Paul Smet, Security Expert bij Telenet, verzint samen met zijn team creatieve situaties waarin hij het personeel van Telenet zet om de cyberweerbaarheid te verhogen. Een sterke technologie is namelijk net zo belangrijk als personeel dat kennis heeft over cyberrisico’s. Volgens hem kan dat nog plezant zijn voor de werknemers ook.
Cybersecurity-experts geven aan bedrijven altijd de tip mee dat het verstandig is om in te zetten op de cyberweerbaarheid van je personeel. Mark Hofmann, misdaadanalist ofwel profiler, kwam er bij Telenet ook al over praten en vertelde het als volgt: “Cyberbeveiliging moet volgens mij een combinatie zijn van technologie en een menselijke firewall. Je mag de beste technologie ter wereld hebben: als een cybercrimineel je opbelt en je manipuleert om je gebruikersnaam en wachtwoord te geven, dan heb je een groot probleem. Geen enkele technologie lost dat op.”
Bij Telenet zijn ze het helemaal eens met die stelling. Ze vertellen ons graag hoe ze het personeel cyberbewust maken. Niet om op te scheppen, maar wel zodat andere bedrijven iets kunnen leren uit de aanpak.
Verrassende motieven
Wie zich goed wil beschermen, moet weten tegen wie hij moet opboksen. Interessant daarin zijn de motieven van de hacker, die volgens Hofmann niets te maken hebben met het financiële aspect: “Het interessante is dat hackers bijna altijd mannen zijn, vaak jonger dan 30, en goed opgeleid, met bovengemiddelde intelligentie. Dat is een opvallend verschil met de rest van de criminaliteit: daar zien we een gemiddelde intelligentie en vooral veel laaggeschoolden.”
“Dat is fascinerend, omdat cybercriminelen het dus niet voor het geld doen: ze kunnen met hun skills werken voor bedrijven zoals Tesla, Google of Amazon, en daar een riant loon verdienen. Zij doen het dus niet zozeer voor het geld, maar voor de opwinding. Ze doen het omdat het kan, en als ze het dan voor het geld doen, moet je je steeds afvragen wat het eigenlijke motief daarachter is. Vaak hebben ze al meer dan genoeg geld, dan zou hebzucht het motief kunnen zijn.”
Cybercriminelen doen het niet zozeer voor het geld, maar voor de opwinding.
Mark Hofmann, misdaadanalist
Bovendien heeft een steeds groter wordende groep de middelen in handen om een cyberaanval te lanceren. Denk maar aan de opkomst crime-as-a-service waardoor malware en ransomware gewoon via het internet gehuurd kan worden. “Daarbij gebruik je dan bestaande software waarbij je een percentage van je buit afstaat aan degene waarvan je de software inhuurt. Dat betekent dat het aantal mensen dat cybercriminaliteit kan plegen een heel stuk groter wordt”, vertelt hij. De komende jaren zal de dienst nog erg aan populariteit winnen, voorspelt Hofmann.
Verborgen camera
Paul Smet, Security Expert bij Telenet, en zijn collega’s houden er een hele trukendoos op na om hackers buiten het netwerk van Telenet te houden. Ze laten het personeel kennismaken met verschillende social engineering-trucs die hackers kunnen toepassen. Het gaat dus om pogingen om de werknemer te manipuleren door een persoonlijke aanpak.
Volgens Hofmann is social engineering de manier waarmee de meeste hackers binnenkomen in een bedrijfsnetwerk. “Hoe komt ransomware in bedrijven terecht? Dan zien we dat mensen altijd aan de basis liggen. Iemand heeft een wachtwoord gedeeld via de telefoon, een foute link aangeklikt of een bijlage gedownload. Dat noemen we social engineering: het manipuleren van mensen om ze iets te laten doen dat ze eigenlijk niet zouden moeten doen. Daar maken cybercriminelen dankbaar gebruik van.”
Smet pakt zelfs de meest extreme vormen van social engineering aan. Hij nodigt dan een extern persoon uit die zich met een verborgen camera onder het personeel mengt. De externe slaat een babbeltje met het personeel van Telenet en komt ondertussen tot de vaststelling dat het niet lukt om in te loggen op het bedrijfsnetwerk. Aan de werknemer waarmee ondertussen al een gesprek loopt, wordt gevraagd om via de laptop van de externe in te loggen op het bedrijfsnetwerk, om te kijken of de schuld niet bij het netwerk ligt. Vult de werknemer zijn inloggegevens in, dan staat hem of haar een gesprek over de mogelijke risico’s van deze handeling te wachten.
“De persoon en het toestel zijn onbekend voor onze werknemer. Zomaar je inloggegevens invullen op een onbekend apparaat, neemt enorme risico’s met zich mee. De hacker kan de gegevens namelijk in de achtergrond op de laptop wegschrijven en vervolgens thuis via het account van onze werknemer inloggen op ons netwerk”, weet hij.
