Cybersecurityonderwijs is te vergelijken met het afleggen van een examen. Eerst leer je iets, en als je je kennis lange tijd niet gebruikt, vergeet je het. Dat zou het effect kunnen zijn van cybersecurityopleidingen voor werknemers, die één- of tweemaal per jaar plaatsvinden en daarna worden voortgezet met incidentele presentaties die niemand begrijpt.
Of het niveau van cybersecurity van jouw bedrijf nu lager of hoger is, cyberaanvallen worden steeds geraffineerder. Maar als je erin slaagt de waakzaamheid van je werknemers te verhogen, kunnen personeelsleden één van de meest doeltreffende beveiligingsmaatregelen worden.
Benieuwd hoe je nieuwe vormen van personeelstraining kunt bedenken? Lees ons interview met ESETs Chief Information Security Officer Daniel Chromek.
Het lijkt duidelijk dat het noodzakelijk is om het bewustzijn van werknemers over cyberdreigingen te vergroten. Toch zijn veel werknemers nog niet in staat om cyberaanvallen te detecteren. Wat weerhoudt bedrijven ervan om deze situatie op te lossen?
Bedrijven onderschatten over het algemeen de opleiding cybersecurity of houden deze op hetzelfde niveau, terwijl cyberaanvallen in de loop der tijd verbeteren, evolueren en veranderen. We kunnen niet langer vertrouwen op belangrijke kenmerken van frauduleuze e-mails, zoals slechte grammatica of logische fouten, om aanvallen te herkennen. Zowel de inhoud als de visuele vorm van deze aanvallen worden steeds geavanceerder. We zijn niet ver verwijderd van het punt waarop veel mensen phishing niet meer van gewone e-mails zullen kunnen onderscheiden. Ook bestaat het risico dat het vaker tot voice-phishing (vishing) komt. Ook al is het simuleren van een telefoontje van een bepaald nummer moeilijk in real time uit te voeren, het is niet moeilijk om de stem van de CEO van YouTube te plukken en vervolgens de vish vooraf voor te bereiden om mensen ervan te overtuigen geld over te maken.
Hoe zit het met deepfakes of gezichtsherkenningssystemen? Zullen die ook van invloed zijn op de vorm van toekomstige aanvallen?
Jazeker. Er bestaan al deepfakes die moeilijk van de werkelijkheid te onderscheiden zijn, vooral in video. Maar deepfakes zijn veel moeilijker uit te voeren wanneer ze worden gebruikt in een real-time interactie, zoals in een simulatie van een videogesprek. In het algemeen is het gemakkelijker om iemand aan te vallen met een phishing e-mail die tekst en statische beelden bevat, dan met een aanval die directe interactie met het slachtoffer vereist. Niettemin kan de PR-impact van deepfake verspreiding via een sociaal netwerk vandaag de dag een belangrijke gebeurtenis zijn.
Wat zijn de struikelblokken om werknemers te leren deze aanvallen te herkennen?
Toen ik een paar jaar geleden als IT-consultant werkte, merkte ik dat bedrijven cybersecurity vaak zien als een kwestie die automatisch onder de verantwoordelijkheid van de IT-afdeling valt. Maar IT'ers zijn niet altijd in staat om met trainingen te komen die mensen begrijpen en waarin ze geïnteresseerd zijn. Het is gewoon niet zo eenvoudig als het lijkt. Het vereist kennis van beveiliging - over zaken als phishing, wachtwoordkeuze, encryptie - maar ook effectieve kennis van volwassenenonderwijs.
Denk je dat IT'ers zouden moeten samenwerken met psychologen, bijvoorbeeld?
Zeker. Of met iemand die een opleiding heeft in volwasseneneducatie of gewoon weet hoe je iemand bepaalde feiten echt kunt laten onthouden en iets in zijn gedrag kunt laten veranderen. Tegenwoordig is het mogelijk om te betalen voor diverse trainingen op maat. Grotere bedrijven lossen dit vaak op door samen te werken met zowel IT- als HR-afdelingen. De sleutel is om iemand te vinden die informatie op een duidelijke en interessante manier aan werknemers kan overbrengen. Daarom zien we tegenwoordig steeds vaker de gamification-aanpak.
Denk je dat de meerderheid van de kleine en middelgrote ondernemingen al een vorm van opleiding voor werknemers heeft?
Ja. De meesten van hen gebruiken op zijn minst enige basistraining op het gebied van cybersecurity - bijvoorbeeld trainingen die op online platforms beschikbaar zijn. Maar naar mijn mening moet je meer doen als je een cyberbewuste cultuur in het bedrijf wilt opbouwen. Als je werknemers één keer per jaar traint, is het resultaat hetzelfde als bij andere soorten training - na "het examen" zijn de ‘studenten’ snel vergeten wat ze hebben geleerd - en dan zijn ze weer terug bij af.
Hoe vaak moet de opleiding plaatsvinden?
