Deze maand is Security Awareness-maand, een tijd waarin organisaties over de hele wereld mensen leren hoe ze cyberveilig kunnen zijn, zowel op het werk als thuis. Maar wat is dat veiligheidsbewustzijn net en, nog belangrijker, waarom is het essentieel? Hoewel er soms verschillende termen door elkaar gebruikt worden – Security Influence, Culture, Engagement, Training, Education, enzovoort – gaan ze eigenlijk allemaal over hetzelfde, zegt senior SANS-instructeur Lance Spitzner: het beheersen van human risk of de menselijke factor.
Organisaties en bedrijven, de cybersecuritygemeenschap en iedereen die iets van cyberveiligheid afweet, allemaal zullen ze je hetzelfde vertellen: mensen vormen de grootste risicofactor in onze steeds meer verbonden wereld. De Verizon DBIR bijvoorbeeld, een van betrouwbaarste rapporten uit de sector, stelde de afgelopen drie jaar vast dat mensen betrokken zijn bij meer dan 80% van de inbreuken wereldwijd. Incidenten variëren daarbij van mensen die een actief doelwit zijn in phishing-e-mails of smishing-aanvallen (phishing via sms) tot mensen die eenvoudige fouten maken, zoals IT-admins die hun cloudaccounts verkeerd configureren en zo per ongeluk gevoelige gegevens delen met de rest van de wereld. Maar, als mensen zo’n groot risico vormen, wat kunnen we daar dan aan doen?
De traditionele aanpak was en is vaak nog steeds om meer technologie tegen het probleem aan te gooien. Beveiligingstechnologieën die phishingmails filteren en tegenhouden bijvoorbeeld, of multifactorauthenticatie (MFA) om te voorkomen dat wachtwoorden gekraakt worden. Het probleem is dat cyberaanvallers deze technologieën eenvoudig omzeilen door zich op mensen te richten. Terwijl we beter worden in het identificeren en stoppen van phishingaanvallen, richten aanvallers zich gewoon op de mobiele telefoons van mensen met smishing-aanvallen (op basis van sms of berichten), of blijven ze mensen lastigvallen met valse MFA-verzoeken tot ze er eentje goedkeuren, zoals het geval was bij de recente hacks bij Uber en Rockstar Games.
Een tweede uitdaging ligt bij de veiligheidsteams binnen organisaties zelf: zij geven hun medewerkers te vaak de schuld van het menselijke risicoprobleem, met uitspraken à la “als iedereen gewoon zou doen wat wij zeggen, dan zou er geen probleem zijn”. Deze uitspraken impliceren dat de fout louter en alleen bij de mens ligt. Maar, als we cyberbeveiliging bekijken vanuit het perspectief van de gemiddelde werknemer, blijkt dat wij als beveiligingsgemeenschap op z’n minst mee schuldig zijn. Want, we hebben cyberveiligheid zo verwarrend, beangstigend en overweldigend gemaakt dat we mensen op een mislukking hebben voorbereid: vaak hebben ze geen idee wat ze moeten doen, of, als ze weten wat ze moeten doen, is het zo moeilijk geworden dat ze het fout doen of gewoon een andere optie kiezen.
Neem nu bijvoorbeeld wachtwoorden, een van de grootste veroorzakers van inbreuken. Al jaren verschijnen er talloze artikelen en rapporten waarin staat hoe mensen op een onveilige manier zwakke wachtwoorden blijven gebruiken. Maar hoe komt dat? Omdat het wachtwoordbeleid vreselijk verwarrend is en voortdurend verandert. Veel organisaties of websites hebben een beleid dat complexe wachtwoorden van 15 tekens vereist, met hoofdletters en kleine letters, symbolen en cijfers. Vervolgens eisen we dat mensen die wachtwoorden om de negentig dagen veranderen, maar, we bieden geen veilige manier om al die lange, complexe en veranderende wachtwoorden te beveiligen.
Vervolgens implementeren we multifactorauthenticatie (MFA) om mensen te helpen beveiligen. Maar ook dit is uiterst verwarrend, zelfs voor mij als professional. Ten eerste hebben we verschillende namen voor MFA, waaronder tweefactorauthenticatie, tweestapsverificatie, sterke authenticatie of eenmalige wachtwoorden. Dan zijn er ook nog eens verschillende manieren om het te implementeren, waaronder pushmelding, sms, FIDO-token, aparte authenticatie-apps, enzovoort. Elke website pakt het anders aan, en dat creëert verwarring.
En dat is waar het veiligheidsbewustzijn en de menselijke factor in het spel komen. Werken op veiligheidsbewustzijn is de traditionele aanpak: medewerkers informeren en opleiden over hoe ze cyberveilig kunnen zijn. Hoewel dit een stap in de goede richting is, moeten we nog een stap verder gaan en het menselijk risico beheren. Dat vereist een veel strategischere aanpak, die voortbouwt op Security Awareness maar ook de volgende elementen omvat:
- Risico’s: Het team dat instaat voor het veiligheidsbewustzijn moet een geïntegreerd onderdeel zijn van het security team en zelfs direct rapporteren aan de Chief Information Security Officer of CISO. Het dient verder ook nauw samen te werken met andere beveiligingsonderdelen zoals het Security Operations Center, Cyber Threat Intelligence en Incident Response om de grootste menselijke risico’s voor de organisatie duidelijk in kaart te brengen, maar ook de belangrijkste gedragingen om die risico’s te beheersen. Zodra die risico’s en gedragingen geïdentificeerd en geprioriteerd zijn, kan zowel de communicatie als training hieromtrent richting medewerkers opgestart worden. Modellen als het Security Awareness Maturity Model stellen organisaties in staat dit te doen.
- Beleid: Het is zaak om een veiligheidsbeleid te creëren met processen en procedures die voor mensen veel eenvoudiger te volgen zijn. Het beleid, maar ook de middelen ter ondersteuning daarvan, moeten met andere woorden ontworpen worden met mensen in het achterhoofd. Als we willen dat mensen sterke authenticatie gebruiken, moeten we ons richten op iets dat gemakkelijk te leren en te gebruiken is. Hoe verwarrender het proces is en hoe meer manuele handelingen het vereist, hoe gemakkelijker het is voor cyberaanvallers om dat uit te buiten.
- Veiligheidsteam: Veiligheidsteams moeten met de rest van het personeel communiceren in eenvoudige, menselijke termen die iedereen kan begrijpen, inclusief meer uitleg over het WAAROM van bepaalde vereisten. Waarom zijn paswoordmanagers belangrijk, welke waarde heeft MFA voor mij, en waar zijn automatische updates goed voor? Enkel zo kan de perceptie van veiligheidsteams als arrogante, nee-zeggende techneuten omgebogen worden naar benaderbare, positieve teamspelers die ervoor gaan.
Het behe(e)r(s)en van de menselijke factor wordt een steeds fundamenteler onderdeel van elke cybersecuritystrategie. Willen we communiceren naar medewerkers en hen engageren en opleiden, dan is veiligheidsbewustzijn een eerste stap in de goede richting. Maar, om menselijke risico’s echt te gaan beheren is een meer toegewijde, strategische inspanning nodig. Wie weet evolueert de rol van Security Awareness Officer zo op een dag wel naar die van Human Risk Officer.