Partnerbijdrage van: KnowBe4
Geschreven door Jelle Wieringa, Security Awareness Advocate bij KnowBe4
Van alle cyberaanvallen wereldwijd begint 70 tot 90 procent met een menselijke fout. Toch wordt vooral met technologie geprobeerd om ransomware buiten de deur te houden. Door de focus naar de mens te verleggen en medewerkers te trainen kunnen de risico’s van ransomware met een kleine investering enorm worden gereduceerd.
Phishing is de meest eenvoudige vorm om ransomware een organisatie binnen te brengen. Maar phishing komt tegenwoordig in veel geniepige variaties, van ceo-fraude (waarbij de directeur het doelwit is) tot phishing via derden (waarbij kwaadaardige links in mails van gehackte klanten of leveranciers staan). Ze vallen allemaal onder de noemer social engineering: het manipuleren, beïnvloeden of misleiden van mensen om zo controle te krijgen over hun computernetwerk.
In de onderhoudsgarage van ondernemer Peter uit Zutphen downloadt een van zijn medewerkers een bestand waar ransomware in blijkt te zitten. “We krijgen dagelijks mailtjes van klanten die vragen even naar hun onderhoudshistorie te kijken en dan sturen ze een bestandje mee. Daar kan makkelijk iets in verstopt zitten”, zegt Peter in 2020 tegen de Nederlandse actualiteitenrubriek EenVandaag. Die ochtend ligt al snel het hele bedrijf plat. “Het was maar afwachten wie zijn auto bracht. Rampzalig was ook dat de onderhoudshistorie van alle auto’s niet meer terug te vinden was. Ook de winterbanden van onze klanten kon ik niet meer traceren in de stellingen.”
Aanvalsoppervlak verkleinen
De aanvalstactiek waar de garage mee te maken kreeg is gericht op mensen. De verdediging van bedrijven tegen zo’n aanvalstactiek bestaat vooral uit technologie. Dat is een mismatch, maar wel te verklaren: technologische oplossingen als firewalls en slimme spamfilters zijn decennialang aangedragen door fabrikanten als enige heilzame bescherming tegen phishing. Voor organisaties vormde technologie bovendien de weg van de minste weerstand. Software is een kwestie van installeren en doet het in principe altijd; focussen op mensen en het veranderen van hun gedrag achter de computer is een stuk ingewikkelder.
Gelukkig begint de aandacht van CISO’s, IT-afdelingen en ondernemers te verschuiven van technologie naar de mensfactor. Zij zien in dat het voorkomen van een cyberaanval beter én goedkoper is dan het genezen ervan, en dat er op het vlak van preventie nog een heleboel winst te behalen is door de mens centraal te stellen. Met beperkte inspanning en investering kunnen organisaties hun beschermingsgraad tegen social engineering sterk verhogen.
Hoe? Door medewerkers te trainen in het herkennen van social engineering en ze te leren hoe ze met verdachte e-mails, appjes of telefoontjes moeten omgaan. Bij bedrijven die hun medewerkers een jaar lang iedere maand security awareness training gaven, wordt gemiddeld 84 procent minder op verdachte links geklikt dan voorheen. Zo wordt het aanvalsoppervlak dat internetcriminelen kunnen gebruiken – de hoeveelheid medewerkers die vrij gemakkelijk op kwaadaardige links klikt – veel kleiner.
Return on Security Investment
Juist ransomware-aanvallen gaan vaak gepaard met veel zichtbare en financiële pijn. Garagehouder Peter wil geen duizenden euro’s losgeld aan internetcriminelen betalen. Maar in zijn garage worden niet regelmatig back-ups gemaakt en dus zijn hij en zijn team genoodzaakt alle informatie waar ze nog aan kunnen komen handmatig opnieuw in te voeren. Tegen de journalisten van EenVandaag zegt hij door alle overuren en gemiste dienstverlening zeker 50.000 euro schade te hebben. Twee jaar later is hij nog steeds een deel van de planning en administratie kwijt.
