Achtergrondartikel


Hoe stimuleer je security-awareness?

‘Niemand wil naar een lap tekst luisteren’

De mens wordt vaak genoemd als de zwakke schakel in informatiebeveiliging. “Een machine wijkt nooit van een instructie af, maar mensen doen dat uiteraard wel”, stelt Paul Derksen, senior securityconsultant bij Motiv. Toch is die zwakke schakel wel degelijk te versterken. “Door security-awarenessprogramma’s levendig, persoonlijk en direct te maken. En door herhaling. Een vreemde taal leer je ook niet in twee weken.”

Als ethical hacker komt Paul Derksen ze tijdens zijn beveiligingsonderzoeken regelmatig tegen: menselijke fouten waardoor de informatiebeveiliging van een organisatie gevaar loopt. “En het zijn echt niet alleen de eindgebruikers die fouten maken. Je ziet ze op alle lagen dwars door de organisatie heen.”

Van management tot eindgebruikers
“Het risico van social engineering is echt op iedereen van toepassing, ongeacht zijn of haar positie binnen de organisatie”, aldus Derksen. Zo ziet hij dat de ‘managementlaag’ nog altijd vatbaar is voor een fenomeen als CEO-fraude, en dan vooral de ondersteunende diensten zoals het secretariaat, de financiële administratie en hr. Het is bijvoorbeeld verleidelijk om in te gaan op een verzoek van zogenaamd ‘de baas’ om even een geldbedrag over te maken naar een bepaald rekeningnummer.

“Eindgebruikers vallen nog altijd voor social-engineeringtrucs zoals phishing”, constateert Derksen. “Mensen blijven op foute linkjes klikken en kwaadaardige bestanden openen. Of ze zijn net iets te babbelig op social media of via de telefoon, waardoor ze onbewust veel waardevolle informatie prijsgeven.”

“Dat zie je ook op de ‘beheerlaag’, waarbij beheerders te veel informatie delen over bijvoorbeeld de eigen IT-omgeving of de aangesloten klanten”, vervolgt Derksen. Dat merkt hij bijvoorbeeld tijdens de telefoongesprekken die hij als ethical hacker onder valse voorwendselen voert met beheerders, een methode die ook wel bekendstaat als ‘pretexting’.

“Als ik mezelf voordoe als een externe dienstverlener die op stel en sprong iets voor elkaar wil krijgen voor de klantorganisatie, dan is er al snel de bereidheid om te helpen en bijvoorbeeld informatie over de infrastructuur te delen”, legt de ethical hacker uit. “Als ik vervolgens vraag naar de verbeteringen die gewenst zijn in de infrastructuur, dan krijg ik een hele lijst met verbeterpunten. Dat is voor een aanvaller bijzonder waardevolle informatie, want die weet meteen waar de zwakke plekken zitten.”

Gezonde dosis bewustzijn
“Wat me opvalt na al die jaren dat ik dit werk doe, is dat het nog steeds vrij eenvoudig is om social-engineeringtrucs met succes uit te voeren”, merkt Derksen op. “We mogen onszelf wel wat vaker de vraag stellen: is dit echt wel zo? Heb ik inderdaad te maken met een medewerker van een partij waar we mee samenwerken? En wat is de impact als dat toch niet zo blijkt te zijn? Dat zijn vragen die nog te weinig worden gesteld. Het wordt tijd voor een gezonde dosis bewustzijn.”

In de praktijk merkt de senior securityconsultant van Motiv dat het beveiligingsbewustzijn bij organisaties soms piekt, maar daarna ook weer afzwakt. “Het gaat in golfbewegingen.” Echt verbazingwekkend vindt hij dit niet. “Al in onze opvoeding krijgen we mee dat het normaal is om elkaar te helpen. En dat het bijvoorbeeld heel normaal is om voor iemand de deur open te houden als die persoon twee tassen om zijn schouders heeft hangen en ondertussen op een map een bekertje koffie balanceert. Maar ook techneuten zijn al snel bereid om elkaar te helpen. Die hulpvaardigheid kan zich tegen je keren.”

Gedragsverandering is lastig
Dit ‘aangeleerde gedrag’ is moeilijk te veranderen, zo weet ook Derksen. Nog lastiger is het om binnen de gehele organisatie een gedragsverandering te bewerkstelligen, wat wel de insteek moet zijn van een security-awarenessprogramma. “Vroeger bestond zo’n programma uit presentaties en filmpjes die als verplichte nummers aanvoelden. Inmiddels is er het besef dat je mensen er actief bij moet betrekken. Dat doe je door security-awarenesstrainingen concreet, levendig en persoonlijk te maken. Anders komt de gedragsverandering die je wilt hebben nooit.”

Waar moet een security-awarenessprogramma aan voldoen om te komen tot de gewenste gedragsverandering? Derksen zet 5 belangrijke aandachtspunten op een rij:

1. Zorg voor commitment van het management
“Informatiebeveiliging is een verantwoordelijkheid van iedereen. Maar als er voor een security-awarenessprogramma geen commitment is van bovenaf, dan wordt het lastig om het onderwerp van onderaf op de agenda te krijgen. Dan komt er geen gestroomlijnde aanpak voor het stimuleren van het beveiligingsbewustzijn.”

2. Maak het persoonlijk
“Als je een sessie belegt voor de financiële administratie, dan heeft het niet zoveel zin om diep uit te wijden over malware en inbraakpogingen. Zorg dat de boodschap past binnen de context waarbinnen de doelgroep werkt, bijvoorbeeld door in te gaan op het fenomeen van spookfacturen. En maak het concreet door cases te bespreken die tot de verbeelding van de doelgroep spreken.”

3. Maak het levendig
“Niemand wil een uur lang naar een lap tekst luisteren. Een half uur is eigenlijk al te lang. Mensen zijn visueel ingesteld. Zorg er daarom ook voor dat de gebruikte media de boodschap ondersteunen. En maak het interactief zodat de deelnemers ook met feedback komen die je kunt gebruiken om het programma verder aan te scherpen.”

4. Combineer verschillende technieken
“Alleen een presentatie geven of filmpjes tonen is niet genoeg. Ook het uitnodigen van een ethical hacker is op zichzelf niet voldoende. Combineer verschillende technieken en kijk daarbij ook naar nieuwe middelen. Zo is virtual reality dusdanig goed geworden dat het uitstekend inzetbaar is om een gedragsverandering te realiseren.”

5. Herhaal, herhaal, herhaal
“Het veranderen van gedrag vergt een lange adem. De inzet van security-awarenessprogramma’s houdt dan ook nooit op. Een vreemde taal leer je ook niet in twee weken. En hoelang heeft de campagne voor het veilig houden van je pincode niet geduurd voordat de boodschap echt landde?”

Meten is weten
Voor grote organisaties kan het opzetten van een dergelijk programma logistiek een grote uitdaging zijn. Of het security-awarenessprogramma vervolgens daadwerkelijk effect heeft, is volgens Derksen een kwestie van meten. Bijvoorbeeld door een partij als Motiv periodiek een beveiligingsonderzoek uit te laten voeren.

“Als je dat op repeterende basis doet, is de verbetering van het beveiligingsbewustzijn goed te visualiseren”, besluit Derksen. “Maar ook een daling in bijvoorbeeld het aantal phishingincidenten is een goede indicatie dat het programma aanslaat. Dit inzicht is ook nodig om verbeteringen door te kunnen voeren.”

Tekst: Ferry Waterkamp
Fotografie: Ruud Jonkers

Dit artikel is eerder verschenen in Motivator Magazine, najaar 2017.

Lees meer over