Bewustzijnstraining cyberbeveiliging leidt tot grotere betrokkenheid van werknemers

In een paper van Osterman Research, Assessing Organizational Readiness to Deal with Increased Employee Cyber Awareness , wordt de doeltreffendheid onderzocht van bewustmakingstraining op het gebied van cyberbeveiliging en de manier waarop e-mail als potentieel verdacht wordt beoordeeld, zowel door werknemers als door IT-beveiligingsmedewerkers. Driehonderd cyberbeveiligers in de Verenigde Staten en het Verenigd Koninkrijk bij organisaties met ten minste 1500 werknemers werden ondervraagd.

De centrale conclusie van het onderzoek: e-mailbeveiliging is belangrijker dan ooit, gezien de langdurige positie van e-mail als de belangrijkste bedreigingsvector. Toch hebben maar weinig organisaties veel vertrouwen in zowel de beschikbare tools als het bewustzijn en vermogen van de medewerkers om schadelijke e-mailberichten effectief te beoordelen en te melden. Organisaties die gebruikmaken van een geautomatiseerd e-mailincidentresponssysteem in combinatie met training in het bewustzijn van hun medewerkers van cyberbeveiliging, blijken beter in staat kwaadaardige e-mailaanvallen te identificeren en te voorkomen, met als bijkomend voordeel dat de administratieve belasting voor IT- en beveiligingspersoneel wordt verminderd.

Laten we eens kijken naar enkele van de belangrijkste bevindingen:

1. E-mail blijft de belangrijkste bedreigingsvector.

In Mimecast's State of Email Security 2021 zag 58 procent van de ondervraagde bedrijven een toename van phishing-aanvallen. En 60 procent werd getroffen door een aanval die door een geïnfecteerde werknemer werd verspreid onder andere werknemers. Bovendien, volgens de FBI , zijn zakelijke e-mailcompromisaanvallen in volume afgenomen, maar wel duurder geworden met hogere totale kosten.

1. Werknemersbetrokkenheid - Wanneer het geen goed ding is

Het vergroten van het cyberbewustzijn van werknemers om verdachte e-mail te melden is een belangrijke eerste beschermingslaag tegen e-mailbedreigingen. De keerzijde is echter dat meer dan de helft van de IT- en beveiligingsmedewerkers die in de whitepaper van Osterman zijn ondervraagd, van mening zijn dat het melden van verdachte e-mails door medewerkers eerder afleiding dan hulp biedt. Dat komt omdat het voor menselijke analisten tijd kost om de door werknemers gemelde e-mails te sorteren, waarvan 90 procent meestal onschuldig blijkt te zijn.

De overgrote meerderheid (87%) van degenen die meldingen van werknemers over verdachte e-mails als een afleiding beschouwden, vertrouwde op menselijke analisten of menselijke tussenkomst om deze meldingen te onderzoeken, in tegenstelling tot automatiseringshulpmiddelen om potentiële bedreigingen te analyseren, te triageren en te prioriteren. Slechts 1% van de respondenten die de beoordeling van door werknemers gemelde e-mails hebben uitbesteed , beschouwt deze taak als een last of een afleiding van belangrijke verantwoordelijkheden.

1. Betrokkenheid van werknemers - Wanneer het een goed ding is

De meeste beveiligingsorganisaties proberen de gebruikers op twee manieren bewuster te maken van kwaadaardige e-mails:

• Waarschuwingsbanners voor ongevraagde e-mails van buiten de organisatie en andere potentieel verdachte inhoud.
• Meer dan de helft van de ondervraagde organisaties (56%) geeft maandelijks cyberbewustzijnstraining. De rest doet dit op kwartaalbasis of minder, terwijl slechts 15 procent één keer per jaar of minder traint.

Bijzonder opmerkelijk is de 16 procent van de respondenten die dagelijks training volgden. Dit kon gaan van een e-mail over een bepaald aspect van cyberbeveiliging tot een waarschuwingsposter in de lift of een display om werknemers eraan te herinneren geen USB-sticks onbeheerd op hun bureau achter te laten.

De bewustmakingstraining op het gebied van cyberbeveiliging is effectief gebleken: Tachtig procent van de respondenten meldde een directe correlatie tussen de training en een toename van het aantal door gebruikers gerapporteerde e-mails. Bij organisaties die dagelijks, wekelijks of maandelijks cyberbewustzijnstraining aanbieden, was de toename het grootst: driekwart (74%) gaf aan dat de toename tussen de drie en tien keer of vaker was.