Memes en ganzenbord
Er zijn ook initiatieven waar werknemers bewust aan kunnen deelnemen. Zo bleek in de periode van het interview ganzenbord het onderwerp van gesprek te zijn. Het klassieke bordspel krijgt bij Telenet een IT-kantje, via een online quiz waarop dagelijks een vraag in verband met cybersecurity verschijnt.
Het gaat hier niet om vragen van een zwaar kaliber, zoals tijdens de quiz waarin de telecomprovider op zoek ging naar de slimste cyberexpert van Vlaanderen. “We kiezen hier bewust voor laagdrempelige vragen. Denk bijvoorbeeld aan de vraag: Wat is een goed wachtwoord?”, verduidelijkt Smet. Een goed antwoord levert een worp met de dobbelstenen op en om iedereen op scherp te zetten, update het leaderbord dagelijks.
lees ook
Kris De Pril is slimste cyberexpert van Vlaanderen
Spelletjes spelen op de werkvloer, lijkt de normale gang van zaken bij Telenet. Naast ganzenbord zijn er namelijk ook wel eens kruiswoordraadsels te vinden. Om het woord te kraken, krijgen de werknemers dagelijks een security-gerelateerde tip. Tijdens de koffiepauze en de lunch zorgen de memes over een cybersecurity-onderwerp van Lectrr die over het gebouw verspreid liggen, dan weer voor een glimlach op het gezicht van de mensen.
Geen vinkje op de lijst
Smet bewijst met zijn aanpak dat het creëren van cyberbewustzijn helemaal niet via een saaie dagcursus moet verlopen. Sterker nog, hij is helemaal geen voorstander van verplichte trainingen: “Als iets verplicht is dan roept het al een weerstand op. Zeker als de verplichting te maken heeft met een vinkje op de lijst. Het is niet omdat je een vinkje hebt bij de training dat je cyberweerbaar bent.”
Alle trainingen blijven bovendien vrijblijvend. Heeft een werknemer geen behoefte aan een kruiswoordpuzzel, een spelletje ganzenbord of een meme, dan hangen daar geen gevolgen aan vast. Dat komt met een keerzijde, geeft Smet toe: “Niet iedereen heeft hetzelfde niveau van cybertraining.” Hij noemt het een berekend risico en is niet van plan deze werknemers hierop aan te spreken. “Het is belangrijk om het algemene bewustzijn omhoog te krijgen, niet het individuele.”
Het is belangrijk om het algemene bewustzijn omhoog te krijgen, niet het individuele.
Paul Smet, Security Expert bij Telenet
Hij stapte Telenet binnen met de nodige IT-bagage en een diploma sociologie. Beide gebieden combineert hij in zijn job. Daarom stapt hij volledig weg van een autoritaire aanpak en komt hij niet in een cursus uitleggen wat een goede cyberhygiëne inhoudt. “Ik wil dat de mensen iets hebben geleerd, dat ze het toepassen op de werkvloer en thuis en dat ze het plezant vonden.”
De aanpak is anders dan veel grote namen in het cybersecurity-gebied promoten. Al mag Telenet fier zeggen dat zijn aanpak gecertificeerd werd door de Cyber Security Coalition, wat een goed niveau van de training garandeert.
Klein beginnen
Nu zit Smet wel in een bevoorrechte positie bij de telecomprovider en zijn er genoeg middelen om in de creatieve ideeën van de security expert te investeren. Als er minder middelen zijn of als je een klein budget ter beschikking krijgt om te experimenteren met een andere trainingsmethode, dan is het aangeraden een focus te kiezen. “Maak dan een risico-analyse, waarin je beantwoordt wat de belangrijkste risico’s zijn voor je onderneming.”
Bij Telenet zijn ze ook niet van de ene op de andere dag met vijf initiatieven tegelijk gestart. In het begin lag de focus enkel op phishing, dat blijft na zes jaar nog steeds één van de aandachtspunten. Iedere werknemer krijgt automatisch iedere maand phishingmail toegestuurd vanuit het bedrijf. Klikt de werknemer op de verdachte link, dan komen ze uit op een website met de boodschap dat ze op een risicovolle link klikten.
Nadat een werknemer op een phishingmail klikt, krijgen ze een link toegestuurd met een website waarop ze iets kunnen bijleren over phishing. Bijleren is hier dus vrijblijvend, waar andere organisaties er vaak voor kiezen om een verplichte cursus aan het risicovol gedrag te hangen. De resultaten deelt Smet intern iedere maand, waardoor ook collega’s elkaar aanspreken op hun gedrag. “De perceptie is helemaal anders als een collega je aanspreekt op het klikken van de link dan wanneer de manager komt vertellen wat je niet moet doen.”
Cybertraining heeft een belerend imago, maar dat hoeft het dus helemaal niet te zijn. Bij Telenet is cybersecurity geen begrip waar werknemers één keer per jaar aan herinnerd worden bij een training, maar een levendig gespreksonderwerp op de gangen.
Dit is een redactionele bijdrage in samenwerking met Telenet Business. Het volledige interview waarin Mark Hofmann samen met Telenet Business dieper ingaat op de vraag ‘Hoe kijkt een profiler naar cyberveiligheid?’, kan je hier terugvinden.