In het vorige artikel benoemde ik een aantal van de meest voorkomende phishing mails en waaraan je ze kunt herkennen. In dit blog ga ik dieper in op het trainen van Security Awareness, oftewel beveiligingsbewustzijn. Aan de hand van een aantal situaties toon ik hoe je informatieveiligheid bewuster kunt toepassen in het dagelijks leven, zodat je cybercrime kunt tegenhouden. Met alleen technische maatregelen zoals firewalls en virusscanners kom je er namelijk niet. Ook kun je niet alle verantwoordelijkheid afschuiven op de afdeling ICT. Jezelf hebt hierin ook een groot aandeel.
Security Awareness in de trein
Een doordeweekse dag in de trein. Je loopt door meerdere treincoupés en ziet mensen die alleen aandacht hebben voor hun device. Na een tijdje vind je eindelijk een zitplaats en plof je neer op de bank. Je wilt naar buiten kijken, dit lukt echter maar half. Je blik wordt automatisch toch even naar het beeldscherm van het mobieltje van je buurman getrokken die hierop enthousiast aan het typen is. Hij kijkt even verstoord naar je op om daarna weer driftig door te gaan met zijn typevaardigheden. Je vraagt je af of dat hij wel in de gaten heeft dat jij zijn WhatsApp gesprek letterlijk kunt volgen, als je dit zou willen. Bij het eerstvolgende treinstation stapt je buurman uit en neem jij zijn plaats in, zodat je ongestoord uit het raam kunt kijken.
Plotseling gaat er een dame naast je zitten. Ze zet haar headset op, logt in op haar laptop en neemt even later deel aan een vergadering in Microsoft Teams. Ze kijkt je nog even aan, fluistert: “Ik moet deze bijwonen” en gaat weer verder met haar meeting. Jij denkt, realiseert zij zich niet dat ik haar inloggegevens heb gezien? Jij keek namelijk net haar kant op toen zij inlogde op haar zakelijke Microsoft 365 account. Even later is het jouw beurt om uit te stappen. Je wilt je buurvrouw nog waarschuwen dat je haar accountgegevens hebt gezien. Dit, om haar bewust te maken dat ze beter op haar omgeving moet letten als ze inlogt. Ze zit echter nog steeds in haar Teams vergadering. Je haalt je schouders op en stapt uit. De dame in kwestie boft dat jij geen kwade bedoelingen hebt en doet er verstandig aan om in het vervolg de two factor authentication (2FA) in te schakelen.
Bewustzijn omtrent fysieke toegang tot het bedrijfspand
Je komt aan op je werk waar je jezelf binnenlaat met je toegangspas. Na een poosje loop je naar beneden om een kopje koffie te halen en te kijken of er nog post is. Als je terugloopt, zie je dat een medepandgebruiker iemand toegang verleent tot het gebouw. Je hoort hem nog zeggen: “U weet waar u moet zijn, mevrouw?” “Ja hoor”, antwoord de voor jou onbekende vrouw: “Ik ben hier vaker geweest en heb een afspraak”, waarna ze parmantig wegloopt. Hmm, denk je. Is dit nu wel verstandig om te doen? Je weet niet wat zij van plan is. Misschien heeft zij wel kwaad in de zin. Hij had haar beter kunnen laten zitten totdat ze werd opgehaald of de deur voor haar via de intercom werd geopend.
Dit herinnert je aan een voorval dat een aantal jaren geleden plaatsvond bij een voormalig bedrijf. Om toegang tot het pand te krijgen, moest je je melden bij de portier. Op een middag zag je dat de portier het razend druk had. In eerste instantie besteedde je er weinig aandacht aan en je vervolgde jouw weg. Vanuit je ooghoeken zag je echter iets wat voor jouw gevoel niet helemaal klopte en je liep dan ook terug. Aangekomen bij de portier, zag je een man voorovergebogen staan om iets van het computerscherm te lezen. Jij riep: “Meneer, wat bent u aan het doen?” De man keek op, verschoot van kleur, stamelde: “Niets hoor” en ging toen snel naar buiten. Jij vond het hele gebeuren verdacht en meldde het nog aan de portier. Deze had echter van de hele situatie niets meegekregen. Hmm, peins je terugdenkend aan deze gebeurtenis. De portier had zijn Security Awareness weleens mogen trainen.
USB-stick gevonden – wat nu?
Je vindt een USB-stick, bijvoorbeeld op straat, bij de receptie van het bedrijf waar je werkt of op kantoor. De neiging is groot om deze dan in je computer of laptop te steken om te kijken óf en wát er op staat. Dit is de nieuwsgierige aard van de mens waarvan cybercriminelen gretig gebruik maken. Er kan namelijk malware op je toestel worden geïnstalleerd zodra je de stick hierop aansluit. Je opent bijvoorbeeld een office-bestand. Een andere mogelijkheid is dat er een bepaald softwareprogramma op de geheugenstaaf staat. Dit programma leest alle toetsenbordaanslagen af en stuurt deze dan door, zodat internetmisdadigers toegang hebben tot jouw device. Je bent dan slachtoffer van baiting. Dit is praktisch hetzelfde als phishing. Alleen in het geval van baiting maken hackers gebruik van fysieke items, zoals het staafje. Denk dus na wat je met een gevonden USB-stick doet!
Wat kun je nog meer doen om Security Awareness te trainen?
Menselijke nalatigheid en/of onwetendheid veroorzaken veel cyberaanvallen. Jij en je (eventuele) collega’s / medewerkers spelen dan ook een belangrijke rol in de informatiebeveiliging van het bedrijf. Bovengenoemde voorbeelden hebben je hiervan misschien al een eerste indruk gegeven. Op welke manieren kun je het beveiligingsbewustzijn echter nog meer vergroten? Leg binnen het bedrijf een duidelijk beleid rondom gegevensbescherming vast en stel je medewerkers hiervan op de hoogte. Laat ze ook frequent deelnemen aan een Security Awareness test of training. Op het internet vind je diverse bedrijven die deze trainingen aanbieden.
Andere manieren om te checken of dat medewerkers zich wel voldoende realiseren welke online gevaren er allemaal op de loer liggen, zijn:
- De Security Awareness games. Deze maken je op een speelse, interactieve en competitieve manier bewuster van de hedendaagse risico’s van het internet.
- De phishing test. Hierbij peilt een externe partij in hoeverre (jouw) medewerkers een phishing mail herkennen.
- Een ICT- beveiligingsonderzoek. Deze kan uit diverse varianten bestaan, zoals de fysieke penetratietest (pentest), security scan, ethische hack enzovoorts.