Werknemers opleiden in hoe cyberaanvallen te herkennen en te vermijden, is cruciaal in de beveiliging van je organisatie. Maar hoe begin je daaraan? We bespreken enkele best practices en tools die je daarbij kunnen helpen.
De menselijke factor mag niet onderschat worden wanneer het op cybersecurity aankomt. 95 procent van de cyberincidenten zijn het gevolg van een menselijke fout, berekende het WEF in 2022. Het exacte percentage is voer voor discussie onder statistici, maar algemeen worden de medewerkers als de zwakste schakel in de beveiliging van bedrijven beschouwd.
Je kan investeren in virusscanners en firewalls zoveel als je wilt, als je werknemers op verdachte links blijven klikken, zijn die nutteloos. Werknemers zijn zich niet altijd even goed bewust van hun verantwoordelijkheid en de consequenties van onveilig digitaal gedrag. Social engineering, een verzameling van aanvalstechnieken die menselijk gedrag proberen uit te buiten waaronder phishing, wint jaar op jaar aan omvang.
Er is echter niets dat je niet kan aanleren en ook cybersecurity is grotendeels een kwestie van leren om veilig om te gaan met technologie. Vandaag zijn er heel wat (online) cursussen die je je werknemers kan laten doorlopen, maar zonder enige begeleiding hebben die zelden het beoogde effect. Cybersecuritytraining is een proces dat tijd en inspanningen vergt.
De zeven niveaus van phishing
Phishing is en blijft het veelbeproefde recept voor aanvallers om bij bedrijven binnen te breken. Hoewel het gevaar inmiddels wel gekend is, lopen elke dag mensen opnieuw in de val. Dat komt omdat de phishingmails alsmaar beter en realistischer worden.
lees ook
Nee, dat is geen Microsoft-mail: hoe phishing succesvol blijft
Voor een mail van een Nigeriaanse prins die je zijn volledige erfenis nalaat op voorwaarde dat je een klein bedrag overmaakt, valt bijna niemand nog. Maar een mail die van je baas of collega lijkt te komen over een project waar je net op werkt, doet je al sneller twijfelen. Met de inbreng van AI zullen phishingmails alleen maar realistischer ogen, wat de nood om je werknemers te trainen om phishing te herkennen ook hoger maakt.
Binnen phishing bestaan er nog verschillende gradaties. Hoe meer persoonlijke informatie een aanvaller kan vinden, hoe persoonlijker ze de mail kunnen maken en hoe groter de kans dat het slachtoffer het gelooft. Dit hangt ook af van hoeveel moeite de hacker in zijn of haar campagne wil steken. Beveiligingsbedrijf Hornetsecurity onderscheidt zeven phishingniveaus, hieronder opgesomd met de voorbereidingstijd die elk type vergt van de hacker.
| Niveau | Wat? | Voorbereidingstijd |
| 1 | Massa-phishing: frauduleuze massamails die naar willekeurige adressen worden verstuurd. Een typisch voorbeeld is een nepmail die bpost nabootst met de boodschap dat een pakje onderweg is. | +/- 15 minuten |
| 2 | CEO-fraude: een e-mail die zogezegd van een senior manager binnen de organisatie komt. | +/- 1 uur |
| 3 | Spear phishingmail met openbare informatie over het bedrijf. | +/- 2 uur |
| 4 | Spear phishingmail met directe verwijzing naar de afdeling of rol van het slachtoffer, of mail van directe collega/overste. | +/- 4 uur |
| 5 | ‘Gespoofde’ e-mail van zakenpartner die geen bescherming tegen spoofing heeft geactiveerd of wiens account gehackt is. | +/- 6 uur |
| 6 | E-mail van een persoonlijk contact als antwoord op een eerdere conversatie. Vaak met een gehackt mailaccount. | +/- 12 uur |
| 7 | Spear phishingmail die verwijst naar zaken waar de ontvanger momenteel aan werkt, bijvoorbeeld een statusupdate over een lopend project. | Meer dan 20 uur |
Bron: Hornetsecurity
Herhaling is de sleutel
De belangrijkste vaardigheden die werknemers moeten leren is het herkennen van phishingmails, verdachte e-mailadressen en/of links. Er zijn heel wat indicatoren waar je naar kan kijken, die we in deze handleiding uitgebreid uit de doeken doen. Maar die hamer je er niet in bij je werknemers na één verplichte cursus per jaar, zeker niet bij zij die digitaal minder vaardig zijn.
