De combinatie maken tussen Fysieke en digitale beveiliging is prioriteit

Security is nog steeds een groot struikelblok en iets waar iedereen nog tegenaan loopt, blijkt uit onderzoek. De medewerker is nog steeds de zwakste schakel in dit geheel en zorgt voor grote risico’s. Psychologe Elsine van Os legt uit waarom menselijk gedrag de basis is van optimale beveiliging – zowel digitaal als fysiek. En hoe je dat als organisatie beter kunt vormgeven.

Vaak wordt veel gedaan aan alles rondom de veiligheid van het pand en de medewerkers zelf. Echter dit zijn vaak allemaal maatregelen die “fysiek” zijn en niet zo zeer digitaal. En met de tijden van cybercrime, phishing, malware en ransomware vraagt juist die kant van veiligheid de meeste aandacht. Maar is dat digitaal ook zo vanzelfsprekend? Nee, zo blijkt uit onderzoek van MT, Proact en NetApp onder IT-verantwoordelijken.



Budget

Vooral het budget is een heikel punt, slechts 39 procent heeft naar eigen zeggen voldoende geïnvesteerd in IT-security om veilig te zijn. Een van de grootste uitdaging? De medewerkers. 59 procent van de IT-verantwoordelijken erkent dat werknemers vaak de zwakste schakel zijn en heeft daarom awareness-programma’s geïntroduceerd om het bewustzijn onder werknemers te vergroten. En dit zijn de juiste stappen die essentieel zijn juist in deze tijd. Een van de marktleiders in awareness training en software is op dit moment KnowBe4. Een van hun sterkste punten zijn de phishing-simulaties die zij kunnen verzorgen binnen jouw organisatie. Op die manier krijg je heel gemakkelijk inzichtelijk waar de dreigingen het grootst zijn en waar dus de meeste aandacht aan geschonken dient te worden.

Van Os is inlichtingen- en security-deskundige en sprak over digitale en fysieke dreigingen tijdens de One-Conference in Den Haag. Zij houdt zich bezig met de psychologie van cybersecurity en heeft zich met haar onderneming Signpost Six gespecialiseerd in insider risk-management. Zij richt zich op bedreigingen van binnen en buiten de organisatie die door combinaties van aanvalstactieken bedrijven data afhandig maken.

Ikwilmobielwerken.nl sprak met haar over hoe serieus dit security-probleem echt is en wat je er als organisatie tegen kunt doen.



Waarom moeten bedrijven aan de slag met insider risk-management?

‘Bedrijven zijn de afgelopen jaren beter geworden in het weren van aanvallers van buiten de organisatie met technische middelen. Tegelijk weten cybercriminelen steeds beter andere wegen te vinden naar de insiders, de medewerkers van de organisatie. Via manipulatie en bedrog, door middel van phishing, of spear phishing, weten zij de organisatie data afhandig te maken. Tegenwoordig zijn bijvoorbeeld vooral Chinese cybercriminelen actief om medewerkers openlijk via LinkedIn te benaderen.’



Via LinkedIn?

‘Neem voormalig CIA-agent Kevin Mallory, die mei dit jaar is veroordeeld tot twintig jaar gevangenisstraf. Hij had als externe medewerker toegang tot gevoelige data van veiligheidsdiensten en werd door de Chinezen via LinkedIn geronseld, toen hij financieel aan de grond zat. Ronselen via LinkedIn gebeurt en masse.’

‘Ook van mensen in mijn netwerk krijg ik voorbeelden van dergelijk berichten toegestuurd. Wil je wat illegaals voor ons doen? Of je wordt uitgenodigd voor een conferentie in China, op een of andere universiteit en dan blijkt bij aankomst de situatie heel anders te zijn. Het gebeurt anoniem en niet-anoniem. Het verraderlijke is dat je je beveiligingssystemen nog zo up-to-date mag hebben, tegen menselijke kwaadwillendheid kun je je met technologie alleen niet beschermen. ’



Hoe vaak komt digitale diefstal in realiteit voor?

‘Van onbewuste medewerkerslekken is meer statistiek dan over de voorvallen van diefstal. Immers, wat je niet meet, kun je niet weten. Ook zijn er veel ondernemingen die hun vuile was niet buiten hangen, en de toedracht van lekken niet bekend maken.’

‘Er zijn ramingen waarin de verhouding tussen onbewuste datalekken en bewuste diefstal ongeveer 60 tot 40 procent of zelfs 70 tot 30 procent is. In die statistieken zijn ook de hybride vormen van diefstal meegeteld als bewuste lekken. Denk aan gerichte lokacties om insiderkennis te ontfutselen.’



Phishing2 De combinatie maken tussen Fysieke en digitale beveiliging is prioriteit


Speelt dit risico niet vooral bij multinationals en overheidsorganen?

