Een typische kantoordag; de e-mail komt binnen en medewerkers banen zich een weg door de enorme hoeveelheid informatie die in hun inbox verschijnt. Een van deze e-mails heeft als titel "Enquête IT-compliancy". Het is een goede titel, kan afkomstig zijn van de IT-afdeling, heeft een extern e-mailadres itsupport@compliancycheck.nl, het moet wel afkomstig zijn van een van de externe security-experts die ingehuurd is voor een onderzoek onder de medewerkers. Het is geschreven en geformuleerd als een interne aankondiging, staat netjes het bedrijfslogo bij, moet goed zijn! De medewerkers zijn druk in de ochtend. Mede ondertekend vanuit de IT-afdeling, dus het komt van een collega, even snel kijken, paar minuutjes kost het maar, taak voltooid.
Dus… hoeveel van jouw collega’s zouden op de bijbehorende link klikken? Hoeveel zouden de enquête invullen als ze eenmaal naar een externe site zijn gegaan? En hoeveel heeft geen idee waar ze op moeten letten om phishing e-mail te herkennen?
25%? 50%...? We hebben waarschijnlijk allemaal wel iemand in gedachten die wel zou klikken… het betekent niet dat ze dom zijn, waarschijnlijk druk en gewoon snel van goed vertrouwen. Phishing staat gewoon niet op hun radar, waarom zouden ze, wat zou het doel zijn? Er zijn tal van ons met dezelfde vertrouwende mentaliteit die niet op zoek zijn naar een valkuil.
Je weet dit waarschijnlijk al, maar die persoon waar je net aan dacht, heeft zojuist data overgedragen aan een onbekende. Geen idee welke data, maar juist nu de meeste organisaties databeveiliging inmiddels beschouwen als een van de grootste bedreigingen, zouden het best wel eens een paar dure muisklikken kunnen zijn.
Data is het doel!
De belangrijkste interesse van hackers is tegenwoordig niet alleen maar het creëren van een verstoring, zoals we dat in het verleden hebben gezien, maar het vergaren van data. In een wereld waarin we organisaties zien die bijna volledig gebaseerd zijn op intellectueel eigendom en de diensten die ze leveren, is data nog nooit zo waardevol geweest. Hackers weten dat organisaties intelligenter en ijveriger worden rondom de bescherming van hun data, dus een eenvoudige brute ramkraak via de voordeur zal waarschijnlijk niet slagen. En dus moeten ze op zoek naar een andere weg om binnen te komen.
Wat is de beste kans om binnen te komen? Als systemen goed zijn ontworpen, zullen die netjes de regels volgen die zijn ingesteld, en zullen ze heel moeilijk te omzeilen zijn, maar mensen... nou, die maken fouten, en zijn dus de plek waar de grootste kans ligt om binnen te komen. Mensen vertrouwen van nature, ze gaan naar websites en accepteren de risico's die in de browser verschijnen als (simpel weg te klikken) waarschuwingen, of ze volgen blind een e-maillinkje van de IT-afdeling omdat ze denken dat ze het goede doen.
En daarmee heeft een hacker via de data, referenties, malware op het apparaat van de gebruiker, een weg naar binnen gevonden. Vanaf hier zullen ze doorgraven om steeds meer gebruikersrechten of achterdeurtjes te vinden, totdat ze uiteindelijk bij de gewenste data komen (en meenemen). En dit kan weken of maanden na die ene eerste gebruikersfout zijn.
Wat kunnen we hier aan doen?
Er zijn veel diensten die kunnen helpen, Advanced Threat Protection (ATP) heeft de aandacht van veel IT-afdelingen en biedt een veel betere bescherming. We weten allemaal dat voorkomen beter is dan genezen? De beste manier is om deze berichten te stoppen voordat ze je netwerk bereiken, en er zijn diensten die precies dat doen.
Maar wat als een dergelijke e-mail alsnog door die bescherming heen komt? We moeten opvoeden! Leer onze collega’s, partners en klanten om wantrouwend en cynisch te zijn over communicatie per e-mail. Om na te denken alvorens te klikken, en wat nog belangrijker is, om alarm te slaan als er enige twijfel is.
Terugkomend op de oorspronkelijke vraag: "Hoeveel van jouw collega’s zouden op de link klikken?" In het ideale geval willen we voorkomen dat de link ooit een inbox bereikt. Als dat niet lukt, willen we niet alleen dat werknemers die genoeg bewust zijn dit soort e-mail negeren, maar dat ze hun Security Officer of IT-afdeling proactief op de hoogte houden van de poging. Dat is het echte doel en iets waar we allemaal naartoe moeten werken om een veilige omgeving te helpen promoten.
Lees ook de uitgave “in 10 stappen voorbereid op de AVG” van de Autoriteit Persoonsgegevens over menselijk handelen; bewustwording, risico inschatting, maatregelen nemen, etc.