Met het toenemende aantal cyberaanvallen en organisaties dat slachtoffer wordt van een cyberaanval is het niet de vraag of, maar wanneer. Zeker wanneer organisaties hun IT-security niet aanscherpen. Security awareness, ofwel bewustwording op de werkvloer, speelt een cruciale rol in het verbeteren van de (online) beveiliging van een organisatie. In dit artikel lees je meer over de verschillende niveaus van awareness en hoe je deze toepast in de praktijk.
Introductie – De reis naar een goed beveiligde organisatie
Steeds vaker wordt er in het nieuws bericht over grote organisaties en bedrijven die slachtoffer zijn geworden van een cyberaanval. Zo zag de Autoriteit Persoonsgegevens (AP) in 2021 een explosieve toename in het aantal meldingen van datalekken en is het aantal ransomware-aanvallen de afgelopen jaren met 33% gestegen volgens het jaarverslag van het Openbaar Ministerie. Dat is een verdubbeling met het jaar ervoor. Toch loopt werkend Nederland achter wat betreft cyberveiligheid. Zo liet het rapport “Cybersecurity awareness in the European Union” zien dat veel werknemers zich niet bewust zijn van de risico’s van cyberaanvallen en dat slechts een klein deel van de werknemers getraind is in cybersecurity.
In dit artikel leggen wij in drie stappen uit hoe je medewerkers beter kan beschermen zodat zij bijdragen aan de beveiliging van jouw organisatie. Ieder niveau heeft zijn eigen stappen, tips & tricks, maar sommige niveaus zullen hier en daar overlappen.
Een cyberaanval: wat is het precies?
Bij een cyberaanval spreken we over het vernietigen, wijzigen of toegang krijgen tot (persoons)gegevens van een organisatie. De organisatie heeft hier echter zelf geen weet van, of toestemming voor gegeven. Voorbeelden hiervan zijn:
- Je USB-stick wordt gestolen met daarop gegevens van klanten;
- Een hacker breekt binnen in je computernetwerk en steelt (persoonlijke) gegevens;
- Ransomware.
Hackers die inbreken in het netwerk van een organisatie en gevoelige data weten te bemachtigen komen vaker voor dan verwacht. Volgens onderzoek van Cisco blijkt dat maar wel liefst 60% van de slachtoffers van een cyberaanval binnen drie jaar failliet gaat. Bijna alle organisaties zijn afhankelijk van hun digitale gegevens. Als deze gegevens uitlekken of beschadig zijn heeft dit een enorme impact. Vaak zien we een langdurige invloed op de bedrijfsvoering door een cyberaanval. Dat kan resulteren in direct operationeel verlies, schadeclaims door het niet kunnen nakomen van verplichtingen of ernstige reputatieschade. Ook komen er flinke herstelkosten en investeringen kijken bij een cyberaanval zodat de zwakke plekken in de beveiliging gedicht kunnen worden. De combinatie van deze zaken, zorgen ervoor dat het voortbestaan van de organisatie in gevaar komt. Het is dus niet de cyberaanval die tot faillissem*nt leidt, het zijn de weg en de kosten naar herstel voor deze organisaties die hen de das om doen. Op het gebied van cybersecurity is voorkomen dus altijd beter dan genezen.
Welke vormen van cybercriminaliteit komen het meest voor bij organisaties en wat is de schade?
Doordat een groot deel van werkend Nederland de afgelopen jaren vanuit huis heeft gewerkt, hebben veel zakelijke gesprekken en werkzaamheden online plaatsgevonden. Dit heeft de deur geopend voor het lekken van gevoelige data of erger, cybercriminaliteit. Wellicht ben je al bekend met de meest voorkomende vormen van cybercriminaliteit, misschien niet. Hieronder een overzicht.
Malware
Malware is een overkoepelende term voor vervelende software zoals virussen, spyware en Trojaanse paarden. Malware komt meestal op een computer of netwerk terecht wanneer werknemers op een link of document klikken waarin deze software zit verstopt. Doordat het werkverkeer van veel organisaties de afgelopen jaren vanuit huis heeft plaatsgevonden, zien we een toename in malware-aanvallen.
