Cybersecurity is helaas niet het nieuwe modewoord. Cyberaanvallen komen steeds vaker voor en worden met de dag geavanceerder. Een uitstekende IT-beveiliging is tegenwoordig zelfs niet meer voldoende om te voorkomen dat bedrijfsgevoelige informatie in de verkeerde handen valt. De grootste dreiging bevindt zich namelijk binnen je eigen organisatie: je medewerkers. Volgens IBM’s Cyber Security Intelligence Index wordt maar liefst 95 procent van alle cyberaanvallen veroorzaakt door menselijk falen.
Hoewel het idee van een groep criminele hackers die opereert vanuit een verlaten nucleaire bunker in Rusland hacking erg mysterieus en zelfs een beetje cool laat lijken (laten we eerlijk zijn), is het meestal gewoon de schuld van ‘Marketing Mark’, die een bankafschrift in zijn mailbox ontvangt en deze per ongeluk downloadt.
Onschuldige fouten, zoals deze, kunnen echter dramatische en kostbare gevolgen hebben. In augustus 2015, bijvoorbeeld, lag door een spear phishing-aanval op het Pentagon, het hoofdkwartier van het Amerikaanse ministerie van defensie, de vertrouwelijke informatie van zo’n 4.000 militairen op straat. Dit enkel en alleen omdat een medewerker op een link van een dubieuze mail had geklikt.
Maar hoe voorkom je nu dat medewerkers niet ten prooi vallen aan digitale zwendels?
Het creëren van een risico-bewuste werkplek is makkelijker gezegd dan gedaan. Natuurlijk is een training de eerste stap in het bewustmakingsproces van uw medewerkers. Maar hoeveel van deze training herinnert iemand zich nog na weken, maanden of zelfs jaren?
Om je medewerkers alert te houden, is het belangrijk dat je ze regelmatig wijst op de (nieuwe) dreigingen die er zijn, hoe je deze kan herkennen en welke acties je ertegen moet nemen. Maar hoe doe je dat precies? Door een heleboel tijdrovende opfriscursussen in te plannen – waarbij iedereen van het werk wordt gehouden? Nee.
Hier op kantoor worstelden we met hetzelfde probleem. Een training voor al onze medewerkers…check! Maar hoe blijven we ons personeel nu voortdurend informeren over nieuwe risico’s en dreigingen, zonder aan productiviteit in te boeten?
Medewerkers telkens van hun werkplek wegplukken om een nieuwe training te volgen was voor ons geen optie. Een email sturen naar een reeds overvolle inbox bleek ook niet succesvol.
We kwamen tot de conclusie dat we onze mensen moesten bereiken wanneer ze juist wél een moment tijd hadden. Daarom begonnen we met het laten zien van preventietips en waarschuwingen op alle beschikbare schermen binnen ons bedrijf. Belangrijke berichtgeving over het openen van verdachte e-mails, het doorspelen van vertrouwelijke informatie of het maken van valse betalingen, werd nu herhaaldelijk door het hele kantoor getoond.
Al wandelend naar de koffiecorner kregen medewerkers een herinnering via één van onze narrowcasting-schermen naast het koffiezetapparaat. Wanneer iemand zijn computer een tijdje niet had aangeraakt, sprong de screensaver boordevol met preventietips automatisch op. Scrollend door onze bedrijfsapp tijdens de lunch, je raadt het al, wederom een reminder!
Met deze combinatie van digitale tools, was er bijna geen ontkomen aan. Door de berichten op voorhand in te plannen, hoefden we er ons verder ook geen zorgen meer over te maken. Wanneer een nieuwe cyberdreiging de kop opstak, konden we hier direct op inspelen door een extra bericht aan te maken. Simpel.
Deze nieuwe aanpak bood ons daarnaast ook een prima oplossing in het geval dat er toch iets door de mazen van het net glipte. Het zou namelijk nogal vreemd zijn om een email te gaan rondsturen als je mailserver zojuist is gehackt, toch?
Dat onze aanpak werkte, werd ons al snel duidelijk. Die volhardende cybercriminelen proberen het nog steeds. Dagelijks ontvangen we nog tientallen phishing-e-mails. Maar het grootste verschil met een tijdje geleden? Mensen denken nu gelukkig twee keer (of zelfs drie keer) na voordat ze ergens op klikken.
Of dit het einde is? Waarschijnlijk niet. Studies wijzen uit dat cybercriminaliteit de komende jaren flink zal evolueren. Maar op het einde van de dag stap ik met een gerust hart in mijn auto in de wetenschap dat we potentiële cyberdreigingen tot een minimum hebben beperkt.
Deze blogpost is geschreven door Frits Vos, CIO bij Netpresenter.