Zorg voor voortdurende training en bijscholing om kennis te behouden en werknemers op de hoogte te houden van veranderende bedreigingen. Maar let op dat je daarbij ook niet overdrijft: werknemers platslaan met waarschuwingen of met de berispende vinger zwaaien, werkt net tegendraads. De truc is om werknemers niet te zien als een risico, maar net als de eerste verdedigingslinie. Een firewall, maar dan een die bestaat uit vlees en bloed.
Zoals zo vaak kom je ook bij cybersecuritytraining het verst met een datagedreven aanpak. Stel duidelijke prestatie-indicatoren op waaraan je de vooruitgang van medewerkers kan toetsen. Hornetsecurity ontwikkelde hiervoor de Employee Security Index (ESI), een score die uitdrukt hoe goed iemand presteert in vergelijking met ‘de voorbeeldige werknemer’.
Een score van negentig of meer staat op deze schaal gelijk aan voorbeeldig gedrag. Is jouw score tachtig, dan heb je twee keer zo vaak onvoorzichtig gedrag vertoont (zoals klikken op een phishinglink), bij zeventig gebeurde dit drie keer zo vaak. Een perfect rapport is niet realistisch, mensen maken nu eenmaal fouten, maar als de score onder de zeventig zakt, dan is er dringend extra bijscholing nodig.
De schaal van Hornetsecurity illustreert ook het belang van het herhalen van trainingen. Uit een analyse van 1,7 miljoen phishingsimulaties blijkt dat met voldoende herhaling de gemiddelde werknemer zijn of haar score na twaalf maanden met dertig punten kan verhogen. Maar een maandje pauze en de score zakt weer met vijf punten. Na vier maanden zonder training bedraagt het verval meer dan dertig punten en is het herbeginnen.
Cybersecurity is kwestie van herhaling, maar overvloedig waarschuwen werkt net tegendraads. Beschouw je mensen niet als een risico, maar als de eerste verdedigingslinie.
Trainingen op maat
Even belangrijk als de frequentie is de inhoud van de trainingen. Om werknemers te engageren, dient de inhoud van de cursussen voor hen ook relevant te zijn. Zorg ervoor dat simulatieoefeningen afgestemd zijn op individuele rollen, verantwoordelijkheden en potentiële risico’s waarmee ze te maken kunnen krijgen.
Voor iedere werknemer een persoonlijk trainingsprogramma uitwerken en uitvoeren, vergt veel tijd en middelen. Deze taak komt vaak nog eens op het bord van al met werk overladen IT-teams te liggen. Hier komen digitale trainingsplatformen zoals de Hornetsecurity Awareness Service handig van pas.
Security Awareness Service automatiseert het volledige trainingstraject. De Awareness Engine maakt automatisch een schema op voor de gebruiker: hoeveel training iedereen nodig heeft en welke inhoud het meest relevant is. Vervolgens zal de werknemer op regelmatige tijdstippen mails ontvangen die een phishingpoging simuleren, al mag de werknemers natuurlijk niet weten wanneer die kunnen binnenkomen. Ook dit verloopt allemaal geautomatiseerd.
In het Awareness Dashboard volg je dan hoe iedereen het er vanaf brengt. Er wordt niet enkel gemeten hoe vaak op de mail geklikt wordt, maar ook hoe vaak een phishingmail gerapporteerd is. Op basis van het gedrag van de werknemer en de moeilijkheidsgraad van de oefeningen wordt per werknemer de eerder besproken ESI-score opgesteld. Die kan doorheen de tijd verder opgevolgd worden om het trainingsprogramma gericht bij te sturen.
Security Awareness Service omvat meer dan phishing. Werknemers hebben via hun persoonlijke dashboard ook toegang tot tutorials en video’s, waarmee ze ook kunnen leren hoe hun accounts te beveiligen, veilig te e-mailen etc. In het dashboard kunnen ze bovendien hun persoonlijke vooruitgang opvolgen.
Deze werkwijze verhoogt de betrokkenheid van werknemers. Ze kunnen de tutorials doorlopen waar en wanneer ze willen en krijgen enkel oefeningen die voor hen ook relevant zijn. Cybersecuritytraining hoeft niet altijd als een verplicht nummer aan te voelen.
Om werknemers te engageren, dient de inhoud van trainingen voor hen relevant te zijn.
Deze redactionele bijdrage kwam tot stand in samenwerking met Hornetsecurity. Voor meer informatie over Security Awareness Service en andere beveiligingsoplossingen van het bedrijf, klik hier.