Achtergrondartikel


Motiv stelt security-awareness centraal

‘Zie stimuleren bewustzijn als heropvoeden’

Security-awareness is ‘hot’. Het onderwerp komt tijdens Infosecurity.nl 2017 ook uitgebreid terug op de stand van Motiv. Waarom? “Omdat het onze ambitie is om Nederland veiliger te maken”, zegt Vincent Kalkhoven, directeur Business Innovation & Development bij Motiv. “Daar hoort ook het verbeteren van het risicobewustzijn bij.”

Tijdens het gesprek met Vincent Kalkhoven (links op de foto) en Bastiaan Bakker, bij Motiv directeur Business Development, zal het regelmatig gaan over ‘de burgers van Nederland’. “Want stel je je eens voor dat we hier in Nederland een incident krijgen vergelijkbaar met de Equifax-hack in de Verenigde Staten”, zo werpt Bakker op.

Door een datalek bij dit kredietbureau kwamen de burgerservicenummers en creditcardgegevens van 143 miljoen Amerikanen op straat te liggen. Grote kans dat dit ‘het grootste datalek van 2017’ wordt. Bakker: “Als iets vergelijkbaars in Nederland gebeurt, is de schade niet te overzien. Het zou alle burgers van Nederland raken. En de gehackte partij kan onder de AVG ook nog een boete tegemoet zien voor het onvoldoende beschermen van privacygevoelige gegevens. Zeker nu de Autoriteit Persoonsgegevens in 2018 extra budget krijgt voor het houden van toezicht.”

Impact neemt toe
Het datalek bij Equifax illustreert volgens Bakker en Kalkhoven dat de ernst en de gevolgschade van cybercriminaliteit toenemen. Dit is onder andere het gevolg van de digitale transformatie waardoor steeds meer data online staan. “En de crimineel heeft maar één zwakke plek nodig om bij die data te komen”, aldus Bakker. “In het geval van Equifax was een ontbrekende patch in een Apache-omgeving voldoende om binnen te komen.”

“Bestuurlijk Nederland moet zich van deze toenemende risico’s heel goed bewust van zijn. Dat is ook een vorm van security awareness”, vervolgt Kalkhoven. “Cyberdreigingen komen in een steeds hoger tempo op organisaties af en hebben een steeds grotere impact, maar als directie ben je wel hoofdelijk aansprakelijk voor de continuïteit van de bedrijfsvoering.”

De toenemende dreiging en impact van cybercriminaliteit is volgens Bakker echter nog maar een deel van het verhaal. “De meeste datalekken wordt nog altijd veroorzaakt door fouten, begaan door mensen die met de beste bedoelingen naar het werk komen.” Zo was in het tweede kwartaal van dit jaar 45 procent van de datalekken het gevolg van het versturen van persoonsgegevens naar de verkeerde ontvanger. Verlies of diefstal van gegevensdragers was een andere belangrijke oorzaak. “Om dergelijke fouten te voorkomen, is het essentieel om mensen continu te blijven wijzen op de risico’s.”

Technische maatregelen
Het bevorderen van het beveiligingsbewustzijn is in de visie van de Motiv-directeuren echter slechts een deel van de oplossing. Kalkhoven: “De metavraag is: hoe maken we Nederland veiliger, en hoe maak je de bedrijfsvoering veiliger? Daar zijn technische maatregelen voor nodig, én een verbetering van het risicobewustzijn zodat je weloverwogen keuzes maakt bij alle handelingen die je uitvoert.”

“Een eerste stap is het inzetten van ‘datalekfilters’”, zo zet Bakker de technische maatregelen uiteen. Die filters zijn er vooral op gericht om te voorkomen dat medewerkers met goede bedoelingen fouten maken. “Als iemand een e-mail met meerdere creditcardnummers doorstuurt of via Dropbox een patiëntendossier uitwisselt, dan kunnen wij dat ‘gerobotiseerd’ zien. Het datalekfilter geeft dan een waarschuwing af: weet u zeker dat u dit wilt doen? Op die manier train je de mensen die geen kwaad in het zin hebben.”

