Security awareness blijft het ondergeschoven kindje van informatiebeveiliging, althans zo lijkt het. Hoe kan het anders dat er anno 2015 nog steeds mensen zijn die attachments (in .zip-formaat) openen en vervolgens besmet raken met ransomware? Buiten het kader van dit stukje om, is het overigens de mening van de schrijver dat het bedrijfsbeleid moet zijn om attachments in zip-formaat direct uit de mail te filteren. Immers, bestandscompressie is iets ‘from the old days’ toen bandbreedte en storage nog schaars waren. Als men nu een bestand op een ‘veilige’ manier wil verpakken bestaan daar prima alternatieven voor, bijvoorbeeld via encryptie.
Maar goed, security awareness dus. De afgelopen maanden, en zelfs zeer recent nog, werden diverse gemeenten getroffen door gevalletjes ransomware.
Een aanval met ransomware staat vaak op zichzelf en wordt vooral door cybercriminelen ingezet om quick wins te behalen. Het “losgeld”, vaak zo rond de 600 euro, staat in geen verhouding tot de nevenschade die een organisatie oploopt. In het geval van een recente ransomware-infectie bij de gemeente Amstelveen - notabene veroorzaakt door het klikken op een link in een privé-mail via de webbrowser - werd de gehele ICT-dienstverlening een middag stilgelegd. Het moge duidelijk zijn dat niet alleen de gemeente veel schade - denk ook aan het imago! - heeft, maar dat ook burgers en bedrijven hiervan hinder of zelfs financiële schade ondervinden.
Het komt zelfs voor dat bedrijven meer dan eens op een zelfde wijze getroffen worden. Hoe luidt ook al weer dat spreekwoord? En had een Security Awareness programma hier iets kunnen betekenen?
Natuurlijk is niet elke mail hetzelfde en ziet de professionele phishing mail er tegenwoordig bedrieglijk echt uit. Maar door het creëren van besef rondom dreigingen en gevolgen heeft een Security Awareness programma wel degelijk toegevoegde waarde en hadden de gevolgen van een ransomware aanval simpel voorkomen kunnen worden.
Phishing-mails, ransomware en foute websites, zijn niet de enige redenen voor een Security Awareness programma. Security awareness gaat op voor de gehele organisatie, en komt op diverse niveaus en in verschillende vormen voor. Het gaat er niet alleen om of alle medewerkers veilig met mail en internet omgaan, maar ook dat zij weten hoe te handelen in geval van een incident. Of dat een IT beheerder beseft waar de zwakke plekken in een systeem kunnen zitten en dat een teamleider bij een uitdiensttreding de autorisaties van de desbetreffende gebruiker direct laat intrekken. Security awareness gaat niet alleen over het handelen zelf, maar ook over het besef welke technische en organisatorische maatregelen er mogelijk zijn om de informatiebeveiliging tot een hoger niveau te tillen.
Buiten het feit dat een Security Awareness programma een goede business case heeft, bestaan er ook wettelijke grondslagen. De meest bekende en actuele is wel artikel 13 Wet bescherming persoonsgegevens. In een eerder blog hebben wij dit wetsartikel al belicht en geconcludeerd dat een Security Awareness programma één van de nodige organisatorische maatregelen is ter beveiliging van persoonsgegevens.
Een belangrijke legitimatie voor een Security Awareness programma is gelegen in het fenomeen social engineering. Op het moment dat een organisatie - ongemerkt - onder vuur ligt van een groepering die het om veel meer gaat dan alleen maar wat ‘kleingeld’, worden vaak meerdere aanvalsvectoren gebruikt. Hierbij betreft de belangrijkste vector het ‘menselijke besturingssysteem’. Social engineering technieken zijn en blijven hierbij een factor van betekenis, en het gaat verder dan alleen de digitale benadering. Medewerkers er tegen wapenen kan eigenlijk alleen maar door het creëren van bewustzijn, een gezonde dosis scepsis, waakzaamheid en assertiviteit. Durf bijvoorbeeld een onbekende - zonder pas of begeleiding - op de werkvloer aan te spreken op zijn aanwezigheid. Wees scherp aan te telefoon als een onbekend of afgeschermd nummer belt. Ben prudent daar waar het social media betreft. En besef de waarde van de persoonlijke informatie en bedrijfsgegevens die je achterlaat op LinkedIn en Facebook: “Anything you say can be held against you, and not only in the court of law.”