De combinatie tussen fysieke en digitale beveiliging

Security is nog steeds een hoofdpijndossier, blijkt uit onderzoek. Medewerkers worden vaak als de zwakste schakel gezien. Psychologe Elsine van Os legt uit waarom menselijk gedrag de basis is van optimale beveiliging – zowel digitaal als fysiek. En hoe je dat als organisatie beter kunt vormgeven.



Een bewaakt pand, controle bij de poort, medewerkers die na laat doorwerken begeleid worden naar de bushalte. Bedrijven doen er alles aan om een zo veilig mogelijke omgeving te creëren. Maar is dat digitaal ook zo vanzelfsprekend? Nee, zo blijkt uit onderzoek van MT, Proact en NetApp onder IT-verantwoordelijken.

Vooral het budget is een heikel punt, slechts 39 procent heeft naar eigen zeggen voldoende geïnvesteerd in IT-security om veilig te zijn. Een van de grootste uitdaging? De medewerkers. 59 procent van de IT-verantwoordelijken erkent dat werknemers vaak de zwakste schakel zijn en heeft daarom awareness-programma’s geïntroduceerd om het bewustzijn onder werknemers te vergroten.

Van Os is inlichtingen- en security-deskundige en sprak over digitale en fysieke dreigingen tijdens de One-Conference in Den Haag. Zij houdt zich bezig met de psychologie van cybersecurity en heeft zich met haar onderneming Signpost Six gespecialiseerd in insider risk management. Zij richt zich op bedreigingen van binnen en buiten de organisatie die door combinaties van aanvalstactieken bedrijven data afhandig maken.

Wij spraken haar over hoe serieus dit security-probleem echt is en wat je er als organisatie tegen kunt doen.



Waarom moeten bedrijven aan de slag met insider risk management?

‘Bedrijven zijn de afgelopen jaren beter geworden in het weren van aanvallers van buiten de organisatie met technische middelen. Tegelijk weten cybercriminelen steeds beter andere wegen te vinden naar de insiders, de medewerkers van de organisatie. Via manipulatie en bedrog, door middel van phishing, of spear phishing, weten zij de organisatie data afhandig te maken. Tegenwoordig zijn bijvoorbeeld vooral Chinese cybercriminelen actief om medewerkers openlijk via LinkedIn te benaderen.’



Werknemers worden door cybercriminelen via LinkedIn benaderd?

‘Neem voormalig CIA-agent Kevin Mallory, die mei dit jaar is veroordeeld tot twintig jaar gevangenisstraf. Hij had als externe medewerker toegang tot gevoelige data van veiligheidsdiensten en werd door de Chinezen via LinkedIn geronseld, toen hij financieel aan de grond zat. Ronselen via LinkedIn gebeurt en masse.’

‘Ook van mensen in mijn netwerk krijg ik voorbeelden van dergelijk berichten toegestuurd. Wil je wat illegaals voor ons doen? Of je wordt uitgenodigd voor een conferentie in China, op een of andere universiteit en dan blijkt bij aankomst de situatie heel anders te zijn. Het gebeurt anoniem en niet-anoniem. Het verraderlijke is dat je je beveiligingssystemen nog zo up-to-date mag hebben, tegen menselijke kwaadwillendheid kun je je met technologie alleen niet beschermen. ’



Hoe vaak komt digitale diefstal in realiteit voor?

‘Van onbewuste medewerkerslekken is meer statistiek dan over de voorvallen van diefstal. Immers, wat je niet meet, kun je niet weten. Ook zijn er veel ondernemingen die hun vuile was niet buiten hangen, en de toedracht van lekken niet bekend maken.’

‘Er zijn ramingen waarin de verhouding tussen onbewuste datalekken en bewuste diefstal ongeveer 60 tot 40 procent of zelfs 70 tot 30 procent is. In die statistieken zijn ook de hybride vormen van diefstal meegeteld als bewuste lekken. Denk aan gerichte lokacties om insiderkennis te ontfutselen.’



Speelt dit risico niet vooral bij multinationals en overheidsorganen?

‘Het gebeurt op grote schaal bij ondernemingen die iets technologisch hoogstaands maken, bij innovatieve startups, en bij alle bedrijven waar grote kasstromen doorheen vloeien. In de Verenigde Staten komen de meeste gevallen van digitale bedrijfsdiefstal dan ook in en rond Sillicon Valley voor. Vooral jonge bedrijven met een hoogwaardig technologie zijn vaak zo gefocust op de ontwikkeling van hun technologie, dat ze met die dreiging vergeten rekening te houden.’