Gedragsanalyse is volgens Bakker een manier om de ‘rotte appels’ eruit te filteren. “Een rotte appel kan iemand zijn die besmet is met malware, of een medewerker met kwade bedoelingen. Als we bij een persoon verdacht gedrag signaleren, dan verhogen we zijn of haar ‘risicogetal’. Als het risicogetal boven een bepaalde waarde uitkomt, kijken onze SOC-analisten wat er aan de hand is. Ik voorspel dat deze vorm van gedragsanalyse de komende jaren een standaard maatregel wordt.”

Bewustzijn is nodig
“De technische maatregelen helpen je om inzicht te krijgen in bewust en onbewust risicovol gedrag”, concludeert Kalkhoven. “Dat inzicht leidt tot bewustwording en een gevoel van urgentie en kan resulteren in het bijstellen van technische maatregelen, of in het aanpassen van werkwijzen en processen of het aanpassen van systemen. Bijvoorbeeld door het terugdringen van de complexiteit in processen en techniek wordt de kans op fouten kleiner.”

“Maar technische maatregelen kunnen alleen effectief zijn als het individu de moeite neemt om te begrijpen waarom bijvoorbeeld dataclassificatie belangrijk is”, benadrukt Kalkhoven. “Die ene knop waarmee je alles in gang zet is handig, maar mensen moeten zich er bewust van zijn dat er risico’s zijn verbonden aan het indrukken van die knop. Dat bewustzijn is nodig om Nederland een stukje veiliger te maken.”

Heropvoeden
De vraag is volgens Kalkhoven hoe je ervoor zorgt dat een individu in gaat zien dat aan iedere handeling en aan iedere keuze die wordt gemaakt risico’s zijn verbonden. “Voor het creëren van die security awareness zijn de huidige maatregelen die we inzetten nog onvoldoende effectief. Nog te vaak wordt een security-awarenessprogramma opgezet vanuit compliance-overwegingen zodat het vinkje kan worden gezet, maar een postercampagne die aandacht vraagt voor dataclassificatie leidt niet tot een gedragsverandering op de langere termijn. Eigenlijk zou het stimuleren van het beveiligingsbewustzijn iets moeten zijn wat meer op heropvoeden lijkt.”

Voor dat ‘heropvoeden’ zijn nieuwe middelen nodig. “Wij lopen graag voorop en denken in nieuwe oplossingen”, aldus Bakker. Een voorbeeld van zo’n nieuwe oplossing is Motiv’s ‘VR Experience’ waarbij de security-awareness wordt gestimuleerd met behulp van virtual reality. “Via een VR-bril ervaar je wat echt de gevolgen zijn van een datalek. Door die ervaring in te brengen in een breder security-awarenessprogramma neemt de leerfactor enorm toe. Dat komt onder andere door het ‘fun’-element. Zelf beleven via VR is een stuk leuker dan wat klikken op het intranet.”

“En misschien hebben we over enkele jaren allemaal wel een app op onze telefoon waarop we precies kunnen zien hoe veilig we die dag zijn geweest”, zo werpt Kalkhoven een blik in de toekomst. “Dat je bijvoorbeeld ziet dat je die dag niet zo veilig bent geweest omdat je je Facebook-account hebt gebruikt voor het bestellen van tickets voor een concert van Justin Bieber. Hoe mooi zou dat zijn? Als die app je meerdere keren wijst op dezelfde ‘fout’, dan pas je je gedrag automatisch aan.”

Continu proces
“Het is wel belangrijk dat er continu aandacht blijft voor security awareness, anders zie je dat mensen toch weer terugvallen in oud gedrag”, waarschuwt Kalkhoven. “Mensen kiezen de weg van de minste weerstand en zijn best wel vergeetachtig. Zelfs als ze iets geleerd hebben en het best wel weten, zie je dat na verloop van tijd oude gewoontes toch weer terugkomen. De focus gaat er dan vanaf.”

“Hanteer ook voor een security-awarenesstraject de plan-do-check-act-cyclus”, adviseert Bakker. “Dwing jezelf om op gezette tijden terug te kijken om te controleren of het allemaal nog goed gaat, en kijk wat je in de toekomst beter kunt doen. Dat heb je nodig om een stijgende lijn in het beveiligingsbewustzijn vast te houden. Doe je dat niet, dan neemt de kans toe dat mensen weer minder veilig gaan werken. En dat is niet in het belang van een veiliger Nederland.”

Tekst: Ferry Waterkamp
Fotografie: Ruud Jonkers Fotografie

Kijk hier voor meer informatie over Security Awareness.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht