In een tijd van toenemende cyberaanvallen en telewerken is cyberbeveiliging van bedrijven belangrijker dan ooit. Een van de risicofactoren: menselijke nalatigheid. Hélène Courtecuisse, beveiligingsconsulent, bespreekt het belang en de manier waarop u uw medewerkers bewust kunt maken van goede praktijken.
Als het om cybersecurity gaat, zijn er twee manieren om de menselijke dimensie te benaderen: overwegen dat mensen een zwakke schakel vormen, “menselijke nalatigheid”, of besluiten om van hen de sterke schakel te maken. Het is duidelijk dat de twee percepties elkaar aanvullen; maar het is essentieel om de dialoog niet te concentreren op het eerste, dat negatief en enigszins defaitistisch blijft.
Vooral omdat het probleem al bestond vóór het tijdperk van de digitale transformatie. Het was anders, aangezien het internet nog maar net was begonnen. De systemen waren niet open en zonder smartphones of laptops ondervond de bedrijfsbeveiliging niet de moeilijkheden die de huidige mobiliteit met zich meebrengt. Maar de inbreuken op de privacy hielden niet minder verband met deze menselijke nalatigheid. Omdat vooral fysieke spionage werd gewantrouwd, waren bedrijven afhankelijk van hun medewerkers om bepaalde best practices toe te passen, zoals het achter slot en grendel houden van documenten.
Als technologie er vandaag de dag niets mee te maken heeft, vragen we altijd aan de medewerkers van het bedrijf om voorzichtig te zijn. Dit zijn de basisvoorzorgsmaatregelen en risico's die zijn veranderd.
Risico's die moeilijk te begrijpen zijn
Om te beginnen zijn de risico's ingewikkelder om te begrijpen. Ze zijn gevarieerder, soms veel technischer. Ze nemen verschillende vormen aan die iedereen die geen expert is, van streek kunnen maken. Om nog maar te zwijgen over het feit dat de aanvallen “stil” en volledig onzichtbaar worden uitgevoerd. Het kan zijn dat we ons bijvoorbeeld niet realiseren dat een website waarop we een aankoop willen doen, ongeacht of deze van een bekend merk is, besmet is met malware.
Wat cybercriminaliteit betreft, hebben we het vandaag over hoogwaardige technologieën. De aanvallen zijn talrijker, geavanceerder geworden en veel moeilijker te bestrijden. Het vergroten van het bewustzijn over basisrisico’s onder medewerkers, ook niet-specialisten, blijft echter niet alleen mogelijk, maar absoluut noodzakelijk.
Het is uiteraard niet onze bedoeling om alle onderwerpen in één dag te behandelen. Bovendien kunnen zelfs specialisten niet beweren dat ze alle instructies op 100 % hebben toegepast. Op dit gebied moeten we rouwen om elk idee van perfectie. In plaats daarvan moeten we ons concentreren op het opleiden van mensen in de loop van de tijd. In het geval van OIV’s (operatoren van vitaal belang), dit zijn bedrijven die onderworpen zijn aan de militaire programmeringswet (banken, voedselsectoren, enz.), zijn er ook een verplichting om minstens één keer per jaar te zorgen voor opleiding voor alle werknemers. Best practices moeten mee evolueren met de technologie.
Bedreigingen om te (her)kennen
Er zijn momenteel twee hoofdcategorieën cyberdreigingen:
Phishing
Er circuleert een duizelingwekkende hoeveelheid phishing-e-mails. Ze misleiden mensen zodat ze op een link klikken, een bijlage openen en persoonlijke informatie verstrekken. Klikken is al gevaarlijk, maar sommige mensen trappen nog steeds in de val en verstrekken de gevraagde informatie. Het probleem, afgezien van het gebrek aan bewustzijn, is dat phishing-e-mails steeds geloofwaardiger worden. Là où, il y a quelque temps, on pouvait repérer un e-mail de phishing à son orthographe douteuse, on a désormais des mises en forme quasi parfaites qui se fondent dans la masse, par exemple de fausses factures avec le logo de l' onderneming.
Malware en ransomware
Malware die vele vormen kan aannemen. Bijzonder subtiel installeert de ransomware zichzelf als een programma. Het begint met het uitschakelen van de antivirus en werkt zich vervolgens een weg omhoog door het netwerk en valt vaak eerst back-ups aan. Vervolgens begint het met het coderen van alle bestanden op de computers en servers waartoe het toegang heeft. Op deze manier hebben aangevallen bedrijven geen andere keuze dan het losgeld te betalen om hun gegevens te herstellen. Het betalen van het losgeld garandeert helaas niet dat uw gegevens worden gevonden.
De complexiteit van deze bedreigingen berust in toenemende mate op processen die worden gefinancierd door een “ nieuwe maffia ". We moeten het beeld van de eenzame hacker in zijn garage vergeten: vandaag hebben we het over organisaties met financiële middelen die hackers als werknemers werven. Kortom, cybercriminaliteit is geïndustrialiseerd.
Train uw medewerkers in cybersecurity: een verhaal vol context
Om deze bedreigingen het hoofd te kunnen bieden, is het belangrijk dat mensen de cyberbeveiligingsinstructies begrijpen die ze krijgen. Anders is het moeilijk om de relevantie in te zien van zoveel lijsten met aanbevelingen, instructies en goede praktijken die vaak restrictief zijn... Het trainen van uw medewerkers heeft geen zin als u er niet voor zorgt dat zij de context beter begrijpen, en dus dat zij houden en op lange termijn gemotiveerd blijven om ze toe te passen.
Het gaat uiteraard om het aanpakken van de technische aspecten, per risicocategorie, maar vooral om de resulterende goede praktijken beter te begrijpen. Het afsluiten van uw sessie en het opbergen van uw documenten zijn bijvoorbeeld eenvoudige praktijken die in de risicocategorie vallen vanwege social engineering, een manipulatieve praktijk gericht op het afpersen van vertrouwelijke informatie. In de categorie van onderscheppingsrisico's moet u denken aan het versleutelen van vertrouwelijke berichten en bestanden om ze te verzenden, vooral naar iemand buiten het bedrijf. En vooral met betrekking tot de hierboven genoemde ransomware zullen we overwegen om regelmatig back-ups te maken van belangrijke documenten op externe media, zelfs als er, laten we niet vergeten, geen enkel risico bestaat en we niet beschermd zijn tegen verlies of diefstal.
Door deze technische kennis in context te plaatsen, wordt het ook mogelijk om up-to-date te blijven. Omdat technologieën evolueren, veranderen de risico's en worden instructies minder betrouwbaar. We zullen daarom niet noodzakelijkerwijs proberen experts op te leiden, maar vooral mensen aanmoedigen om meesterschap te verwerven door vragen te stellen. Het belangrijkste advies dat we vandaag geven is: ontdek het voordat je vertrouwt. Is deze site bekend? Heeft het goede recensies op zoekmachines? Is deze link op Facebook niet dubieus? Uiteindelijk moet een medewerker die cybersecurity goed kent vooral een beetje technische achtergrond hebben, en een zekere dosis wantrouwen.