‘Het gebeurt op grote schaal bij ondernemingen die iets technologisch hoogstaands maken, bij innovatieve startups, en bij alle bedrijven waar grote kasstromen doorheen vloeien. In de Verenigde Staten komen de meeste gevallen van digitale bedrijfsdiefstal dan ook in en rond Sillicon Valley voor. Vooral jonge bedrijven met een hoogwaardig technologie zijn vaak zo gefocust op de ontwikkeling van hun technologie, dat ze met die dreiging vergeten rekening te houden.’

‘En als het gaat om de dreiging dat een van je eigen mensen data steelt, daar hoeft maar één ontevreden werknemer die aan de knoppen zit voor nodig te zijn. Een medewerker die data naar de pers lekt bijvoorbeeld – dat heeft niets te maken met de spannende spionage tussen natiestaten. Eén boze werknemer kan veel schade berokkenen.’



Dat gaat dus over menselijk gedrag?

‘Ja, er wordt in de wereld van cyberdeskundigen vaak gezegd dat de menselijke factor het verschil maakt. Maar ik denk dat het dieper gaat: de mens is de basis van alle beveiliging – of het nu gaat om digitale of fysieke beveiliging.’

‘Voor veel organisaties is het moeilijk om de stap naar menselijk gedrag te maken. Het is broodnodig, want veel technische beveiligingsmethoden en middelen houden te weinig rekening met de mensen die het moeten gebruiken.’



Hoe moet je zo’n op menselijk gedrag toegespitste beveiliging vormgeven?

‘Door je mensen te trainen in preventie, bescherming en herstel. Als je geen acties oefent met je mensen, zullen ze zich nooit voldoende bewust worden van het probleem. Dan kun je een mooi meldpunt hebben ingericht, maar zul je geen meldingen ontvangen.’

‘Je moet als organisatie ook de combinatie maken tussen fysieke beveiliging en digitale beveiliging. Immers, cybercriminaliteit is ook steeds vaker een samenspel tussen fysieke en digitale middelen. Denk bijvoorbeeld aan een diefstal van personeelsdata, die later wordt gebruikt om medewerkers middels spear phishing, CEO-fraude of voorstellen voor omkoping te benaderen.’



Kunt u een voorbeeld geven?

‘Neem Hanjuan Yin, die in 2012 op de luchthaven van Chicago werd opgepakt met meer dan duizend vertrouwelijke documenten van communicatietechnologiebedrijf Motorola op zak. Zij had datadiefstal gepleegd, vermoedelijk in Chinese opdracht, al is dat nooit hard gemaakt.’

‘Dat deed zij zowel via digitale weg, als door ouderwets inbraakwerk. Ze downloadde veel data en kopieerde die op haar laptop en usb-sticks, maar had ook dikke dozen papieren documenten meegesmokkeld. Dat laatste bleek op surveillancecamera’s vastgelegd.’



Wat adviseert u bedrijven te doen om zich daartegen te wapenen?

‘Net als dat fysieke beveiligers op één plek cameratoezicht houden over meerdere ruimten, zo is het in de digitale wereld verstandig om de verdachte signalen van meerdere digitale systemen te koppelen.’

‘Als een medewerker bijvoorbeeld het kantoor verlaat en uitcheckt met zijn badge, dan is het verdacht als er op datzelfde moment op de account van die persoon transacties plaatshebben. Het is slim om de signalen uit de fysieke wereld en die uit de digitale wereld te laten samenkomen.’

‘Er zijn er steeds meer ondernemingen met een chief security officer (CSO) die verantwoordelijk is voor zowel fysieke beveiliging als IT-security. Dat is een positieve stap, want generalisten die deze twee verschillende wereldjes begrijpen, hebben een breder overzicht en begrijpen het menselijke gedrag beter dan veel technische specialisten. Stel dus een breed team aan specialisten samen, betrek human resources en de juridische afdeling bij de beveiligingsteams.’

‘De menselijke kant van security moet worden uitgevoerd door het personeel. HR moet daarom betrokken zijn bij zowel cyber- als fysieke security. Leg daarbij de nadruk op preventie en niet alleen detectie en opvolging bij incidenten wanneer deze pas duidelijk worden. Als organisatie hebben we grotendeels zelf in de hand of mensen ontsporen.’

‘Probeer bovendien de kernprocessen van de organisatie te doorgronden en licht ze door op bedreigingen. En richt vervolgens je organisatie zo in om die bedreigingen het hoofd te bieden. Waarom je de processen moet begrijpen? Omdat je dan weet wat een fysieke verandering in een proces voor effecten kan hebben op je cybersecurity.’

Meer weten over de securityrisico’s die jouw bedrijf (onbewust) loopt door mobiel werken en hoe je die risico’s minimaliseert? Of wil je meer informatie over KnowBe4 en wat zij voor jou kunnen beteken? Neem gerust contact met ons op en we adviseren je graag.



Bron: Ikwilmobielwerken.nl