Zo vaak mogelijk. Naar mijn mening is het zinvoller om de informatie die je wilt overbrengen op te splitsen in kleinere stukjes die de werknemers kunnen opnemen. Gebruik bijvoorbeeld video's van 10 minuten waarin slechts één belangrijk onderwerp wordt belicht, of waarin de vier belangrijkste veranderingen als gevolg van het nieuwe beleid worden samengevat. Vervolgens kun je dergelijke vereenvoudigde voorbeelden regelmatig verspreiden om werknemers eraan te herinneren dat het belangrijk is om beveiligingskwesties in de gaten te houden. En als er in het bedrijf een poging tot een aanval wordt gedaan, kun je daarmee aan de slag en de werknemers uitleggen hoe zo'n aanval in zijn werk gaat.
Stel dat ik een bedrijf wil opbouwen dat vanaf nul bestand is tegen cyberaanvallen. Wat moet elke werknemer weten?
Ten eerste moet iedereen weten wat het bedrijf van de werknemers wil. Hoe moeten ze de ter beschikking gestelde technologie gebruiken, en welke eventuele sancties staan hen te wachten in geval van verlies of schade? Deze vragen moeten worden beantwoord voordat er iets gebeurt, idealiter bij het begin van het dienstverband. Dan zijn er nog een paar gestandaardiseerde onderwerpen die betrekking hebben op basisbeveiligingsmaatregelen: hoe stel je een sterk wachtwoord in; hoe gebruik je tweefactorauthenticatie - en natuurlijk: hoe herken je phishing en frauduleuze websites op basis van karakteristieke kenmerken en de inhoud van berichten. Werknemers moeten ook weten aan wie ze verdachte activiteiten moeten melden, hoe ze software of clouddiensten moeten gebruiken, wat ze moeten doen als ze verdachte personen op kantoor zien, en hoe ze beveiligingstechnologie, zoals een wachtwoordmanager, kunnen gebruiken.
Daarnaast moet het bedrijf werknemers uitleggen dat als ze een mobiel apparaat van het bedrijf of een tablet krijgen, ze voorzichtig moeten zijn met wat ze erop downloaden en installeren. Er zijn veel frauduleuze mobiele applicaties, dus het is belangrijk om werknemers te laten zien waar ze moeten kijken om een applicatie te verifiëren voordat ze deze installeren. Iets soortgelijks geldt voor het installeren van verschillende programma's op een computer tijdens het werken op afstand. En natuurlijk moet de werknemer ook weten met wie hij contact moet opnemen als er iets gebeurt. Eind vorig jaar merkten we bijvoorbeeld dat er nepoproepen van Microsoft waren - dat was een goede gelegenheid om onze werknemers te informeren over waar ze op moesten letten en waarom dit überhaupt gebeurde.
Waarom zou een bedrijfsleiding mensen niet bang moeten maken voor de mogelijke persoonlijke gevolgen van cyberaanvallen?
Omdat het enige wat ze dan onthouden is dat wat ze ook doen, het fout zal gaan en zal eindigen met ontslag of gevangenisstraf. Het gevaar daarvan is een defaitistische mentaliteit waarbij werknemers het bij voorbaat opgeven en denken dat het geen zin heeft voorzichtig te zijn, omdat ze het toch wel zullen verprutsen. Daarom is het beter om positief te communiceren en te wijzen op veel voorkomende bedreigingen en te laten zien hoe je die kunt vermijden - niet alleen op het werk, maar ook thuis.
Je stuurt vaak quizzen naar jouw collega's. Is gamification een goede manier om dit alles aan werknemers uit te leggen?
Als het verstandig wordt gebruikt, zeker. Als je besluit om bijvoorbeeld een phishing-simulatie in een bedrijf uit te proberen, moet je er wel goed over nadenken. Het doel is niet om zoveel mogelijk mensen te pakken te krijgen, maar om ze juist de kans te geven phishing te herkennen, en om te "winnen" door de aanvaller te verslaan. Als mensen weten dat ze de juiste stap hebben gezet en een aanval hebben kunnen melden, sterkt dat hen.
Een ander leuk voorbeeld van gamification in cybersecurityopleidingen zou een interactief stripverhaal met video’s zijn, waarin de hoofdpersoon verschillende missies uitvoert en punten verdient naarmate hij de doelen bereikt - succesvolle spelers zouden aan het eind een kleine beloning krijgen.
Is dit hoe een cyberbewuste cultuur wordt gecreëerd?
We hebben het gehad over alle kleine stappen en dingen die helpen bij het opbouwen ervan. Iedereen in het bedrijf moet op de hoogte zijn van belangrijke veiligheidskwesties - van werknemers tot het management op C-niveau. Het doel is om je gehele team in staat te stellen de veiligheid van de organisatie te ondersteunen en daarmee het bedrijf zelf. En als iedereen dat begrijpt en merkt wat er om hen heen gebeurt, zullen ze de veerkracht van het hele bedrijf ondersteunen.