In tien stappen naar een veilig bedrijf? Helaas is het niet zo eenvoudig. Met het 10-fasen model wil KnowBe4 partners en eindklanten op zijn minst een ruw stappenplan geven over hoe ze hun security awareness kunnen vergroten.
Het is kort voor 17.00 uur. Beate begint zonder stoom te komen. Sollicitatiebrieven voor een nieuwe baan stapelen zich op in haar inbox. Zij werkt op de personeelsafdeling van een middelgrote papierfabrikant en hoewel zij de sollicitaties grondig wil controleren, wil zij er ook eindelijk een punt achter zetten. Ze opent een bericht. In de bijlage vindt ze nog een CV, klikt erop, leest. Zo gaat het een half uur door tot ze de computer afsluit en naar huis gaat. Wat Beate niet weet: de laatste email was een phishing aanval. En van de ene op de andere dag krijgt een cybercrimineel dan toegang tot bedrijfsgegevens.
Het 10-fasenmodel
Maar deze e-mail was zeker niet de eerste aanval op de papierfabriek. Volgens G Data, een aanbieder van trainingen in beveiligingsbewustzijn, krijgt een bedrijf dagelijks te maken met gemiddeld 350 verschillende phishing-e-mails die vermomd zijn als sollicitatie of factuur. Veiligheidsbewustzijn is geen nieuwe trend. Reeds in 1992 publiceerde de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) richtsnoeren voor de beveiliging van informatiesystemen.
De aanbieder KnowBe4 kan ook terugkijken op een lange ervaring in het aanbieden van opleidingsmateriaal over veiligheidsbewustzijn aan bedrijven. KnowBe4 biedt al tien jaar een leerplatform aan klanten en partners. De leersnelheid varieert naar gelang van de omvang van de organisatie, de vestigingsplaats van het bedrijf en de bedrijfstak. De provider heeft niettemin vergelijkbare patronen kunnen vaststellen en heeft het veiligheidsbewustzijn in tien fasen onderverdeeld. Het model is bedoeld om ondernemingen mogelijke stappen te tonen in de richting van een hoog niveau van veiligheidsbewustzijn.
1. Fase: Verhoogd bewustzijn bij informatiebeveiligings- en IT-deskundigen
Zelfs als ze deskundigen zijn, kunnen IT-deskundigen worden getroffen door phishing. Daarom moeten zij in het bijzonder een hoog niveau van veiligheidsbewustzijn hebben en de noodzaak inzien van het onderwijzen van veiligheidsbewustzijn.
2. Fase: Verstrekking van bewustmakingsinhoud
Volgens KnowBe4 behoren presentaties tot de eerste maatregelen bij kennisoverdracht. Toegegeven, de resultaten van deze ouderwetse manier van bijbrengen zijn niet erg doelgericht. Toch wordt het door de fabrikant geclassificeerd als een eerste belangrijke stap om op zijn minst een paar basisprincipes te creëren.
3e fase: platformautomatisering
In plaats van presentatie wordt nu een Learning Management System (LMS) geïmplementeerd. Het automatiseren van de processen voor het leveren van opleidingen en van gepersonaliseerde inhoud is de tweede stap en markeert de derde fase waarin het bedrijf zich nu bevindt. “Door het repetitieve testen van medewerkers te automatiseren, hebben IT-managers meer tijd om zich op andere gebieden te ontwikkelen, bijvoorbeeld threat hunting”, voegt Jelle Wieringa, Security Awareness Advocate bij KnowBe4, toe.
4. Fase: Voortdurend testen
Werknemers moeten na de opleidingen regelmatig via het platform worden getest om er zeker van te zijn dat de verworven kennis ook daadwerkelijk is vastgehouden.
5. Fase: Ondersteuning via technologie
In deze fase worden de opleidingen aangevuld met technologie. KnowBe4 biedt voor dit doel de Phish Alert knop aan. Dit wordt geïnstalleerd in de e-mailclients van de eindgebruikers, zodat zij met één druk op de knop phishing-e-mails kunnen melden aan het Incident Response Team of het SOC. “Technologie ter ondersteuning van het personeel dient in dit geval als een hulpmiddel, alleen degenen die het goed kunnen gebruiken, kunnen het gebruiken. Ook hiervoor is opleiding nodig, en het personeel moet ervaring opdoen met het gebruik ervan om het goed te kunnen gebruiken. Maar uiteindelijk is het altijd de persoon die moet beslissen, de technologie neemt dat niet van hem weg,” zegt Wieringa.
