In een tijd van toenemende cyberaanvallen en telewerken is bedrijfsbeveiliging belangrijker dan ooit. Een van de risicofactoren is menselijke nalatigheid. Beveiligingsconsultant Hélène Courtecuisse bekijkt hoe belangrijk het is om werknemers bewust te maken van goede praktijken en hoe dit aan te pakken..
Als het om cyberveiligheid gaat, zijn er twee manieren om naar de menselijke dimensie te kijken: overwegen dat het menselijke element een zwakke schakel is, "menselijke nalatigheid", of besluiten om er de sterke schakel van te maken. Uiteraard vullen de twee percepties elkaar aan, maar het is essentieel om de dialoog niet te richten op de eerste, die negatief en enigszins defaitistisch blijft.
Temeer omdat het probleem al bestond vóór het tijdperk van digitale transformatie. Het was anders, want het internet was net begonnen. Systemen waren niet open en zonder smartphones of laptops had de beveiliging van bedrijven niet de problemen die de mobiele wereld van vandaag met zich meebrengt. Maar inbreuken op de vertrouwelijkheid hielden niet minder verband met menselijke nalatigheid. Omdat er veel wantrouwen was tegen fysieke spionage, moesten bedrijven erop vertrouwen dat hun werknemers bepaalde goede praktijken toepasten, zoals het opsluiten van documenten.
De technologie mag dan anders zijn, van werknemers wordt nog steeds gevraagd voorzichtig te zijn. Het zijn de basisvoorzorgen en -risico's die zijn veranderd.
Risico's die moeilijk in te schatten zijn
Om te beginnen zijn de risico's moeilijker te begrijpen. Ze zijn gevarieerder en soms veel technischer. Ze nemen verschillende vormen aan die niet-experts kunnen verbijsteren. En dan hebben we het nog niet eens over het feit dat aanvallen "stil" en volledig onzichtbaar zijn. Je realiseert je bijvoorbeeld misschien niet dat een website waarop je een aankoop wilt doen, of die nu van een bekend merk is of niet, besmet is met een malware.
Als het gaat om cybersurveillance, hebben we het tegenwoordig over high-tech. Aanvallen zijn talrijker, geavanceerder en veel moeilijker tegen te gaan. Toch blijft het verhogen van het bewustzijn van de basisrisico's bij werknemers, zelfs niet-specialisten, niet alleen mogelijk maar absoluut noodzakelijk.
We kunnen natuurlijk niet verwachten dat we elk onderwerp in één dag kunnen behandelen. Bovendien kunnen zelfs specialisten niet beweren dat ze alle instructies kunnen toepassen op 100 %. Op dit gebied moeten we elk idee van perfectie opgeven. In plaats daarvan moeten we ons richten op het opleiden van mensen in de loop van de tijd. In het geval van OIV's (Opérateurs d'importance vitale - operatoren van vitaal belang), dat zijn bedrijven die onder de militaire programmeringswet vallen (bankwezen, voeding, enz.), zijn er bovendien een verplichting om minstens één keer per jaar training te geven aan alle werknemers. Beste praktijken moeten evolueren met de technologie.
Bedreigingen om (opnieuw) bewust van te zijn
Er zijn momenteel twee hoofdcategorieën cyberbedreigingen:
Phishing
Een indrukwekkend aantal e-mails van phishing circuleren. Ze moedigen mensen aan om op een link te klikken, een bijlage te openen en persoonlijke informatie te geven. Klikken is al gevaarlijk genoeg, maar sommige mensen trappen toch in de val en geven de gevraagde informatie. Het probleem, naast het gebrek aan bewustzijn, is dat phishing e-mails steeds geloofwaardiger worden. Waar je een tijd geleden een phishing e-mail kon herkennen aan de onnauwkeurige spelling, hebben we nu bijna perfecte opmaak die opgaat in de rest, bijvoorbeeld valse facturen met het bedrijfslogo.
Malware en ransomware
Malware kan vele vormen aannemen. Bijzonder subtiel ransomware installeert zichzelf als een programma. Het begint met het uitschakelen van de antivirus, baant zich dan een weg door het netwerk en valt vaak eerst back-ups aan. Vervolgens versleutelt het alle bestanden op de computers en servers waar het toegang toe heeft. Op deze manier hebben aangevallen bedrijven geen andere keuze dan het losgeld te betalen om hun gegevens terug te krijgen. Helaas is het betalen van losgeld geen garantie dat de gegevens worden hersteld.
De complexiteit van deze bedreigingen is in toenemende mate gebaseerd op processen die worden gefinancierd door een "financiële crisis". nieuwe maffia". We moeten het beeld van de eenzame hacker in zijn garage vergeten: tegenwoordig hebben we het over organisaties met financiële middelen die hackers in dienst nemen. Kortom, cybercriminaliteit is geïndustrialiseerd.
Werknemers trainen in cyberveiligheid: een kwestie van context
Om met deze bedreigingen om te gaan, is het belangrijk dat mensen de cyberbeveiligingsinstructies die ze krijgen begrijpen. Anders is het moeilijk om de relevantie in te zien van zoveel lijsten met aanbevelingen, instructies en goede praktijken die vaak beperkend zijn... Het trainen van uw medewerkers is zinloos als u er niet voor zorgt dat ze de context beter begrijpen, en dus dat ze zich eraan houden en op de lange termijn gemotiveerd blijven om ze toe te passen.
Het doel is natuurlijk om te kijken naar de technische aspecten, per risicocategorie, maar vooral om een beter begrip te krijgen van de resulterende goede praktijken. Je sessie afsluiten en je documenten opbergen, bijvoorbeeld, zijn eenvoudige praktijken die in de categorie risico's vallen die te wijten zijn aan social engineering, een manipulatieve praktijk die bedoeld is om vertrouwelijke informatie af te persen. In de categorie onderscheppingsrisico's is het belangrijk om vertrouwelijke berichten en bestanden te versleutelen als je ze verstuurt, vooral naar iemand buiten het bedrijf. En, vooral met betrekking tot de hierboven genoemde ransomware, vergeet niet om regelmatig back-ups te maken van belangrijke documenten op externe media, ook al, laten we niet vergeten, bestaat er niet zoiets als nulrisico en ben je niet immuun voor verlies of diefstal.
Door deze technische kennis in de juiste context te plaatsen, kunnen we ook op de hoogte blijven van de nieuwste ontwikkelingen. Omdat technologieën evolueren, veranderen risico's en worden instructies minder betrouwbaar. Ons doel is dus niet per se om experts op te leiden, maar vooral om mensen aan te moedigen meer zelfkennis te verwerven door zichzelf vragen te stellen. Vandaag is het belangrijkste advies dat we geven: zoek uit voordat je vertrouwt. Is deze site bekend? Heeft hij goede beoordelingen bij de zoekmachines? Is die link op Facebook niet dubieus? Uiteindelijk moet een medewerker die goed op de hoogte is van cyberbeveiliging vooral beschikken over een beetje technische kennis en een zekere mate van wantrouwen.