1. Rapportage gemakkelijk maken voor werknemers

De meeste organisaties maken het werknemers gemakkelijk om berichten te melden, hetzij met een knop in de e-mailclient om op te klikken (34%), hetzij met een link in een e-mailbericht om op te klikken (23%) om wantrouwen te melden. Dit laatste wordt verkozen boven het doorsturen van een bericht naar een mailbox voor misbruik, wat op zijn minst de extra stap vereist van het lokaliseren en invoeren of selecteren van een e-mailadres. Bovendien vereist het doorsturen van een bericht naar een mailbox voor misbruik gewoonlijk een menselijke analist om het verdachte bericht te bekijken en te corrigeren. Ook in dit geval vormt het vertrouwen op menselijke analisten om meldingen van mogelijk schadelijke e-mailberichten te beoordelen een belasting voor het IT-beveiligingspersoneel.

1. Nauwkeurigheid melden verdachte e-mail varieert

Bij de meeste organisaties blijkt bijna de helft van de door werknemers gemelde verdachte e-mailberichten onschuldig te zijn, wat het probleem versterkt dat IT-beveiligingsmedewerkers te veel worden belast bij het vaststellen van e-mailbedreigingen. Bovendien zijn er maar weinig organisaties die speciale e-mailanalisten in dienst hebben met voldoende professionele training en tools voor het identificeren van bedreigingen en het beperken van e-mailbedreigingen, waardoor het des te moeilijker wordt om potentiële kwaadaardige aanvallen adequaat te identificeren.

Slechts 11 procent van de ondervraagde organisaties gebruikt software om e-mailberichten die als verdacht zijn gemeld automatisch te triëren en uit mailboxen te verwijderen. Bijna een derde van de organisaties vertrouwt volledig op menselijke analisten; in het kielzog van goed gedocumenteerde tekorten aan cyberbeveiligingsvaardigheden kan hun tijd vrijwel zeker beter elders worden besteed.

Drie vijfde van de organisaties gebruikt een combinatie van automatisering en menselijke controle. Zonder menselijke tussenkomst om een definitieve beslissing te nemen, kan het herstellen van een verdachte e-mail resulteren in valse positieven. Weinig beveiligingsteams kunnen het zich veroorloven tijd te verspillen aan een toenemend aantal valse positieven, en zelfs met technologische oplossingen om het probleem van aanhoudende valse positieven aan te pakken, kost het tijd om deze uit te rollen en accuraat te houden.

Voor goedaardige e-mailberichten is 70% van de organisaties in staat elke e-mail te analyseren en het incident in minder dan 10 minuten af te sluiten. Voor kwaadaardige e-mailberichten duurt dit langer, tot wel 60 minuten per bericht.

1. De meeste organisaties analyseren niet alle gerapporteerde e-mail

Slechts ongeveer een kwart van de ondervraagde organisaties analyseert alle als verdacht gemelde e-mails. Het leek ook geen verschil te maken of de organisatie hoofdzakelijk vertrouwde op menselijke analisten of op een zekere mate van automatisering. Organisaties die alleen op menselijke analyse vertrouwen, kunnen echter meer geneigd zijn kwaadaardige e-mail door te laten glippen; automatisering is beter in staat om met behulp van gelijksoortigheidsanalyse variaties uit te sluiten.

Bijzonder interessant is dat organisaties die alle gemelde e-mails hebben gecontroleerd, bijna drie keer zoveel meldingen ontvangen. Ook dit verhoogt de werkdruk voor IT- en beveiligingspersoneel. Tegelijkertijd hebben deze acties wel enige waarde: als medewerkers geen feedback krijgen op al hun meldingen en daardoor het gevoel hebben dat hun acties worden genegeerd of onderbenut, dalen de meldingsniveaus, waardoor de kans groter wordt dat kwaadaardige e-mails in IT-omgevingen terechtkomen.

De kern van de zaak

Effectieve training van medewerkers op het gebied van cyberbeveiligingsbewustzijn helpt bij de verdediging tegen schadelijke e-mails; te veel vertrouwen op de rapportage door medewerkers en menselijke analyse kost echter tijd en aandacht van de medewerkers. Geautomatiseerde e-mailanalyse verlaagt de verblijftijd en vermindert de belasting van IT- en beveiligingspersoneel, waardoor sneller op incidenten kan worden gereageerd en de algehele e-mailbeveiliging wordt verbeterd.