Hoe zuur het ook moge zijn, de veelvoorkomende financiële schade door ransomware-aanvallen maakt het mogelijk om te berekenen welke schadebeperking tegenover de investering staat die bedrijven kunnen doen om de risico’s van ransomware te verkleinen. Uit die berekening blijkt in de meeste gevallen dat de Return on Security Investment (ROSI) van security awareness training als middel tegen ransomware-aanvallen goed is. Met security awareness training die relevant en leuk is om te doen en bovendien vaak wordt herhaald (in verschillende vormen, denk aan podcasts, video’s, nieuwsbrieven of posters aan de muur) is het risico van het klikken op links immers enorm te reduceren.
Brandoefening
Het investeren in preventie ontslaat organisaties echter niet van de plicht om zich voor te bereiden op het scenario dat het bedrijf getroffen wordt door ransomware. Zowel technologie als mensfactor moeten op orde zijn, dus ook in de voorbereiding heeft het zin om medewerkers te trainen in protocollen en processen. Bedrijven kunnen het aanpakken als een brandoefening: wat moet er gebeuren als ransomware toeslaat, wie heeft welke rol, welke hulp kan er worden ingeroepen en hoe kan de organisatie blijven doordraaien totdat alle systemen weer toegankelijk zijn?
Bij de Amsterdamse family office van Gerke, waar vermogensbeheer voor klanten uit het bedrijfsleven, topsport en entertainment wordt gedaan, blijken na een ransomware-aanval in 2020 de goed beveiligde back-ups de redding te zijn. Met behulp van een externe cybersecuritypartij kunnen bestanden uit de back-ups worden teruggezet in de systemen. “Gelukkig hebben we dit goed georganiseerd. Wij maken dagelijks automatisch een back-up en iedere maand maken we een aparte back-up op een extern apparaat dat buiten kantoor veilig wordt opgeslagen”, vertelt Gerke aan het Digital Trust Center van de Nederlandse overheid.
De voornaamste tip die Gerke via het Digital Trust Center aan andere ondernemers geeft, is om met een gespecialiseerde IT-partij te werken die regelmatig risico’s in kaart brengt en binnen de organisatie checks uitvoert. “Zo was iedereen binnen ons bedrijf goed voorbereid”, zegt ze. Het werk van de family office ligt ongeveer een dag stil door de ransomware-aanval en de schade blijft beperkt. Investeren in security awareness, een gespecialiseerde cybersecuritypartij en andere vormen van preventie en voorbereiding loont, zo blijkt. “Het lijkt zo’n gedoe, maar het valt in het niet bij het gedoe als je wordt aangevallen.”
Mens is kwetsbare schakel
Peter en Gerke waren zo dapper om hun verhaal in het openbaar te doen. Maar van de meeste ransomware-aanvallen zal het grote publiek nooit iets afweten. Door angst voor reputatieschade worden veel aanvallen achter gesloten deuren afgehandeld. Mede daarom is het belang van de mensfactor in de preventie van ransomware-aanvallen onderbelicht. Als KnowBe4 hopen we het bewustzijn te vergroten dat mensen de meest kwetsbare schakel zijn in de beveiliging van organisaties en dat mensen gelukkig heel goed te leren valt hoe ze met de risico’s van social engineering moeten omgaan. Iedereen maakt vergissingen, maar door op de juiste manier te trainen hoeven die vergissingen bedrijven niet fataal te worden.
Dit artikel is eerder verschenen in ons Security Magazine editie Zomer 2022. Geïnteresseerd in het magazine? Vraag hem hier aan!
Webinar: Creëer je eigen menselijke firewall
Wist je dat als je alle omzet van cybercrime optelt, dit gelijk staat aan de zesde wereldeconomie? Zorg dus dat je dit webinar over awareness volgt! Jouw collega's en medewerkers trainen en wapenen tegen dit soort praktijken is extreem belangrijk geworden. Het risico dat je organisatie geraakt wordt, moet verlaagd worden!
Meld je daarom nu aan voor dit praktische en interessante webinar op 8 november en zie hoe gemakkelijk het is om jouw collega's en medewerkers te trainen, zodat zij een menselijke firewall en dus de laatste verdediging van je organisatie worden.
