Dit is een gastblog door Jelle Wieringa, Security Awareness Advocate bij KnowBe4.
De stelregel in onze branche is dat cybersecurity bestaat uit technologie, processen en mensen. Jarenlang hebben technologie en processen de volle aandacht gekregen. Aan de menselijke factor werd vaak voorbijgegaan. Nu is dat gelukkig – en noodzakelijkerwijs – aan het veranderen.
Uit onderzoek van onder meer Kaspersky Lab en consultancyfirma Willis Towers Watson blijkt dat 90 procent van de geslaagde cyberaanvallen wordt uitgevoerd door mensen om de tuin te leiden, ook wel ‘Social Engineering’ genoemd. Slechts 10 procent van de geslaagde aanvallen kan worden uitgevoerd via zwakke plekken in beveiligingstechnologie. Denk hierbij aan het gebruik van zwakke wachtwoorden, kwetsbaarheden in software en verkeerd geconfigureerde systemen.
Ondanks dat de mens nog steeds de meest uitgebuite aanvalsvector is, is het investeringspatroon van organisaties al jaar en dag onveranderd. Nog steeds zoeken organisaties hun heil in technologie en processen als primaire oplossing binnen beveiligingsmaatregelen. Van iedere € 72 besteden wij gemiddeld € 71 aan technologie en proces invulling, en slechts € 1 aan de mens-factor.
Deze scheefgroei komt deels voort uit de marketing-gedreven boodschappen waarmee fabrikanten ons beloven dat hun producten de gouden sleutel zijn in het beveiligen van organisaties en hun waardevolle data. Beveiligingstechnologie zoals firewalls, e-mail-gateways en dergelijke zijn zeker vitale onderdelen in een goede beveiliging. Het is echter van belang dat organisaties begrijpen dat zo’n opzet niet meer voldoet om data, financiële middelen en medewerkers te beschermen. Met beveiligingstechnologie richt je je immers maar op 10 procent van de cyberaanvallen! Een andere reden is dat de mens-factor ogenschijnlijk moeilijk te beschermen is. Het draait hierbij ten slotte om bewustzijn en gedrag dat veranderd moet worden. En de onveranderlijke aard van de evolutionaire mens draagt hier niet aan bij. Een doorn in het oog van menig HR- en IT-afdeling bij het doorvoeren van veranderingen.
Groeiend bewustzijn rond bewustzijn
Gelukkig is er vandaag de dag steeds meer bewustwording rond de noodzaak voor het beveiligen van de menselijke factor in de IT. Het trainen van medewerkers om bewustzijn voor de risico’s rond IT-systemen en het onjuist gebruik van data bij te brengen is een doeltreffend middel. Security awareness training leert gebruikers waar ze op moeten letten, en hoe ze op bedreigingen moeten reageren. Hiermee dragen medewerkers actief bij aan het beveiligen van hun organisatie en vormen zij een ‘menselijke firewall’.
Wij richten ons volledig op de menselijke kant van beveiliging. Technologische oplossingen kunnen fantastisch werken, maar als medewerkers in organisaties niet op de hoogte zijn van veiligheidsrisico’s of niet goed opletten tijdens hun dagelijkse bezigheden zijn hackers zo binnen. Met bijvoorbeeld datalekken en gijzeling van systemen en data door ransomware tot gevolg. Voorbeelden daarvan komen bijna dagelijks in de media voorbij. Uit recente onderzoekscijfers komt voort dat met name ransomware aanvallen in het laatste kwartaal van 2019 al met 42% ten opzichte van voorgaande kwartalen zijn gegroeid.
Uitgebalanceerde beveiliging
Ondanks deze groei is het niet verstandig als alle investeringen nu enkel naar het beveiligen van de mens zijde gaan. Een goede beveiligingsstrategie bestaat ten slotte uit een balans tussen technologie, proces en mens. Bij een effectieve beveiliging is de achterliggende gedachte dat je op alle fronten aandacht geeft aan de beveiliging van je organisatie. Hierbij besteedt je aandacht en geld aan de zwakste plekken van je beveiliging, naargelang het dreigings-beeld. Net als bij een voetbalwedstrijd waarbij de tegenstander een aanval opent over de linkerflank, bouw je daar ook je verdediging het grootste uit. Tegelijkertijd zorg je ook dat er op de rechterflank iemand staat voor het geval dat de situatie snel omslaat en de tegenstander zijn aanval aanpast aan jouw verdediging.
We zien security awareness training daarom als essentiële aanvulling op de technologie en processen die organisaties al in huis hebben.
Geen permanente oplossing
Is security awareness training dan de oplossing voor het elimineren van social engineering? Nee, er bestaat helaas geen permanente oplossing. Kwaadwillenden zullen altijd blijven proberen om de mens als zwakste schakel te benutten door ze te manipuleren. Hun aanvalstechnieken evolueren constant en worden complexer en geavanceerder.
Daarnaast is de aard van de mens dat wij informatie nu eenmaal snel vergeten als deze niet geregeld aangeboden wordt. Bewustzijn en verandering van gedrag heeft herhaling nodig om de informatie die je leert te blijven onthouden en toe te passen.
Security awareness training is een continu proces. Waarbij gebruikers afwisselend getraind worden in nieuwe onderwerpen en herhaalde, steeds uitgebreidere, training krijgen in al bekende onderwerpen.
Meerwaarde
Security awareness training is pas effectief als het een continu terugkerend onderdeel is in de werkomgeving. Goede security awareness training is daarnaast interactief, vermakelijk en actueel. KnowBe4 is wars van saaie CBT-sessies en heeft daarom de grootste contentbibliotheek ter wereld gebouwd. Trainen kan met games, quizzen, gesimuleerde phishing e-mails, video’s, posters, nieuwsbrieven en zelfs met een bingewatch-waardige en prijswinnende dramaserie die we eigenhandig produceerden. Als eindgebruikers security awareness training oprecht leuk vinden en het gevoel hebben telkens nieuwe dingen te leren – wat vrijwel direct terug te zien is in de uitgebreide rapportagemogelijkheden – zien klanten meteen de meerwaarde in.
Maximaal resultaat
Het grootste voordeel van security awareness training is de goede resultaten die er te behalen zijn. KnowBe4 laat jaarlijks onderzoek doen onder haar klanten naar de effectiviteit van trainingen. Hierbij wordt van 9 miljoen gebruikers onderzocht hoe vatbaar ze zijn voor phishing aanvallen. Hieruit blijkt dat gemiddeld 30% van alle gebruikers zonder training vatbaar is voor social engineering door phishing. Worden ze getraind, dan is dit getal na drie maanden gereduceerd naar 15%. En na een jaar training gevolgd te hebben ligt het gemiddelde nog slechts op 2%.
Security awareness training is hiermee een van de meest effectieve beveiligingsmaatregelen die een organisatie kan nemen. Door medewerkers te trainen vormen ze een menselijke firewall die actief bijdraagt aan de beveiliging van een organisatie.
Dit blog is eerder verschenen in ons Security Magazine editie zomer 2020. Geïnteresseerd in dit magazine? Vraag het magazine dan hier aan!
