Het grootste gat in de informatiebeveiliging zit meestal tussen de bureaustoel en het toetsenbord. De meeste mensen gaan voor het gemak en niet voor de veiligheid. “Heel veel mensen zijn zich absoluut niet bewust van de risico’s van linkjes en bijlagen in e-mails”, klaagt een ict-er op een online forum. “Pas geleden bij ons op kantoor een phishingtest laten uitvoeren. Maar liefst 25% van alle medewerkers heeft doodleuk zijn inloggegevens ingevuld op de phishing site.”
Een andere ict-er reageert dat dit soort mensen een reprimande van de baas moeten krijgen. Een reprimande van de baas? Vaak is die de eerste die op de phishingmail klikt.
Er zijn onderzoeken gedaan naar wat wél en niet werkt op het gebied van bewustwording naar informatiebeveiliging. Posters met waarschuwingen over cybersecurity blijken nauwelijks effect te hebben. Interactieve lezingen scoren heel hoog, maar als klein bedrijfje kun je niet even een spreker voor zes man uitnodigen. En bij de grote bedrijven kun je ook niet iedereen met presentaties bereiken. Laten we dus een paar alternatieven op een rijtje zetten:
1. Organiseer een cyber-speurtocht
Je verstopt minstens 10 cybersecurity gevaren en laat iedereen zoeken. Een usb-stick waar mogelijk een virus op zit, een mobiele telefoon met beveiligingscode 0000, een dossier met persoonlijke gegevens dat ergens op een bureau rondslingert, een vergeten document in de printer, een niet gelockt computerscherm, etc. Meestal vinden de medewerkers veel meer gevaren dan je verstopt hebt.
2. Leg in gewone mensentaal uit wat de cyberrisico’s inhouden
Ict-ers vergeten vaak dat gewone medewerkers niet genoeg digitale kennis hebben. Medewerkers begrijpen niet precies hoe groot de gevolgen kunnen zijn van het klikken op een phishingmail of het gebruiken van een zwak wachtwoord. Leg ze uit waarom de ict-afdeling niet alles kan tegenhouden en wat er in het ergste geval kan gebeuren. Uit onderzoek van de Britse internetprovider Beaming bleek dat 31 procent niet met een leverancier wil werken die door onachtzaamheid slachtoffer is geworden van cybercriminaliteit.
Hackers proberen steeds vaker binnen te komen bij kleine bedrijven als handig opstapje om grote bedrijven aan te vallen. Het gebruik van speciaal ontwikkelde software voor informatiebeveiliging kan hier veel tegen doen, maar werknemers moeten wel meewerken.
3. Beloon het melden van datalekken
Moet je een medewerker belonen als hij een datalek heeft veroorzaakt? Een directeur besloot dat te doen, omdat ze wist dat veel medewerkers datalekken verzwijgen, zoals een e-mail met persoonlijke gegevens versturen naar de verkeerde. Vaak weten de medewerkers niet eens dat dit onder een datalek valt en dat dit de wet bescherming persoonsgegevens overtreedt en dus binnen 72 uur gemeld moet worden bij de Autoriteit Persoonsgegevens.
Toen enkele mensen een klein cadeautje kregen, omdat ze snel een datalek hadden gemeld, had opeens iedereen het over hoe belangrijk het is om datalekken niet te verzwijgen en dat je niet wordt bestraft als het je overkomt. Sterker nog: je kreeg zelfs een cadeau omdat je de gevolgen probeerde te beperken. Soms ontdekken bedrijven pas na een half jaar dat ze gehackt zijn, omdat een medewerker op een phishingmail heeft geklikt en het ook niet nodig vond om de ict-afdeling erop te wijzen.
4. Misbruik computers die niet gelockt zijn (voor een goed doel)
Stuur vanuit alle computers die medewerkers onbeheerd laten staan een e-mail naar een niet-bestaand e-mailadres: ‘Bij deze bied ik mijn ontslag aan.’ Als ze terugkomen, schrikken ze van het teruggekaatste mailtje.
Leg de medewerkers op een duidelijke manier uit wat de gevaren zijn van het niet locken van je computer, hoe ze phishingmails kunnen herkennen en hoe ze honderden ingewikkelde wachtwoorden kunnen onthouden. Dat kan door middel van een presentatie of een e-learning cursus. Zelfs een cyberquiz kan hun kennisniveau enorm vergroten.
5. Kies voor praktische en gemakkelijkere oplossingen
Veel medewerkers vinden het een ramp om heel vaak hun wachtwoord te wijzigen. Uit onderzoeken blijkt dat dit vooral valse veiligheid oplevert. University College London wilde het personeel en de studenten aanmoedigen om sterkere wachtwoorden te kiezen. Langere wachtwoorden hoefden voortaan minder vaak vervangen te worden dan korte en zwakke wachtwoorden. Voor woorden uit het woordenboek kregen de medewerkers strafpunten (deze worden heel snel gekraakt door automatische hack-programma’s).
Het nieuwe beleid bleek een succes. De meeste medewerkers kozen op den duur voor sterkere wachtwoorden in ruil voor een langere levensduur. Leg de medewerkers uit hoe simpel het is om onhackbare wachtwoorden te verzinnen, gewoon elke keer een nieuwe zin als wachwoord. In januari bijvoorbeeld de zin: Ik_wil_3_kilo_afvallen! En in februari de zin: Ik_ga_op_wintersport02! Of nog gemakkelijker: voer een wachtwoordmanager in als oplossing tegen alle wachtwoordfrustraties.
6. Bedenk ludieke manieren om de bewustwording te vergroten
Geld spenderen aan dure ict-tools is geld over de balk gooien als de medewerkers niet begrijpen hoe de hackers werken. Of zoals een bevriende ethische hacker ooit zei: “A fool with a tool is still a tool”.
Een voorbeeld is iemand die toevallig op vakantie was tijdens een phishingmail-test. De vakantieganger zag de phishingmail te laat en mailde terug: ‘Ik was de afgelopen week niet aanwezig, kun je de link nog een keer sturen, want die werkt niet meer.’
Gebruik simpele manieren om de minder alerte medewerkers te trainen. Wanneer een collega zijn computer een tijdje niet heeft aangeraakt, springt een screensaver met preventietips automatisch op. Een ook de bedrijfsapp laat af en toe een preventietip zien over openen van verdachte e-mails, het delen van vertrouwelijke informatie of het maken van valse betalingen. Deel leuke filmpjes over privacy en cybercrime op intranet.
Helaas zijn de ze maatregelen tegenwoordig geen overbodige luxe, gezien al die hacks en datalekken van de afgelopen tijd!
Over de auteur:
Maria Genova (1973) is journaliste en schrijfster. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Het idee voor Communisme, Sex en Leugens. Na haar debuut schreef ze nog vele andere boeken waaronder meerdere bestsellers zoals Komt een vrouw bij de [email protected], een eye-opener over digitale gevaren. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learning cursussen en quizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van identiteitsfraude, privacy en informatiebeveiliging. Meer over Maria Genova op haar website of op Twitter: @genova2