Oktober markeert Cybersecurity Awareness Month (CSAM), een bewustmakingsinitiatief dat zowel de consumenten- als de bedrijfswereld beslaat. In een tijd waarin werknemers steeds vaker vanaf huis werken en de grenzen tussen werk en privé vervagen, nemen ook de beveiligingsrisico’s toe.
Om de huidige en toekomstige cyberdreigingen aan te pakken, is het van belang om het beveiligingsbewustzijn onder jouw werknemers te vergroten. Maar, wat moeten IT-beheerders nu en in 2024 in hun programma’s opnemen om dit te realiseren?
Het belang van trainingen
Volgens Verizon waren bij driekwart (74%) van alle wereldwijde aanvallen, vaak als gevolg van fouten, nalatigheid, phishing en social engineering, menselijke factoren/ elementen betrokken. Beveiligingstraining en bewustwordingsprogramma’s zijn essentieel om deze risico’s te verminderen.
Het gaat om het veranderen van gebruikersgedrag voor de lange termijn. Dat kan alleen als je programma's continu uitvoert, zodat je de leerpunten altijd in het achterhoofd houdt. En zorg ervoor dat niemand buiten de boot valt - dat betekent ook uitzendkrachten, aannemers en leidinggevenden op C-niveau. Iedereen kan een doelwit zijn en er is maar één fout nodig om de cybercriminelen binnen te laten. Maak de training behapbaar en voeg simulatieoefeningen toe om specifieke dreigingen te belichten. Personaliseer lessen en gebruik gamificatie om de training boeiender te maken.
3 belangrijke onderwerpen voor nu en in 2024
Nu het einde van 2023 nadert, is het tijd om na te denken over wat je volgend jaar moet opnemen in jouw programma’s. Neem de volgende onderwerpen in overweging:
1: BEC en phishing
In de hedendaagse zakelijke omgeving vormt Business Email Compromise (BEC) een alarmerende dreiging voor organisaties. Deze vorm van cyberfraude, waarbij gerichte phishing berichten worden ingezet, blijft één van de meest lucratieve categorieën van cybercriminaliteit. Uit, de in 2022 gepubliceerde FBI-rapporten, blijkt dat slachtoffers meer dan 2,7 miljard dollar verloren aan dergelijke aanvallen. BEC-fraude is gebaseerd op het principe van social engineering, waarbij de aanvaller het slachtoffer verleidt tot het goedkeuren van zakelijke overboekingen naar rekeningen onder hun controle.
Diverse benaderingen worden toegepast om dit doel te bereiken, zoals het zich voordoen als een CEO of leverancier. Deze tactieken kunnen naadloos geïntegreerd worden in oefenprogramma’s om de bewustwording omtrent phishing te vergroten. Dit bewustwordingsproces dient hand in hand te gaan met investeringen in geavanceerde e-mailbeveiliging, het versterken van betalingsprocessen en het implementeren van dubbele controlemechanismen voor betalingsverzoeken.
Phishing als aanvalsmethode bestaat al geruime tijd, maar blijft één van de voornaamste manieren om initiële toegang tot bedrijfsnetwerken te verkrijgen. Door de opkomst van thuiswerken en mobiele werknemers, die vatbaar zijn voor afleiding, hebben kwaadwillenden zelfs meer kansen om hun doel te bereiken. Het is echter cruciaal te realiseren dat de gebruikte tactieken evolueren. Daarom dienen phishing-bewustwordingsoefeningen aangepast te worden, met het oog op 2024, om ook onderwerpen als phishing via sms of messaging apps (smishing), telefoongesprekken (vishing), en nieuwe technieken zoals het omzeilen van multifactor-authenticatie (MFA) te omvatten.
Omdat specifieke social engineering-tactieken frequent veranderen, is het verstandig samen te werken met een trainingprovider die de inhoud dienovereenkomstig bijwerkt.
2: Beveiliging van werken op afstand en hybride werken
Deskundigen waarschuwen al geruime tijd dat werknemers zich eerder geneigd voelen om beveiligingsrichtlijnen en -beleid te veronachtzamen of simpelweg te vergeten wanneer ze vanuit huis werken. Een onderzoek toont aan dat maar liefst 80% van de werknemers toegeeft dat thuiswerken op vrijdagen in de zomer hen meer ontspannen maakt, maar tevens afleidt. Dit vergroot het risico op inbreuken, vooral gezien thuisnetwerken en -apparaten doorgaans minder goed beveiligd zijn dan bedrijfsnetwerken en -apparatuur. Daarom is het essentieel om trainingsprogramma’s te implementeren die advies verschaffen over zaken als beveiligingsupdates voor laptops, effectief wachtwoordbeheer, en het gebruik van enkel door het bedrijf goedgekeurde apparaten. Deze initiatieven moeten vergezeld gaan van phishing bewustwordingstrainingen.
Thuiswerken is tegenwoordig voor veel organisaties de norm, waarbij 53% van hen reeds een beleid heeft geïmplementeerd, een percentage dat naar verwachting zal stijgen. Echter, het pendelen naar kantoor of werken vanaf openbare locaties brengt specifieke risico’s met zich mee. Één van de gevaren betreft dreigingen van openbare Wi-Fi-hotspots, die mobiele werknemers kwetsbaar maken voor ‘adversary-in-the-middle’ (AitM)-aanvallen. Hierbij krijgen hackers toegang tot het netwerk en onderscheppen ze gegevens die tussen verbonden apparaten en de router worden verstuurd. Daarnaast bestaan er ‘evil-twin’-dreigingen, waarbij criminelen een nep-Wi-Fi-hotspot opzetten die zich voordoet als een legitieme hotspot op een specifieke locatie.
Naast deze meer geavanceerde dreigingen mogen de ‘low-tech’ risico’s niet over het hoofd worden gezien. Trainingssessies bieden tevens een uitstekende kans om medewerkers bewust te maken van de gevaren van “shoulder surfing”.
3: Gegevensbescherming
In 2022 hebben GDPR-boetes jaarlijks met maar liefst 168% geïntensiveerd, wat resulteerde in een totaalbedrag van meer dan €2,9 miljard aan boetes. Toezichthouders treden hard op tegen niet-naleving van deze gegevensbeschermingsregelgeving. Dit onderstreept het belang van het correct naleven van gegevensbeschermingsbeleid binnen organisaties.
Regelmatige training is een van de meest effectieve benaderingen om een correcte omgang met gegevens te waarborgen. Dit omvat het gebruik van sterke encryptie, adequaat wachtwoordbeheer, veilige opslag van apparaten en directe melding van incidenten aan de juiste contactpersoon.
Medewerkers kunnen eveneens baat hebben bij herhalingstraining in het correct gebruik van ‘blind carbon copy (BCC), een veelvoorkomende fout die kan leiden tot onbedoeld lekken van e-mailgegevens, evenals andere technische instructies. Dit dient te worden geïntegreerd in een breder beveiligingsbeleid dat wordt versterkt door krachtige controlemechanisme en tools zoals mobiel apparaat beheer. Het credo “mensen, processen en technologie” vormt de kern van het opbouwen van een bedrijfscultuur die zich kenmerkt door optimale cybersecurity.