Bij datalekken denken we meestal aan cybercriminelen, die zoals in het geval van de Equifax-hack een omvangrijke database met privacygevoelige gegevens binnendringen. Het zijn echter de eigen medewerkers die voor veruit de meeste datalekken zorgen.

Dit blijkt ook uit cijfers van de Autoriteit Persoonsgegevens over de datalekmeldingen die bij de privacywaakhond binnenkomen. In het tweede kwartaal van dit jaar was 45 procent van de gemelde datalekken het gevolg van het versturen van persoonsgegevens naar de verkeerde ontvanger. Verlies of diefstal van gegevensdragers en het per ongeluk publiceren van persoonsgegevens waren andere belangrijke oorzaken. Slechts 6 procent was het gevolg van hacking, malware of phishing.

Social engineering

Maar ook het succes van een malware- of phishingaanval is vaak afhankelijk van de interactie met de gebruiker. In het geval van bijvoorbeeld phishing zijn het de 'eigen mensen' zelf die in de social-engineeringtrucs van hackers trappen. Dat zien we op meerdere lagen, zoals:

1. Eindgebruikers

Mensen blijven op foute linkjes klikken en kwaadaardige bestanden openen. Of ze zijn net iets te babbelig op social media of via de telefoon, waardoor ze onbewust veel waardevolle informatie prijsgeven.

2. Management

De 'managementlaag' en de ondersteunende diensten zoals het secretariaat en de administratie zijn vatbaar voor een fenomeen als CEO-fraude. Het is bijvoorbeeld verleidelijk om in te gaan op een verzoek van zogenaamd 'de baas' om even een geldbedrag over te maken naar een bepaald rekeningnummer.

3. Beheerlaag

Zeker als zogenaamd een 'externe collega' belt, zijn beheerders al snel geneigd om te veel informatie te delen over bijvoorbeeld de eigen IT-omgeving of de aangesloten klanten. Als een aanvaller vervolgens vraagt naar de verbeteringen die gewenst zijn in de infrastructuur, dan is de kans aanwezig dat hij of zij een hele lijst met verbeterpunten krijgt overhandigd.

Security-awareness hoog op de agenda

Menselijke fouten zoals het klikken op verdachte linkjes of loslippigheid kunnen organisaties vanaf 25 mei 2018 nog duurder komen te staan. Als een lek van persoonsgegevens bijvoorbeeld het gevolg is van een ondermaatse security of een gebrekkig beveiligingsbewustzijn, kan de AP onder de AVG forse boetes opleggen. Die kunnen bij ernstige tekortkomingen zelfs oplopen tot maximaal 20 miljoen euro. Of 4 procent van de wereldwijde jaaromzet, mocht dat bedrag hoger uitvallen.

Organisaties is er dus alles aan gelegen om security-awareness hoog op de agenda te zetten. Het stimuleren van het beveiligingsbewustzijn is echter niet eenvoudig. Het komt meestal neer op het veranderen van 'aangeleerd gedrag'. Waar moet een security-awarenessprogramma aan voldoen om te komen tot die gewenste gedragsverandering? Deze 5 belangrijke aandachtspunten dragen bij aan een effectief security-awarenessprogramma:

1. Zorg voor commitment van het management

Informatiebeveiliging is een verantwoordelijkheid van iedereen. Maar als er voor een security-awarenessprogramma geen commitment is van bovenaf, dan wordt het lastig om het onderwerp van onderaf op de agenda te krijgen. Dan komt er geen gestroomlijnde aanpak voor het stimuleren van het beveiligingsbewustzijn.

2. Maak het persoonlijk

Als je een sessie belegt voor de financiële administratie, dan heeft het niet zoveel zin om diep uit te wijden over malware en inbraakpogingen. Zorg dat de boodschap past binnen de context waarbinnen de doelgroep werkt, bijvoorbeeld door in te gaan op het fenomeen van spookfacturen. En maak het concreet met cases die tot de verbeelding van de doelgroep spreken.

3. Maak het levendig

Niemand wil een uur lang naar een lap tekst luisteren. Een half uur is eigenlijk al te lang. Mensen zijn visueel ingesteld. Zorg er daarom ook voor dat de gebruikte media de boodschap ondersteunen. En maak het interactief, zodat de deelnemers ook met feedback komen die je kunt gebruiken om het programma verder aan te scherpen.

4. Combineer verschillende technieken

Alleen een presentatie geven of filmpjes tonen is niet genoeg. Ook het uitnodigen van een ethical hacker is op zichzelf niet voldoende. Combineer verschillende technieken en kijk daarbij ook naar nieuwe middelen. Zo is virtual reality dusdanig goed geworden dat het uitstekend inzetbaar is om een gedragsverandering te realiseren.

5. Herhaal, herhaal, herhaal

Het veranderen van gedrag vergt een lange adem. De inzet van security-awarenessprogramma's houdt dan ook nooit op. Een vreemde taal leer je ook niet in twee weken. En hoelang heeft de campagne voor het veilig houden van je pincode niet geduurd voordat de boodschap echt landde?

Meten is weten

Voor grote organisaties kan het opzetten van een dergelijk programma logistiek een grote uitdaging zijn. Of het security-awarenessprogramma vervolgens daadwerkelijk effect heeft, is een kwestie van meten. Bijvoorbeeld door een externe partij periodiek een beveiligingsonderzoek uit te laten voeren.

Paul Derksen is ethical hacker en senior securityconsultant bij Motiv.