6. Fase: Orkestratie van beveiliging
In de volgende fase worden de gemelde e-mails geïntegreerd in een beveiligingsworkstream die hun risiconiveau beoordeelt. In het geval van een bedreiging grijpt de software automatisch in de inbox van alle gebruikers in om schadelijke berichten onschadelijk te maken voordat verdere schade wordt aangericht.
7. Fase: beheer van gebruikersgedrag
Met gedetailleerde risicometriek over zowel individuele gebruikers als groepen gebruikers kunnen organisaties nu campagnes op maat maken op basis van waargenomen risicogedrag. Bovendien wordt in deze fase onjuist wachtwoordgedrag onder de aandacht gebracht en worden trainingsmodules op maat verzonden naar werknemers met een hoog risico.
8e fase: adaptieve leerervaring
In de volgende fase krijgen eindgebruikers toegang tot een aangepaste gebruikersinterface waar ze hun risicoscore kunnen bekijken, prijzen kunnen ontvangen en aan verdere training kunnen deelnemen. In deze fase maken geavanceerde meetgegevens ook ML- en AI-gestuurde campagnes mogelijk, waarbij elke gebruiker zeer geïndividualiseerde training in beveiligingsbewustzijn ontvangt.
9e fase: Actieve betrokkenheid van werknemers bij de algehele beveiligingshouding
Hier wordt de gebruiker zich bewust van zijn rol in de verdediging van het bedrijf en kiest hij actief voor aanvullende training om zijn risicoscore te verlagen. De gebruiker heeft inmiddels het besef dat hij zelf het eindpunt is geworden.
10. Fase: de werknemer als menselijke firewall
Elke werknemer is zich voldoende bewust van de risico’s die gepaard gaan met cyberbeveiliging en neemt elke dag intelligente beveiligingsbeslissingen op basis van een duidelijk inzicht in die risico’s.
Bewustzijn is individueel
“Een inschatting in welke fase een bedrijf zich bevindt, is zelfs voor deskundigen niet altijd eenvoudig te maken”, begint Wieringa op de vraag in welke fase van veiligheidsbewustzijn de papierfabriek waar Beate werkt zich bevindt. “Het kan lijken alsof bepaalde aspecten van een fase zijn ingevoerd, maar het blijft meestal open hoe goed deze ingevoerde processen werken. Een voorbeeld ter illustratie. Een bedrijf zet geautomatiseerde phishingcampagnes in die zijn toegesneden op een specifieke afdeling. Maar voor de andere departementen zijn helemaal geen campagnes ontwikkeld. De werknemers van de verschillende afdelingen wisselen echter informatie met elkaar uit. Is het dan voldoende om slechts één bepaalde afdeling op te leiden om een nieuwe fase te bereiken? Nee, integendeel, het is belangrijk om alle afdelingen te trainen om als bedrijf een nieuwe fase te bereiken.”
Als executives of IT-managers willen weten in welke fase ze zich specifiek bevinden, raadt Wieringa tools aan zoals business impact analyses, cybersecurity maturity modelling frameworks of compliance assessments. “Het is minder belangrijk te weten waar je bent dan waar je heen wilt. Leiders moeten eerder nadenken over een stappenplan en de hele organisatie bij dat stappenplan betrekken. Het 10-fasenmodel is een instrument dat bedrijven in dit proces kunnen gebruiken om het management te laten zien wat security awareness kan en moet doen.”
Het uiteindelijke doel van training is volgens Wieringa de menselijke firewall. Elke werknemer moet duidelijk weten waarom zijn rol belangrijk is voor de veiligheid en hoe hij zich in zijn dagelijks werk moet gedragen of handelen. “De meeste organisaties komen uit een positie waarin cyberveiligheid vaak wordt gezien als een IT-probleem. Als gevolg daarvan denken CEO’s dat IT-managers het probleem moeten oplossen. Dit is een misvatting. Cyberbeveiliging is iets dat de hele organisatie aangaat. Elke werknemer, in de hele organisatie, moet hier actief aan bijdragen.”
Op een gegeven moment zal de fout van Beate worden opgemerkt. Nog niet de volgende maandagmorgen, en misschien zelfs niet de maandag daarna. Als de papierfabriek geluk heeft, zal iemand de aanval zo snel mogelijk opmerken en passende tegenmaatregelen nemen. Een maatregel op lange termijn moet een bedrijfsbrede veiligheidsbewustmakingsopleiding zijn. Tot die tijd kan de hacker zich nu ongestoord door het bedrijfsnetwerk bewegen.