Zelfs ’s werelds beste beveiligingstechnologieën zijn niet voldoende om organisaties te beschermen tegen cybercriminelen. Want criminelen hebben geleerd zich te richten op mensen, omdat hun handelingen veel gemakkelijker te beïnvloeden zijn. Dit fenomeen heet social engineering en is erop gericht het slachtoffer te beïnvloeden en dingen te laten doen die niet in zijn belang is.
Social engineering is nog steeds een van de belangrijkste tools van cybercriminelen. Beveiligingstechnologieën, zoals firewalls en antivirus software, vormen een goede basis voor de beveiliging van uw organisatie. Maar in werkelijkheid spelen de houding, het bewustzijn en de acties van mensen een doorslaggevende rol wanneer de cyberbeveiliging van jouw organisatie op de proef wordt gesteld. Dat gekoppeld aan een alomvattende cyberbeveiligingscultuur.
Als mensen weten hoe cybercriminelen te werk gaan, zal er meer alertheid zijn en daardoor meer oog voor de eigen informatiebeveiliging alsmede de versterking van de organisatie.
De Europese maand van de cyberveiligheid heeft in oktober zijn tiende verjaardag gevierd. Dit jaar lag de focus op zowel bedrijven als particulieren bewuster te maken van cyberdreigingen en hen te helpen veiliger te werken. Cybersecurity-maand is daarom een uitstekend startschot om mensen te herinneren aan het fenomeen social engineering, omdat dit vaak leidt tot een beveiligingslek.
> LEES OOK: Cybersecurity voorspellingen voor 2023: Meer aanvallen, hacktivisme en deepfakes
Criminelen maken gebruik van onze menselijke zwakheden
Eind september was er media-aandacht voor hoe een tiener, die zich voordeed als IT-ondersteuner, kon inbreken in de systemen van Uber. Nadat hij het wachtwoord en de twee-factor authenticatie codes van een werknemer had gestolen. Deze persoon plaatste vervolgens informatie over het beveiligingslek op het interne communicatiekanaal van het bedrijf en plaatste ook een afbeelding van adult entertainment op het intranet.
We zijn van nature geneigd tot vleierij, willen we graag helpen en nemen overhaaste beslissingen waar criminelen van profiteren
Hoe hebben ze dit voor elkaar gekregen? Social engineering
Oplichters gebruiken tal van methodes op afstand, zoals e-mails, sms-berichten en telefoontjes, maar ze manipuleren ons ook tijdens ontmoetingen in de echte wereld. Iemand kan bijvoorbeeld proberen zonder toestemming het terrein van een bedrijf binnen te sluipen door je door een deur te volgen. Een oplichter kan zich ook voordoen als een ambtenaar, dat wil zeggen dat hij probeert een gezagspositie in zijn voordeel te gebruiken.
Andere methoden van manipulatie zijn bedreigingen en chantage. In het bedrijfsleven bestaat het risico dat belangrijke informatie, eigendom of geld verloren gaat. De oplichter kan ook dreigen gevoelig materiaal te verspreiden – maar het is belangrijk te bedenken dat de afperser dergelijk materiaal vaak niet in zijn bezit heeft.
Social engineering: sluipweg bedrijfsgeheimen
Naar schatting gaat het bij 70-90 procent van de beveiligingslekken om social engineering, waardoor het voor bedrijven een grotere bedreiging vormt dan traditionele malware. Als gevolg van oplichting kan een werknemer onbedoeld zijn gebruikersnaam en wachtwoord bekendmaken aan criminelen. Hierdoor krijgen de criminelen ongeoorloofde toegang tot de systemen van het bedrijf, waaruit zij waardevolle bedrijfsgeheimen of andere informatie kunnen stelen. Informatie die zij kunnen gebruiken om het bedrijf te chanteren of aan andere criminelen te verkopen. Dit kan ernstige gevolgen hebben voor de onderneming. Zoals aanzienlijke financiële verliezen, het verlies van klanten of zelfs het verlies van reputatie en geloofwaardigheid.
Opleiding in gegevensbeveiliging
Hoe bewuster de werknemers van een bedrijf zijn, hoe sterker de informatiebeveiliging van het bedrijf zal zijn. Dus hoe kan goede gegevensbeveiliging bij iedereen worden doorgevoerd?
De beste aanpak is om het bewustzijn in de gehele organisatie te vergroten met behulp van een doelgericht awareness programma voor cyberbeveiliging. Dit vereist echter de bereidheid van het management om zich in te zetten voor de continue ontwikkeling van de informatiebeveiligingscultuur van het bedrijf.
Gamification maakt leren leuk
Terwijl cybercriminelen voortdurend nieuwe tools aan hun toolbox toevoegen, is cybersecurity awareness training en communicatie meer dan eens per jaar nodig. Het beste is een programma te ontwikkelen dat iedereen helpt na te denken over zijn gedrag en veilige werkwijzen te ontwikkelen om zowel zichzelf als de organisatie te beschermen.
Wat is de beste manier om te leren? Hoewel dit een serieus onderwerp is, kan leren leuk zijn.
Content kan in de vorm van herkenbare verhalen en video’s, inclusief versies in spelvorm – enkele goede voorbeelden zijn phishing simulaties en verschillende soorten oefeningen en workshops.
> LEES OOK: Gamification: speeltuin voor cybersecurity
Cybersecurity bewustzijn is het hele jaar door een belangrijk thema, aangezien de houding en acties van mensen een grote impact hebben op informatiebeveiliging.
Veel cybersecurity dienstverleners, waaronder Nixu, bieden een breed scala aan cybersecurity tips en andere gratis content, voor zowel organisaties als particulieren.
Marieke van Leeuwen, Market Unit Lead Benelux, Nixu Corporation