Nieuwe manieren van werken, nieuwe manieren om aangevallen te worden

Hoewel thuiswerkregelingen al voor COVID-19 bestonden, deels als gevolg van de groeiende afhankelijkheid van contractwerkers en andere tijdelijke arbeidskrachten, zal de uitbreiding van tele- en hybride werkmodellen na de pandemie waarschijnlijk doorgaan. Gezien de onzekerheid waarmee organisaties worden geconfronteerd over het tijdstip waarop zij werknemers weer veilig op kantoor kunnen aanmoedigen, in combinatie met de aarzeling van sommige werknemers om überhaupt weer naar kantoor te gaan, althans niet fulltime, zijn de nieuwe manieren van werken op afstand niet meer weg te denken.

Wat ook blijft, is de kans die cybercriminelen in deze nieuwe manier van werken krijgen, niet alleen om de technologie die iedereen virtueel met elkaar verbindt uit te buiten, maar ook om te blijven profiteren van wat centraal staat bij het gebruik van welke technologie dan ook - de menselijke factor.

Dat is een van de belangrijkste bevindingen in een nieuw rapport van Economist Impact , gesponsord door Mimecast, Signals and Noise: The New Normal in Cybersecurity . De voordelen van grotere organisatorische efficiëntie en de flexibiliteit van nieuwe werkmodellen worden getemperd door een groter aanvalsoppervlak. De kwetsbaarheid van mensen is altijd het belangrijkste doelwit geweest; de toegenomen kwetsbaarheid van werken op afstand, zowel vanuit technisch als vanuit psychologisch oogpunt, maakt dat doelwit des te uitnodigender.

Organisaties moeten dan ook beseffen dat het bedreigingslandschap voortdurend in beweging is. Hoewel technologieën als kunstmatige intelligentie (AI) en cloud computing een betere verdediging bieden tegen cyberaanvallen, blijft een van de beste verdedigingen in de handen van de eindgebruikers liggen.

En wat in de handen van de gebruikers ligt, is in vele gevallen niet alleen de laptop van het bedrijf.

Het gevaar van de proliferatie van apparaten

Het nieuwe werkmodel betekent dat meer apparaten verbonden zijn met bedrijfsnetwerken. Niet alleen de laptop of BYOD mobiele telefoon en misschien ook een tablet, maar ook niet-werk apparaten. Een gameconsole misschien, want wat kan het kwaad, en natuurlijk de echtgenoot of huisgenoot en eventuele kinderen of gasten die allemaal gebruik maken van dezelfde wi-fi als de werknemer, ook al zijn ze niet verbonden met het bedrijfs-VPN.

Dit alles wordt nog verergerd door de afleiding thuis, vooral voor mensen die gewend zijn vanuit kantoor te werken. Het persoonlijke komt thuis veel vaker in aanraking met het werk dan op kantoor, zelfs voor mensen die voor de pandemie op afstand werkten. Maar voor mensen die gedwongen waren thuis te werken, is de aanpassing, om nog maar te zwijgen van het isolement van collega's en de normale werkroutines, desoriënterender. En gedesoriënteerde werknemers zijn veel vatbaarder voor cyberaanvallen.

Zoals Jenny Radcliffe, oprichter en directeur van Human Factor Security, aangeeft in het rapport Economist Impact : "Wanneer mensen worden blootgesteld aan enorme, opgelegde veranderingen, heeft dat grote psychologische gevolgen. De belangrijkste reden die mensen opgeven voor het klikken op phishing-e-mails of slechte links, of het openen van bijlagen, of wanneer ze in allerlei vormen van oplichting trappen - de belangrijkste reden die ze opgeven is afleiding. In een thuiswerkomgeving vinden veel mensen het veel afleidender, en dat maakt hen kwetsbaarder voor een aanval. Aanvallers weten dat."

Cyberbeveiliging is niet alleen een IT-kwestie

Thuiswerken als het "nieuwe normaal" heeft de overgang van cyberbeveiliging van een IT-verantwoordelijkheid naar een organisatiebrede verantwoordelijkheid versneld. En het begint aan de top. Het leiderschap moet niet alleen robuuste strategieën voor cyberresilience opstellen, maar ook actief het bewustzijn van deze strategieën bevorderen.

Makkelijker gezegd dan gedaan, echter. Zoals Michelle Price, CEO van AustCyber, opmerkt in het Economist Impact rapport, "Wanneer je naar de minder gereguleerde sectoren gaat, en voor kleine en middelgrote ondernemingen (KMO's), zien we een zeer snelle daling in de consistentie van het bewustzijn bij zowel de leiding als de bredere werknemersbasis als het gaat om cyberbeveiliging." Dit is met name verrassend gezien het feit dat volgens een onderzoek van 2021 van ENISA (European Union Agency for Cybersecurity) , 85 procent van de kmo's het ermee eens is dat cyberbeveiligingskwesties potentieel ernstige nadelige gevolgen hebben voor hun bedrijven.

