Neem contact op

New Module

Add content here.

security, Cybercrime

Phishing Potpourri: hoe een heerlijke maaltijd werknemers tot veilig digitaal gedrag aanzet

05-september-2019

Steeds meer bedrijven zijn doelwit van hackers en andere kwaadwillenden. Toch wordt over het algemeen nog veel te weinig aandacht besteed aan de gevaren die samenhangen met digitalisering. Begrijpelijk: als bedrijf richt je je liever op je business, ontwikkeling en groei. 

Om cyber security op een andere manier onder de aandacht te brengen heeft T-Systems een aansprekend concept bedacht: Cyber Kitchen. Onze cyber security expert Patrick de Goede van Eijk heeft een passie voor koken én beveiligen. Hij loodst u veilig door de digitale keuken. Eet veilig en eet smakelijk!

blog patrick 700x300

“Zo’n 70 tot 90% van alle hacks wordt nog altijd veroorzaakt door menselijk falen. Maak werknemers daarom op een ludieke wijze bewust van de digitale gevaren die ze lopen.”

Als je eten bereidt, heb je een kookboek nodig. Zeker als je net begint met koken, maar ook de meer geoefende kok maakt er nog steeds gebruik van. Mijn twee kookbijbels zijn ‘De kunst van het koken’ van Julia Child en ‘De Zilveren Lepel’. Hierin staat de basis, bijvoorbeeld op welke temperatuur je vlees moet garen als je het medium rare wilt serveren. Hoe je dit vervolgens doet, bijvoorbeeld in een grillpan of op een bakplaat bepaal je zelf als kok.

Kookboek voor beveiliging

Hetzelfde geldt voor cyber security binnen een bedrijf. De meeste bedrijven hebben een beveiligingsbeleid geformuleerd waarin staat welke protocollen er zijn en hoe medewerkers zich moeten gedragen zodat geen belangrijke informatie op straat komt te liggen. Een soort ‘kookboek’ waarin de beveiligingsbasis van een bedrijf staat. Uiteraard is deze voor elk bedrijf anders, afhankelijk van het risico dat een bedrijf loopt. Zo heeft de bakkerij op de hoek misschien alleen een website om zijn producten te promoten en niets met klantgegevens te maken. Met alleen een goede firewall kom je dan al een heel eind. Maar dezelfde aanpak is zeker niet voldoende voor een bank waarbij klanten elektronisch kunnen bankieren.

Security begint met bewustzijn van risico’s

Een belangrijk uitgangspunt in elke beveiligingsbasis is: zorg ervoor dat je geen openstaande deuren hebt naar het internet. Of deuren die makkelijk open te maken zijn. Dat weet eigenlijk iedereen binnen een bedrijf, maar desondanks komt het regelmatig voor dat iemand bewust of onbewust een deur wagenwijd openzet. Of de sleutel onder de spreekwoordelijke deurmat legt. Phishing, datalekken, een ontslagen medewerker die bedrijfsgegevens meeneemt: het is allemaal aan de orde van de dag. Zo’n 70 tot 90% van de cyber ongelukken gebeurt door menselijk falen. En de gevolgen kunnen groot zijn. AVG-wetgeving staat toe boetes uit te delen tot 4% van de jaaromzet aan bedrijven bij wie klantgegevens op straat komen te liggen. Los van de imagoschade die je dan als bedrijf loopt.

Mens blijft de zwakste schakel

Wat moet je doen? Het helemaal dichtzetten van je digitale deuren is helaas onmogelijk, zelfs niet als je heel veel geld uitgeeft. Zo maakte ik een weddenschap met de CIO van een bedrijf in Ierland dat ik binnen één dag aan minstens 10 usernamen inclusief wachtwoorden zou komen. Het bedrijf had net 6 miljoen euro aan beveiligingsmaatregelen geïmplementeerd. Op mijn precies in het bedrijfsstijl nagemaakte mailtje met ‘Klik hier voor je kerstpakket’ reageerde 65% van de aangeschreven werknemers. Weddenschap gewonnen. Het laat zien hoe eenvoudig het is om binnen te komen. Uiteindelijk kun je miljoenen uitgeven aan maatregelen, als je mensen onzorgvuldig handelen, dan blijven de deuren wagenwijd open staan.

Maar hoe creëer je bewustwording?

Bewustwording, daar begint cyber security mee. Dat is nog steeds onvoldoende bij de meeste bedrijven. Hoe zorg je ervoor dat je werknemers van hoog tot laag zich bewust zijn van de digitale gevaren? Een handtekening onder je security policy bij indiensttreding of het eenmalig rondsturen van een foldertje is niet voldoende. Het moet een terugkerend onderwerp zijn in de organisatie. Want net als je af en toe weer eens een kookboek moet openslaan om te achterhalen wat nou ook alweer precies de ingrediënten zijn voor een bepaald gerecht, moet je ook de belangrijkste regels van je beveiligingsbeleid onder de aandacht blijven brengen.

Herhaling, herhaling, herhaling

Herhaling dus, op zo’n manier dat het wél blijft hangen. Je hebt eigenlijk twee manieren om je boodschap over de bühne te brengen. Afschrikken: krijgt een concullega een hoge boete vanwege een datalek? Deel het vooral in je organisatie. Een ludieke insteek werkt ook goed. Hou het licht, maak het grappig of haak aan bij een onderwerp dat mensen in de organisatie interessant vinden. Zo hebben wij in ons Cyber Kitchen kookboek allerlei heerlijke gerechten verzameld met veelal een dikke knipoog naar de digitale gevaren. Zoals de heerlijke stoofpot ‘Phishing Potpourri’ of het fantastische ‘Trojaanse varkenshaas met Honeypotsaus’. Gerechten die mensen niet alleen laten genieten, maar hopelijk ook tot actie aanzetten. Want iedereen is verantwoordelijk binnen het bedrijf. Elke medewerker vormt een schakel in de beveiligingsketen.

Kom naar Cyber Kitchen security cooking op 31 oktober

Lees meer over security op onze website.

Patrick de Goede van Eijk

Geschreven door Patrick de Goede van Eijk

Patrick de Goede van Eijk is Expert Security / Cyber Security Architect en werkzaam bij T-Systems sinds 2011 en is ruim 25 jaar actief in de ICT branche in diverse vakgebieden. De business impact van security maatregelen en wetgeving heeft zijn focus en persoonlijke interesse.