Ransomware
Ransomware is een vervelende vorm van malware. Deze zorgt ervoor dat mensen binnen de organisatie niet meer bij belangrijke documenten of processen kunnen die essentieel zijn voor de organisatie om te blijven draaien. Vaak wordt er een flinke som losgeld gevraagd aan de organisatie om weer toegang te krijgen.
Phishing
Phishing is waarschijnlijk een van de meest voorkomende vormen van cybersecurity anno 2023. Zowel privé als zakelijk zien we dat steeds meer mensen slachtoffer worden van het psychologische spelletje dat hackers spelen tijdens een phishingaanval. Vaak doen zij zich voor als een bekende, leverancier of bedrijf en vragen dan om belangrijke details van bijvoorbeeld werknemers. Ook de toename van phishingaanvallen is toegenomen sinds we thuiswerken.
Wachtwoordhacks
Wachtwoordhacks zijn net iets anders van aard. Deze aanvallen gebruiken namelijk slimme programma’s die zwakke wachtwoorden kunnen raden. Een andere methode om toegang te krijgen tot wachtwoorden van werknemers is keylogging. Hier worden veelvoorkomende toetsaanslagen op een computer ‘onthouden’ zonder dat daar toestemming voor is gegeven. Werknemers die vaak hetzelfde wachtwoord gebruiken om toegang tot meerdere platforms te krijgen, lopen daarom een groot risico om gehackt te worden.
De gevolgen van een cyberaanval
Dat de gevolgen van een cyberaanval voor grote impact zorgen kan niet ontkend worden. Vooral wanneer zo’n cyberaanval leidt tot identiteitsdiefstal, het verlies van omzet of reputatieschade. Nog een paar andere zaken die van invloed zijn op de impact van een cyberaanval:
- Hoe snel kan je herstellen: Als de organisatie de procedures op orde heeft en snel kan herstellen van een aanval, verlaagt dit de impact significant. Een tijdelijke (korte) verstoring is vaak goed te managen.
- Bijzondere kenmerken van de organisatie: Ter illustratie, de risico’s bij een of andere cyberaanval van een ziekenhuis zullen groter zijn dan bij een datalek met een mailinglijst van een lokale krant.
- Duur van de aanval: Soms is een hacker al dagen of weken binnengedrongen. Als dit niet wordt gedetecteerd, kan de schade heel gericht aangebracht worden en zelfs de herstelmogelijkheden worden aangetast.
Hoe maak ik mijn medewerkers bewust van de risico’s
Cyber-risico’s zijn er in verschillende vormen en maten. Allemaal vereisen ze een andere aanpak. Door medewerkers actief te betrekken bij de beveiliging van het bedrijf kan een groot deel van deze cyberrisico’s voorkomen worden. Maar welke niveaus van cyber-awareness zijn er precies en waar moet je per niveau op letten?
Security Awareness Maturity Model (SAMM)
Het Security Awareness Maturity Model (SAMM) is een model voor het meten en verbeteren van het veiligheidsbewustzijn van medewerkers binnen organisaties. Het model is ontwikkeld door de Software Assurance Forum for Excellence in Code (SAFECode) en biedt organisaties een raamwerk voor het opzetten, onderhouden en verbeteren van hun security awareness-programma’s.
SAMM bestaat uit vijf niveaus, elk met een eigen set van criteria en doelstellingen:
- Onbewust: In dit niveau is er geen security awareness-programma of het programma is onvolwassen en ongestructureerd.
- Reactief: In dit niveau is er een basis security awareness-programma aanwezig dat zich richt op het reageren op specifieke incidenten of gebeurtenissen.
- Proactief: In dit niveau is er een formeler en meer gestructureerd security awareness-programma aanwezig dat gericht is op proactief risicobeheer en het voorkomen van incidenten.
- Geoptimaliseerd: In dit niveau is het security awareness-programma volledig geïntegreerd in de bedrijfsprocessen en -cultuur en is er een continue verbetercyclus.
- Toonaangevend: In dit niveau is de organisatie een leider in security awareness, met een innovatief en geavanceerd programma dat verder gaat dan de best practices en zich richt op de nieuwste bedreigingen en technologieën.