‘En als het gaat om de dreiging dat een van je eigen mensen data steelt, daar hoeft maar één ontevreden werknemer die aan de knoppen zit voor nodig te zijn. Een medewerker die data naar de pers lekt bijvoorbeeld – dat heeft niets te maken met de spannende spionage tussen natiestaten. Eén boze werknemer kan veel schade berokkenen.’



Dat gaat dus over menselijk gedrag?

‘Ja, er wordt in de wereld van cyberdeskundigen vaak gezegd dat de menselijke factor het verschil maakt. Maar ik denk dat het dieper gaat: de mens is de basis van alle beveiliging – of het nu gaat om digitale of fysieke beveiliging.’

‘Voor veel organisaties is het moeilijk om de stap naar menselijk gedrag te maken. Het is broodnodig, want veel technische beveiligingsmethoden en middelen houden te weinig rekening met de mensen die het moeten gebruiken.’



Hoe moet je zo’n op menselijk gedrag toegespitste beveiliging vormgeven?

‘Door je mensen te trainen in preventie, bescherming en herstel. Als je geen acties oefent met je mensen, zullen ze zich nooit voldoende bewust worden van het probleem. Dan kun je een mooi meldpunt hebben ingericht, maar zul je geen meldingen ontvangen.’

‘Je moet als organisatie ook de combinatie maken tussen fysieke beveiliging en digitale beveiliging. Immers, cybercriminaliteit is ook steeds vaker een samenspel tussen fysieke en digitale middelen. Denk bijvoorbeeld aan een diefstal van personeelsdata, die later wordt gebruikt om medewerkers middels spear phishing, CEO-fraude of voorstellen voor omkoping te benaderen.’



Kunt u een voorbeeld geven van de combinatie tussen fysieke en digitale dreiging?

‘Neem Hanjuan Yin, die in 2012 op de luchthaven van Chicago werd opgepakt met meer dan duizend vertrouwelijke documenten van communicatietechnologiebedrijf Motorola op zak. Zij had datadiefstal gepleegd, vermoedelijk in Chinese opdracht, al is dat nooit hard gemaakt.’

‘Dat deed zij zowel via digitale weg, als door ouderwets inbraakwerk. Ze downloadde veel data en kopieerde die op haar laptop en usb-sticks, maar had ook dikke dozen papieren documenten meegesmokkeld. Dat laatste bleek op surveillancecamera’s vastgelegd.’



Wat adviseert u bedrijven te doen om zich daartegen te wapenen?

‘Net als dat fysieke beveiligers op één plek cameratoezicht houden over meerdere ruimten, zo is het in de digitale wereld verstandig om de verdachte signalen van meerdere digitale systemen te koppelen.’

‘Als een medewerker bijvoorbeeld het kantoor verlaat en uitcheckt met zijn badge, dan is het verdacht als er op datzelfde moment op de account van die persoon transacties plaatshebben. Het is slim om de signalen uit de fysieke wereld en die uit de digitale wereld te laten samenkomen.’



Stel een breed team van specialisten samen

‘Er zijn er steeds meer ondernemingen met een chief security officer (CSO) die verantwoordelijk is voor zowel fysieke beveiliging als IT-security. Dat is een positieve stap, want generalisten die deze twee verschillende wereldjes begrijpen, hebben een breder overzicht en begrijpen het menselijke gedrag beter dan veel technische specialisten. Stel dus een breed team aan specialisten samen, betrek human resources en de juridische afdeling bij de beveiligingsteams.’



Betrek HR bij security-uitdagingen

‘De menselijke kant van security moet worden uitgevoerd door het personeel. HR moet daarom betrokken zijn bij zowel cyber- als fysieke security. Leg daarbij de nadruk op preventie en niet alleen detectie en opvolging bij incidenten wanneer deze pas duidelijk worden. Als organisatie hebben we grotendeels zelf in de hand of mensen ontsporen.’



Doorgrond je kernprocessen

‘Probeer bovendien de kernprocessen van de organisatie te doorgronden en licht ze door op bedreigingen. En richt vervolgens je organisatie zo in om die bedreigingen het hoofd te bieden. Waarom je de processen moet begrijpen? Omdat je dan weet wat een fysieke verandering in een proces voor effecten kan hebben op je cybersecurity.’


Heb je vragen over dit onderwerp of wil je meer informatie over wat wij voor jou kunnen betekenen hierin? Neem gerust contact met ons op, we helpen je graag verder.

Bron: Ikwilmobielwerken.nl