Bescherming tegen cybercrime – stap 2
In de vorige blog keken wij naar het hang- en sluitwerk. Dat wil zeggen: een aantal technische basismaatregelen om jouw organisatie te beschermen tegen cybercrime. In dit vervolg kijken wij naar de menselijke kant van de verdediging. Want dat is waar vaak de meeste problemen ontstaan.
Voor cybercriminelen is e-mail de digitale hoofdingang van jouw bedrijf. Jouw medewerkers zien dagelijks talloze mailtjes binnenkomen. Vaak vragen die om een snelle reactie. Maar tegelijk worden jouw mensen afgeleid: door collega’s die even langs komen lopen, door ruziënde kinderen of gewoon door andere beslommeringen.
Ze zijn dus niet op hun qui-vive. En dat is gevaarlijk! Want dat maakt ze extra kwetsbaar voor misleiding door phishing-mailtjes.
Phishing en meer
Geen wonder dus dat cybercriminelen vooral langs deze weg binnenkomen. Ze sturen een bericht dat afkomstig lijkt van bijvoorbeeld een leverancier of een bank. In het bericht staat een link waar de ontvanger op moet klikken. Doet hij dat, dan komt hij op een site die al even nep is. Daar moet hij vervolgens gegevens invoeren. En met die gegevens kan de cybercrimineel vervolgens binnenkomen op jouw bedrijfsnetwerk.
Een alternatief is dat het mailtje een bijlage heeft die een virus bevat. Ook dan begint de ellende op het moment dat jouw medewerker zich laat verleiden om op het bestand te klikken.
Deze vormen van misleiding met e-mail noemen we phishing. Ook phishing-aanvallen worden steeds geavanceerder. Vroeger kon je deze mailtjes meteen herkennen aan de taal- en spelfouten. Maar tegenwoordig is ook de misdaad geprofessionaliseerd. Alleen als je heel goed kijkt naar het afzender-adres, en heel kritisch leest, zie je mogelijk dat er iets niet klopt.
E-mail wordt ook gebruikt voor andere vormen van oplichting. Dan is het bericht zogenaamd afkomstig van de CEO of het hoofdkantoor: of er maar snel geld kan worden overgemaakt naar een ‘leverancier’.
De menselijke factor
Een deel van de phishingmailtjes zal door een gewoon spamfilter al worden afgevangen. Er bestaat speciale software die daar nog wat slimmer in is. Maar de criminelen houden daar ook rekening mee. Net als gewone marketeers stemmen ze hun berichten steeds beter af op de ontvangers. Zo worden hun mailtjes steeds ‘echter’.
Dus uiteindelijk hangt alles af van de menselijke factor. Zijn jouw medewerkers klaar om de cyberoplichters te betrappen?
Maatwerk in trainingen
Alles begint met kennis. Jouw mensen moeten weten hoe je phishing herkent. Wat ze met zo’n mailtje moeten doen – en vooral, wat niet. En wat de beste uitweg is als ze toch hebben doorgeklikt naar die verdachte website. Je kan jouw mensen daarin helpen met een gedegen trainingsprogramma. De opzet daarvan zal niet voor elk bedrijf en elke functie hetzelfde moeten zijn. De aard van de risico’s verschilt immers. Maatwerk is dus wenselijk.
Zo zijn er trainingen die bestaan uit Netfix-achtige series met een uitgekiende opbouw, zodat het bewustzijn van jouw mensen steeds verder wordt versterkt. Interactief werken staat centraal, zodat ze leren van hun fouten.
De trainingen kunnen ook in de vorm van games worden gegoten. Want onderzoek leert dat wij in spelsituaties niet alleen met meer plezier, maar ook sneller en makkelijker leren.
Tot slot kun je ook een simulatie van een cyberincident inzetten. Tijdens een crisissimulatie ervaren mensen hoe een cyberaanval in zijn werk gaat. Dat zullen de deelnemers niet snel vergeten.
Herhalen
Het is niet voldoende om jouw medewerkers één keer een training te geven. Dan ebt het effect snel weer weg. Zowel de kennis als het bewustzijn moeten periodiek worden opgefrist.
Geregelde, maar afwisselende, trainingen maken jouw mensen vertrouwd met de principes van veilig werken. Ze leren phishing herkennen. Maar ook voorzichtig te zijn met het delen van informatie en het gebruik van USB-sticks, om maar een paar voorbeelden te noemen.
Meten is weten
Natuurlijk wil je weten of die trainingen effect hebben. Dat kun je meten, door dit geregeld te testen. Herkennen jouw mensen bijvoorbeeld die phishing-link die wij hen sturen? Ook andere ‘zwakke plekken’ in de menselijke verdediging kunnen met assessments worden opgespoord. Bijvoorbeeld door een ‘mystery guest’ in te zetten.
De volgende stap
Nu weet je wat jouw medewerkers kunnen doen om de organisatie te beschermen – of juist in gevaar te brengen. En wat jij kunt doen om hen te helpen in hun beschermingstaak.
In de volgende blog kijken wij naar de organisatie van de verdediging: hoe je het netwerk zo inricht dat cybercriminelen overal voor een dichte deur komen te staan.
