De afgelopen jaren zijn er veel positieve dingen gebeurd in de wereld van cyberbeveiliging. Met name in organisaties in alle sectoren en delen van de wereld is het besef doorgedrongen dat het probleem van cyberbeveiliging niet langer gebagatelliseerd kan worden.
Desondanks is het aantal serieuze schendingen dat ieder jaar wordt gemeld niet afgenomen. Sterker nog, het tegendeel is waar.
Waarom? Op die vraag kan ik tientallen antwoorden geven.
Ik zou het kunnen hebben over de constante ontwikkeling van malware en andere aanvalsfactoren. Ik zou de moeilijkheden kunnen bespreken waarmee wethandhavingsinstanties te maken hebben bij pogingen om bekende criminele bendes die in verschillende landen actief zijn op te rollen.
Ik zou kunnen uitleggen waarom u nooit voorbereid kunt zijn op de allernieuwste “zero-day”-bedreigingen, hoe solide en robuust het netwerkbeveiliging ook is.
In werkelijkheid wordt het feitelijke probleem daarmee niet adequaat verklaard.
Waarom de gebruikelijke opvattingen schadelijk zijn voor een organisatie
Voordat we verder gaan is het belangrijk om één ding goed in gedachten houden: vrijwel alle cyber-aanvallen worden ingegeven door geldzucht en winstbejag. Met andere woorden: als het financieel lucratief is om uw organisatie aan te vallen, dan kunt u er donder op zeggen dat iemand dat zal doen.
Het gezonde verstand zegt dat de beste manier om de organisatie tegen deze aanvallen te beschermen de introductie van een aantal technische maatregelen is die bedoeld zijn om toegang door onbevoegden te voorkomen, kwaadaardige activiteit te blokkeren en indringers en aanvallers te identificeren.
Er is echter een probleem.
Als je goed kijkt naar alle gemelde schendingen in de afgelopen tien jaar, dan zie je iets opmerkelijks. Er werd bij vrijwel iedere aanval gebruik gemaakt van phishing of een andere vorm van “social engineering”.
Waarom? Omdat het over het geheel genomen gemakkelijker is om mensen voor de gek te houden dan machines.
Als een aanvaller iemand kan misleiden zodat uw netwerk aangetast wordt, dan maakt het niet uit hoe goed de technische maatregelen zijn. Zodra een aanvaller eenmaal met legitieme aanmeldingsgegevens uw netwerk binnen is gekomen, dan is voor hem het moeilijkste deel van de klus al geklaard.
Nu denk je misschien dat er heel veel technische maatregelen zijn die het effect van een kwaadaardige e-mail kunnen verzachten. En dat is ook zo, maar hoe goed de spamfilters en contentscanners ook zijn, ze zullen nooit verhinderen dat alle kwaadaardige e-mails onderschept worden voordat ze in de postvakken van de gebruikers belanden.
De enige oplossing is dan een simpele waarheid te onderkennen - technologie is niet voldoende.
Het einde van training in “bewustzijn”
Wat ik nu ga zeggen is een gok; volgens mij was de laatste keer dat je een training over bewustzijn omtrent beveiliging hebt bijgewoond nutteloos.
Laten we eerlijk zijn, het algemene niveau van training in bewustzijn omtrent beveiliging in de verschillende sectoren is belabberd.
Maar zie je, het probleem is niet zozeer het niveau van de training, het hele concept deugt niet. De verbetering van bewustzijn van de gebruikers van een organisatie betreffende beveiliging lijkt een verstandige doelstelling, maar daarmee wordt systematisch nagelaten het werkelijke risico van cyberbedreigingen te beperken.
Je moet het zo zien:
We weten allemaal dat we meer groenten moeten eten en niet meer telkens naar McDonald’s moeten gaan. Maar hoe vaak maken we nu dankzij deze kennis de juiste voedingskeuzen?
Aan de epidemie van zwaarlijvigheid te zien kennelijk niet zo vaak.
Als we een aanmerkelijke vermindering van cyber-risico’s willen zien als gevolg van onze beveiligingstraining, dan moeten we het over een heel andere boeg gooien: Niet bewustzijn omtrent beveiliging maar gedrag met betrekking tot beveiliging.
En aangezien phishing de belangrijkste bedreiging is voor organisaties over de hele wereld, is er één gedragspatroon met betrekking tot beveiliging dat er uitspringt.
Gedrag ten aanzien van e-mail veranderen
Simpel gesteld zijn phishing-e-mails maar voor één ding bedoeld: argeloze gebruikers om de tuin leiden zodat ze iets doen wat op de ene een of andere manier voordeel oplevert voor de aanvaller.
Voor de bestrijding van phishing moeten we de manier waarop gebruikers gebruik maken van hun postvak veranderen.
Hierboven zie je een voorbeeld van een phishing-tactiek die BEC (business email compromise, aantasting van zakelijke e-mail) wordt genoemd, ook wel bekend onder de naam CEO-scam (“directeurvermomming”).
Je moet ervan uit gaan dat de gemiddelde zakelijke gebruiker tientallen e-mails per dag ontvangt. Daarom zullen de meeste mensen proberen hun ongelezen e-mails zo efficiënt mogelijk te verwerken en aannemen dat iedere e-mail in hun IN-vak bonafide is. Iedere individuele gebruiker heeft zijn eigen set onbewuste processen voor het beheren van zijn IN-vak en die zijn in de loop der tijd, door tienduizenden herhaalde handelingen ingesleten als gewoonte waarvan men zich niet bewust is.
Natuurlijk is het niet mogelijk om de gebruikers zover te krijgen dat ze deze gedragspatronen veranderen met behulp van de gebruikelijke jaarlijkse training over het bewustzijn omtrent beveiliging. In plaats daarvan moet je de training een onderdeel laten zijn van de standaard werkdag van de gebruikers.
