. Deze houding brengt onze organisaties echter in gevaar. Je bereidt je werknemers niet voor op het maken van een test. Je stelt ze in staat om je organisatie te beschermen tegen aanzienlijke schade. Dat moet ook in je trainingsprogramma tot uiting komen.

Jim Cox, Area Vice President Benelux bij Proofpoint

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in