Lang leve cyberveilig gedrag. Langzaam bewegen we van awareness naar gedrag.

Lang leve cyberveilig gedrag

Ik hoor het veel mensen al zeggen: ‘Het jaar is weer voorbijgevlogen!’ Het was een jaar waarin we met Behaav de evolutie van security awareness van dichtbij hebben mee mogen maken. Steeds meer aanbieders die al probeerden om het hele cybersecurity spectrum in hun portfolio te hebben, vonden daar zelfs nog ruimte voor security awareness. Dat is een goed teken, want dat betekent dat het onderwerp leeft. En dat er op deze marktplaats ruimte is voor boetiekshops die deze niche als hun ‘brood en boter’ beschouwen, dat belooft veel goeds.

We gaan in deze blog verder in op de methode die we gebruiken om trainingsonderwerpen te bepalen en maken een voorzichtige top 10(+1) van de voornaamste onderwerpen. Steeds vaker willen bedrijven gedragsverandering realiseren – in plaats van compliance of kennis gedreven security awareness programma’s – en dat is het allerbeste signaal in 2023 (en ook alvast voor 2024!) Lange leve cyberveilig gedrag…!

Risico en gedrag

In het afgelopen jaar hebben we tienduizenden medewerkers getraind en hopelijk bewuster gemaakt van de risico’s die onveilig werken met zich mee kunnen brengen.

Risico’s zitten opgesloten in ons gedrag. Of we nu te hard autorijden of wanneer we roekeloos omgaan met gegevens, beide gedragingen brengen risico’s met zich mee. Risico’s kunnen ook voortkomen uit kennis of een gebrek daaraan. Tot slot kan het nemen van risico’s onderdeel van de cultuur van een organisatie zijn. Ter illustratie: een beleggingskantoor zal minder risicomijdend zijn dan een accountantskantoor, uitzonderingen daargelaten.

Een korte analyse met cyberveilig gedrag als doel

Om de trainingsonderwerpen te bepalen lopen we met onze klanten een aantal stappen door, wij noemen dit de BRIGHT©-methode (Behavioural Risk Insights). Deze stappen zijn:

1. Het in kaart brengen van de kernsprocessen van de organisatie.

2. Het in kaart brengen van de belangrijkste risico’s in deze kernprocesen en de context waarbinnen de processen opereren.

3. Het in kaart brengen van het dreigingslandschap van de klant, waarbij de focus ligt op die dreigingen met een menselijk aspect.

4. Het koppelen van dreigingen die vastgestelde risico’s kunnen manifesteren (denk aan verschillende manieren die kunnen leiden tot een datalek, zoals een phishingmail, foutief geadresseerde e-mails of onveilig geschreven softwarecode).

5. Impactvolle content -en interventievormen gepaard met afgestemde communicatie per risico -en doelgroep.

Met bovenstaande creëren we niet alleen interventies per doelgroep, maar spreken we ook ‘de taal’ van de organisatie. Wij zijn van mening dat je mensen niet alleen in hun hoofd moet ‘raken’, maar juist in hun ‘buik’, want daar zit het gevoel en daar kunnen we het verschil maken.

Security thema’s gericht op cyberveilig gedrag

Uit de uitgevoerde BRIGHT©-analyses zijn de onderstaande onderwerpen het meeste naar voren gekomen. Deze lijst is niet gelimiteerd tot de volgende onderwerpen, maar hebben wel stuk voor stuk de mens als rode draad:

1. Kennis

Kennis is een belangrijke drijver achter het ontstaan van risico’s. We hebben het in dit geval niet alleen over de basiskennis AVG en informatiebeveiliging. Medewerkers zijn vaak ook onvoldoende bekend met bestaand beleid en procedures. Wat is voor zowel intern als extern een veilige manier voor het uitwisselen van data en waar sla ik bepaalde data veilig op?

2. Leiderschap

Veel managers en bestuurders zijn zich anno 2023 nog steeds onvoldoende doordrongen van het belang van goed huisvaderschap op het vlak van informatiebeveiliging en privacy. Goed voorbeeld doet goed volgen! Maak het onderdeel van de standaardwerkwijze binnen de werkprocessen.

3. Communicatie

Er wordt vaak slecht of onvoldoende gecommuniceerd. De afdeling communicatie is een van de eerste afdelingen die wij intekenen in de governance van onze security awareness -en gedragsprogramma’s. Communicatie bepaalt voor 80% het succes van elk programma. Enkele onbeantwoorde vragen van het eerste uur:

  • Hoe weet ik dat ik een passwordmanager moet gebruiken als ik daarover niet geïnformeerd ben?
  • Waarom zou ik MFA gebruiken als ik niet weet hoe?
  • Welk beleid? Ik heb geen idee waar ik dat kan vinden of ik snap totaal niet wat daarin beschreven staat.

4. Compliance

Er zijn nogal wat normenkaders en wet -en regelgeving in bedrijfsmatige context. Het niet voldoen aan deze regels brengt op meerdere fronten risico’s met zich mee. Compliant zijn wordt weleens afgedaan als schijnveiligheid en soms is het gat tussen de gedocumenteerde veiligheid en de veiligheid in de realiteit inderdaad erg groot. Hoe dan ook helpen die regels ons wel om risico’s te minimaliseren. Nog steeds zijn veel vragen aan ons compliance gedreven en dat is een uitstekend begin.