Operatie: Phish
Hoe moet je dan te werk gaan om een kentering in het e-mailgedrag van gebruikers tot stand te brengen? Heel eenvoudig: Ontwikkel je eigen realistische simulaties van phishing en stuur deze e-mails regelmatig naar de gebruikers.
Inderdaad, ik raad jullie aan jullie eigen gebruikers aan te vallen met phishing.
Voordat je echter de IN-vakken van de gebruikers gaat overspoelen met ingewikkelde phishing-e-mailvallen, moet je rekening houden met een aantal belangrijke zaken. Om te beginnen is dit niet iets waar je zich hals over kop in kunt storten en meteen resultaten kunnen verwachten.
Als je echt langdurige verbeteringen wilt zien in het gedrag van de gebruikers ten aanzien van e-mail en beveiliging, moet je je houden aan een aantal kernprincipes.
1) De medewerking en goedkeuring van de directie is geen "prettige bijkomstigheid"
Dramatische veranderingen in het gedrag van medewerkers ten aanzien van beveiliging worden niet van de ene dag op de andere bereikt. Integendeel, hiervoor is niet-aflatende inzet op lange termijn nodig. Natuurlijk kan je aanzienlijke verbeteringen verwachten in de eerste maanden, maar die vervliegen snel als je niet consequent blijft.
Hoe blijf je consequent? Zorg dat je steun van bovenaf krijgt en specifiek in de vorm van overeengekomen lange-termijnfinanciering. Hiervoor moet je een krachtige business case te ontwikkelen, en het rendement op de investeringen van het programma nauwkeurig bij te houden en het topmanagement regelmatig van duidelijke prestatierapporten te voorzien.
2) Succes moet gemakkelijk zijn
Als je denkt dat het doel alleen maar is om gebruikers ertoe te brengen verdachte e-mails te verwijderen, dan heb je iets wezenlijks over het hoofd gezien. Waar het werkelijk om gaat is dat de gebruikers verdachte e-mails rapporteren als ze deze tegenkomen, zodat je vergelijkbare e-mails kunt herkennen en afzonderen en je de technische beveiligingsmaatregelen kunt aanscherpen om vergelijkbare e-mails later te onderscheppen en een verzameling kunt opbouwen van praktijkmateriaal dat van pas kan komen bij de productie van toekomstige phishing-simulaties.
Het punt is dat je daarvoor het rapportageproces zo eenvoudig mogelijk moet maken. Daarvoor is het verstandig om een eenvoudige knop “Phishing-e-mail melden” toe te voegen aan de e-mailsoftware van de gebruikers.
3) Training op het moment van argeloosheid
Bij de start van het programma zal je merken dat de gebruikers snel leren en beter presteren. Tegelijkertijd zullen ze in het begin vaak in de simulaties tuinen.
Maar dat is niet zo erg. Telkens wanneer de gebruikers de simulaties herkennen als phishing, leren ze niets nieuws; ze laten alleen zien wat ze nu al weten en kunnen doen.
Telkens wanneer een van de gebruikers de phishing-simulatie niet doorziet, moet die medewerker onmiddellijk naar een relevante, webpagina over multimediatraining worden geleid, waar deze meer te weten komt over het type phishing-e-mail waarmee hij of zij zojuist is beetgenomen, zodat de medewerker deze voortaan als zodanig herkent.
Deze lessen blijven pas echt hangen als gebruikers binnen een week of zo na dit incident opnieuw worden getest. Als bepaalde gebruikers in beide gevallen de mist ingaan, kan het de moeite waard zijn om ze persoonlijk te begeleiden.
Volharding: De belangrijkste factor voor succes
Zoals je ongetwijfeld al had geconcludeerd is de training in bewustzijn omtrent phishing die ik zojuist heb beschreven in de verste verte niet te vergelijken met de gebruikelijke jaarlijkse trainingen over bewustzijn omtrent beveiliging. In plaats van gebruikers één keer per jaar in een bedompt klaslokaaltje bij elkaar te brengen, biedt u ze een veel hoger niveau van training: regelmatige tests met praktijkvoorbeelden en een gelegenheid voor gebruikers om actief een rol te spelen in de beveiliging van uw organisatie.
Dit proces is echter nooit af. Als je plotseling besluit het programma te staken, zal je merken dat de gebruikers binnen een paar maanden weer in hun oude, verderfelijke patronen zijn vervallen.
En er is nog iets anders. Hoe goed de gebruikers ook worden in het herkennen van phishing e-mails, er worden altijd fouten gemaakt. Mensen zijn geen machines, en hoewel ze zeker een score van 98 of 99% kunnen behalen, kan je er nooit van uitgaan dat 100% van die phishing e-mails correct wordt geïdentificeerd en gemeld.
Natuurlijk zou ik er niet over piekeren om te suggereren dat het programma de plaats zou kunnen innemen van hoogwaardige technische beveiligingsmaatregelen en een professioneel, goed getraind incidentresponsteam.
Het is nooit bedoeld als een geval van “of/of”. Integendeel, als je werkelijk gedreven bent om de organisatie te beschermen tegen de bedreigingen van phishing, dan moet je goed getraind personeel combineren met een krachtige, goede beveiligingsvoorziening.
Opmerking: Dit artikel is geschreven door een daartoe uitgenodigde gastschrijver teneinde onze lezers een grotere variatie qua inhoud te bieden. De meningen in dit artikel zijn uitsluitend die van de gastauteur en zijn niet noodzakelijkerwijs een afspiegeling van het standpunt van GlobalSign.