Veiligheidsbewustzijnstraining in het nieuwe normaal

Hackers herkennen een kans als ze die zien, en de abrupte verschuiving naar thuiswerken als gevolg van de wereldwijde COVID-19 pandemie was een kans als geen ander. Voor veel organisaties ging het delen van gevoelige bedrijfsinformatie van de vergaderzaal op kantoor naar de thuiszoom, en van beveiligde bedrijfsnetwerken naar Wi-Fi thuis. Voeg daarbij een gebruikersgemeenschap die verward, overweldigd en slecht voorbereid was om hun leven thuis en hun IT-systemen thuis te beheren te midden van een wereldwijde pandemie, en het was als vissen in een ton schieten voor slechte actoren.

Voortdurende paraatheid op het gebied van beveiliging is van cruciaal belang, maar toch hebben bijna acht op de tien bedrijven in 2020 te maken gehad met een verstoring van de bedrijfsvoering, financieel verlies of een andere tegenslag als gevolg van een gebrek aan cyberparaatheid, zo blijkt uit het Mimecast-rapport State of Email Security 2021 (SOES). Vooral de beveiliging van e-mail baart zorgen: Meer dan 40% van de bedrijven schiet tekort op een of meer kritieke gebieden, en 13% van de bedrijven beschikt helemaal niet over een e-mailbeveiligingssysteem, aldus de SOES-respondenten.

Naarmate het e-mailvolume toeneemt, neemt ook het e-mailrisico toe

E-mail is het afgelopen jaar een bijzonder beladen medium geweest voor bedrijven van alle groottes. Eenentachtig procent van de respondenten van de SOES-enquête gaf aan dat het volume van e-mail het afgelopen jaar is toegenomen, met alleen al een toename van e-mailbedreigingen met 64%. Zeventig procent van de respondenten zei dat ze verwachten dat hun bedrijf schade zal berokkenen door een e-mailaanval - een aantal dat niet verrassend is als je bedenkt dat werknemers drie keer zoveel schadelijke e-mails aanklikken als voor het uitbreken van de pandemie.

Waar werknemers op klikken, is steeds vaker een poging tot phishing: 63% van de SOES-respondenten zegt te maken te hebben met een sterke toename van gerichte e-mails waarin werknemers worden verleid om op een schadelijke link of bijlage te klikken.

Volgens Deloitte zijn phishing-e-mails het belangrijkste leveringsmedium voor ransomware: "Het motief hierachter is dat phishing-e-mails gemakkelijk te versturen zijn en leiden tot een snellere return on investment (ROI)," schreef het bedrijf.[1] Het bedrijf zei ook dat het belangrijkste doel van phishing-e-mails het leveren van ransomware is, en dat phishing-e-mails met de hoogste klikpercentages inhoud bevatten die beoogde gebruikers zouden verwachten te zien in hun dagelijkse werk.

Ransomware, BEC-aanvallen nemen toe

Alarmerend is dat uit de Mimecast SOES is gebleken dat meer dan zes op de tien bedrijven vorig jaar werden verstoord door een ransomware-aanval, waardoor gemiddeld zes dagen werk verloren ging. Aanvallen via zakelijke e-mailcompromittering (BEC) in de vorm van imitatiefraude namen ook toe, waarbij 51% van de deelnemers aan de enquête een toename meldde.

Eindgebruikers zijn duidelijk een groot deel van het probleem, maar het goede nieuws is dat zij ook een groot deel van de oplossing kunnen worden - met de juiste training. Maar cyberbewustzijnstraining die "goed" was vóór de pandemie, is dat misschien niet meer in de nieuwe situatie, aangezien de definitie en de grenzen van de werkplek vervagen en in de loop der tijd veranderen.

Tips voor bewustwording van cyberbeveiliging

Hier volgen enkele stappen om ervoor te zorgen dat werknemers een hoog - en zich voortdurend ontwikkelend - niveau van begrip hebben over beveiliging thuis en op kantoor.

Behandel medewerkers als bondgenoten: Medewerkers die begrijpen wat er op het spel staat en waarom bepaalde beveiligingsmaatregelen, zoals authenticatie op basis van twee factoren of een VPN, zijn genomen, zullen meer geneigd zijn hun steentje bij te dragen aan de bescherming van het bedrijf, het merk en, uiteindelijk, hun baanzekerheid. Door het bedrijf te beschermen, beschermen werknemers ook zichzelf, vooral nu de hybride werkplek zich uitbreidt naar hun eigen thuisnetwerken en -apparaten.

Wees specifiek: De beveiligingsbewustzijnstraining moet worden afgestemd op de behoeften van elk afzonderlijk bedrijf, waarbij de nadruk moet liggen op specifieke branchegerelateerde aandachtspunten. De beveiligingsbewustzijnstraining voor werknemers in de gezondheidszorg, bijvoorbeeld, moet niet precies hetzelfde zijn als de beveiligingsbewustzijnstraining voor werknemers in de detailhandel. Organisaties moeten trainingen aanbieden die rekening houden met specifieke werknemerssituaties, zoals de beveiligingskwesties en -behoeften van werknemers die volledig op afstand werken versus werknemers met een hybride rooster en werknemers die voltijds op kantoor aanwezig zijn.

Geef voorbeelden: Voorbeelden zijn erg krachtig. Geef praktische, relateerbare voorbeelden van hoe gewone cyberaanvallen, zoals phishing via e-mail, de organisatie en individuele werknemers kunnen beïnvloeden - en misschien al hebben beïnvloed. Zorg ervoor dat u voorbeelden geeft in verschillende kantoor- en thuisomgevingen, zodat gebruikers in de hele organisatie kunnen aansluiten. Zo blijven werknemers zich ervan bewust dat hun rol wel degelijk een verschil maakt.

Maak het gemakkelijk om te doen wat juist is: Hoe moeilijker het voor werknemers is om te doen wat juist is, des te kleiner is de kans dat ze het ook zullen doen. Houd de training kort, eenvoudig en relevant. Bied informatie aan in een licht verteerbaar en toegankelijk formaat dat zinvol is voor het werk van werknemers. Het is ook belangrijk om hulpmiddelen - bijvoorbeeld een checklist voor het herkennen van een phishing e-mail of de contactinformatie voor beveiligingsondersteuning - gemakkelijk toegankelijk te maken.

Erken het niveau van de technologische expertise van uw werknemers: Het is waarschijnlijk dat de technische expertise van de werknemers in uw organisatie sterk uiteenloopt. Een zeer technisch onderlegde werknemer dwingen om een Phishing 101-cursus te volgen, zal alleen maar leiden tot slechte gevoelens. Geef werknemers de kans om specifieke training te "testen", terwijl u diegenen erkent en tegemoet komt die nog meer ondersteuning nodig hebben dan de algemene training kan bieden.

De kern van de zaak

Het afgelopen jaar heeft ons voor uitdagingen gesteld die niemand had kunnen voorzien. Geen enkele persoon of organisatie zal de pandemie onveranderd te boven komen. Bewustzijnstraining op het gebied van cyberbeveiliging was altijd al van cruciaal belang voor de bescherming van de gegevens, werknemers, klanten en het merk van een bedrijf, maar ook deze training moet veranderen en evolueren om aan te sluiten bij een nieuwe manier van leven en werken.

[1] "Phishing en Ransomware kunnen uw ergste nachtmerries zijn, hoe kunt u deze evoluerende bedreigingen voorkomen?" Deloitte