Emily Mossburg, Global Cyber Leader bij Deloitte, voegt hieraan toe: "We zijn nog lang niet zo ver als we zouden moeten zijn. Het is een enorme uitdaging op het gebied van verandermanagement, en het vereist een brede set vragen over de potentiële kwetsbaarheid en risico's die gepaard gaan met business en innovatie."

Waarom de kloof? Misschien komt het doordat we ons tijdens de pandemie allemaal gestrest voelen, topmanagers nog meer, en er zoveel brandjes moeten worden geblust, waardoor er minder vrije tijd overblijft voor de ontwikkeling van een proactieve cyberweerbaarheidsstrategie. Hoe dan ook, zoals Leo Simonovich, VP en Global Head of Industrial Cyber and Digital Security voor Siemens Energy, benadrukt in het Economic Report, is het van vitaal belang voor leiderschap om "beveiliging bovenaan hun agenda te zetten".

Cyberverzekering

Er heerst een gevoel van onvermijdelijkheid dat het niet langer de vraag is of een organisatie het slachtoffer wordt van een cyberaanval, maar wanneer. Dat verklaart waarom veel bedrijven investeren in cyberverzekeringen, die naar verwachting zullen groeien van ongeveer 4 miljard dollar (VS) in 2018 tot meer dan 20 miljard dollar (VS) in 2030 . Het goede nieuws hier is dat de invoering van cyberverzekering in feite grotere cyberbeveiligingspraktijken bevordert . De enige manier om in aanmerking te komen voor een cyberverzekering is een degelijk cyberbeveiligingsbeleid en goede cyberbeveiligingspraktijken.

Deskundigen waarschuwen er echter voor om niet te zwaar op de verzekering te leunen. Zoals Kerissa Varma, Chief Information Security Officer van Old Mutual Bank, opmerkt in het Economic Impact rapport: "Cyberverzekering heeft zijn plaats in de risicobeperkingsstrategie, maar je hebt nog steeds de sterke controles nodig. Bij cyberbeveiliging draait alles om mensen."

Macht aan het volk

In het Economic Impact rapport wordt benadrukt dat mensen de kern vormen van de uitdaging op het gebied van cyberbeveiliging voor de nieuwe manieren van werken. Nieuwe technologieën zijn van cruciaal belang voor het verbeteren van de cyberweerbaarheid, maar geen enkele technologie is perfect. Mensen blijven de zwakste schakel, en daarom wordt het bevorderen van cyberbewustzijn tijdens deze nieuwe manier van werken vaak de "heilige graal" van verbeterde cyberbeveiliging genoemd.

Elementen van die heilige graal zijn onder andere:

• Cybersecuritybewustzijnstraining voor alle werknemers en contractanten, afgestemd op hun werksituatie en branchegerelateerde aandachtspunten
• Informatie over cyberbeveiligingspraktijken in korte, verteerbare, gemakkelijk te begrijpen formaten
• Toegankelijke hulpmiddelen zoals snelle checklists voor het herkennen van phishingpogingen
• Opleiding afgestemd op het niveau van de technologie-expertise van de betrokkene; er is geen standaardaanpak voor iedereen
• Behandeling van werknemers als bondgenoten bij de bescherming van zowel henzelf als de organisatie; bepaalde beleidsmaatregelen, zoals twee-factor autorisatie, kunnen een belemmering lijken voor het uitvoeren van het werk in plaats van een onderdeel van het veilig uitvoeren van het werk, als ze niet op de juiste wijze worden gepositioneerd

Maar bovenal, zoals het Economic Impact rapport opmerkt: "Instemming van de top is een belangrijke eerste stap in de richting van bewustwording onder werknemers en het identificeren van mogelijke oplossingen. Hoewel het inmiddels een afgezaagde en zelfs afgezaagde suggestie is om de cyberbeveiliging van bedrijven te verbeteren, is bewustmaking belangrijker dan ooit nu modellen voor werken op afstand en hybride werken aan populariteit winnen."

De kern van de zaak

Het Economic Impact Report concludeert dat mensen weliswaar het grootste probleem zijn voor cyberbeveiliging, maar ook de beste oplossing. Geef mensen training en geef ze zo weinig mogelijk te doen om veilig online te blijven, en maak het ze gemakkelijk. En ken uw mensen beter dan de slechteriken.

Voor meer informatie, lees het volledige verslag .