Vorige maand werd tijdens de ONE Conference in Den Haag al gesproken over het benoemen van de mens als zwakste schakel binnen de beveiliging van cyberdreigingen. Is dat nu wel zo, of moeten we de medewerker juist zien als de sterkste schakel? In dit blog belichten we beide standpunten.
Ook wij gebruikten de afgelopen jaren de uitdrukking “de mens is de zwakste schakel” in onze aankondigingen van diverse Security Awareness-uitingen. De achtergrond was eigenlijk heel simpel; het overgrote deel van de pogingen om binnen te komen bij een organisatie was van origine een zuiver technische aangelegenheid. Daarop is de basishygiëne op securitygebied vanuit de IT-leveranciers en/of de IT-afdelingen naar een hoger niveau getrokken, waardoor er met een ongerichte aanval weinig werd bereikt. Criminelen verschoven daarom hun aandacht van de technische kant (daar is weinig meer te halen) naar de menselijke kant. Een cybercrimineel is liever lui dan moe en dus gingen ze op zoek naar een gemakkelijkere manier om binnen te komen: de aandacht werd verplaatst naar medewerkers. Zij zijn gemakkelijker te verleiden/misleiden om op foute links te klikken of gegevens in te vullen, waamee de IT-organisatie geïnfiltreerd kan worden. Ergo: techniek is afgeschermd en dan is de mens de eerstvolgende makkelijke horde, en dus de zwakste schakel.
Maar is dat wel zo?
Er is namelijk een aantal redenen dat het tegenovergestelde bewijst:
- De technische barrière die opgeworpen is, is door mensen bedacht, ontworpen, gebouwd en wordt door mensen beheerd. Dat is niet iets dat je eenmalig instelt waarna je achterover kan leunen. De barrière, of dat nu een firewall, virusscanner of een andere technische maatregel is, dient beheerd te worden. Daarvoor dient deze continu aangepast te worden om de nieuwste bedreigingen het hoofd te bieden. Hier is “de mens” een onmisbare schakel.
- Wel of niet op een link klikken… dan heb je de e-mail met de frauduleuze link dus wel in de mailbox ontvangen. De techniek heeft dan al gefaald! Gelukkig heb je dan altijd de mens nog als laatste verdedigingslijn. We noemen dat ook wel de ‘menselijke firewall’. Als je die goed traint, kan het gegarandeerd de sterkste verdediging zijn die er bestaat.
- De combinatie van techniek en mens zet Claranet ook in bij de dienst Continuous Security Testing. Alleen automatisch scannen van een omgeving zorgt voor een hoog aantal ‘valse positieven’ die veel druk leggen op de operationele verwerking omdat je door de bomen het bos niet meer ziet. Door direct de kennis en ervaring van een gecertificeerde pentester hierop los te laten, kan je dit minimaliseren, zodat je direct de echt belangrijke alerts eruit kan vissen en aan kan pakken. Daarin is de mens onontbeerlijk en absoluut niet de zwakste schakel.
Wat als een paal boven water staat, is dat security niet alleen een onderwerp is voor de IT-afdeling. Het is in deze digitale maatschappij zo belangrijk geworden dat het een onderdeel dient te zijn van de DNA van de gehele organisatie en dus een belangrijk boardroom-topic. Helaas is dat niet overal het geval en dat is spijtig, want security is een strategie waar je continue mee bezig moet blijven. Mensen dienen hierbij betrokken te zijn en te blijven en dan is de mens de sterkste schakel!