5. Incidenten en crisissen afhandelen

Dit zijn twee onderwerpen die ook bekend zijn onder de noemers ;Incident Management’ en ‘Crisis Management’. De vraag is niet alleen wat binnen jouw organisatie de definitie van een incident is, maar minimaal zo belangrijk is de vraag hoe (en bij wie) ik als eindgebruiker een verdachte situatie moet melden. Daarna is het van belang dat men zorgvuldig en respectvol met elke melding om gaat. Veel organisaties zijn onvoldoende.

6. Gedragscode

Bij veel organisaties is het antwoord op de vraag, ‘hoe dien ik om te gaan met informatie, internet en computers?’ niet geheel eenduidig. Dit kunnen organisatie perfect vastleggen in een gedragscode ofwel een code of conduct. De schrijfwijze, de communicatie en manier van aanbieden aan de medewerkers is hierin fundamenteel.

illustratie van twee medewerkers die een code of conduct opstellen.

7. Phishing in elke vorm

Hoewel we veel bedrijven zich er ogenschijnlijk niet heel druk om maken, is phishing nog steeds de meest gebruikte en meest succesvolle aanvalsvorm. De reden is vrij simpel, het is de meest goedkope en effectieve manier voor hackers om succesvol te zijn in een vroeg stadium van een cyberaanval. Quishing (Phishing via QR) is echter met stip gestegen dit jaar, een belangrijke aanvalsvector om je tegen te wapenen dus. Wil je weten welke stadia er tijdens een aanval worden doorlopen? Lees dan onze blogs over het doorbreken van de Cyber Kill Chain en cyberveilig handelen met het MITRE Attack framework.

8. Ransomware (as a Service)

Ransomware is ook zo’n hardnekkige dreiging die altijd terugkomt en sinds een aantal jaren is daar ‘Ransomware 2.0’ of ‘Ransomware as a Service’ aan toegevoegd. Voor een vast bedrag per maand kun je delen van je data terugkrijgen. De voornaamste weg om ransomware een organisatie binnen te krijgen is phishing (zie punt 7). Je kunt medewerkers leren om mogelijke ransomware te herkennen. Bijvoorbeeld door trage systemen, niet toegankelijke data en/of uitval van systemen en applicaties.

9. AI en Deepfake

AI en deepfakes zijn onlangs hard gestegen in onze analyses. Op dit moment vooral audio deepfakes. Mensen zijn zich er echt onvoldoende bewust van hoe weinig video of audiomateriaal er nodig is om een nagenoeg perfecte kloon te maken van jou. Dit verdient de aandacht in elke organisatie die enigszins afhankelijk is van IT en digitale communicatiemiddelen.

10. Software- en systeemontwikkeling

De meeste organisatie zitten nog steeds zeer functioneel in de wedstrijd waar het gaat om het ontwikkelen van software. Dit betekent dat het lang niet altijd veilig wordt ontwikkeld. Hoewel de meeste security awareness en gedragsprogramma’s hierin niet direct soelaas bieden aan ontwikkelaars dragen ze wel bij aan het bewustzijn. Wederom is regelmatige en juiste communicatie een vereiste. Echter is veilige softwareontwikkeling een skill die je moet opbouwen, dit doen we door skill-based training. Een goed uitgevoerde analyse vooraf brengt voor ons steeds vaker in kaart dat specifieke training nodig is voor specifieke doelgroepen. Voor systeemontwikkeling is dit niet anders. Het juist ‘hardenen’ van infrastructuren en werken op basis van architectuur, zijn zo maar wat uitdagingen die we tegenkomen.

11. Ongeautoriseerde toegang

Hoewel veel van bovenstaande dreigingen kunnen leiden tot ongeautoriseerde toegang, is het ook een dreiging die op zichzelf staat. Veel systemen worden nog wel eens onbewaakt achtergelaten en in veel organisaties werkt men nog steeds onnodig veel met gedeelde accounts. Dergelijke zaken verhogen de kansen op ongeautoriseerde toegang.

De bovenstaande dreigingen hebben allemaal een paar zaken gemeen. Ze hebben allemaal een menselijk aspect bij zich. En zonder enige uitzondering hebben ze allemaal verregaande impact op datgene wat wij als informatiebeveiligingsadepten willen beschermen, namelijk de integriteit, vertrouwelijkheid en beschikbaarheid van jouw organisatie ofwel het beschermen van het bestaansrecht van jouw organisatie.

Cyberveilig gedrag behouden

Sinds de oprichting van onze organisatie in 2019 gingen veel gesprekken over het overbrengen van kennis. Een goede e-learning met een video en een quiz voldeed vaak. Maar kennis is simpelweg niet gelijk aan gedrag. Die vraag evolueert naar: hoe zorgen we ervoor dat het gedrag van onze mensen veiliger wordt en blijft? Dit betekent dat de ‘awareness-vraag’ langzaam verandert in een risico gebaseerde vraag, namelijk: hoe werken we aan cyberveilig gedrag en daar zijn we dankbaar voor!

Wees voorzichtig met vuurwerk, wees lief voor elkaar en drink en eet met mate, immers zitten risico’s in het gedrag dat we vertonen.

Lang leve (cyber)veilig gedrag!

Fijne feestdagen en tot volgend jaar.

Team Behaav