88% van de cyberincidenten komt voort uit menselijk handelen. Menselijke foutjes met vaak desastreuze gevolgen voor je bedrijf, klanten en medewerkers. Hoe maak je medewerkers bewust van cyberrisico’s, leer je ze cybercrime herkennen en vertel je ze wat te doen (en wat vooral niet) in geval van verdachte situaties? In deze blog lees je waarom het als werkgever van vitaal belang is om awareness rondom cybercriminaliteit te creëren in je organisatie en hoe de juiste software hierbij kan helpen.
Zomaar een nieuwsbericht van de afgelopen tijd: ‘Oplichters slaan toe op X, doen zich voor als klantenservice’. Dit soort berichten zien we steeds vaker, ondanks alle inspanningen die bedrijven doen om zichzelf en hun klanten of gebruikers voldoende te beveiligen tegen cybercriminaliteit. Want je kan technisch gezien de beveiliging van je organisatie nog zo goed op orde hebben, een menselijk foutje is zo gemaakt…
Wist je dat maar liefst 88% van de cybersecurity-incidenten wordt veroorzaakt door menselijk handelen? Niet voor niets zetten internetcriminelen – met succes – vol in op technieken als phishing of social engineering.
Een paar cijfers uit 2021 (Cybersecurity Magazine):
miljoen phishingmails zijn verstuurd naar ruim 17.000 bedrijven wereldwijd.
van de succesvolle phishingacties kwam door een medewerker.
van de succesvolle phishingacties kwam door zwakke wachtwoorden of gehackte inloggegevens.
Technologische ontwikkelingen creëren meer mogelijkheden om handel te drijven of bepaalde werkzaamheden te automatiseren. Daarom juichen de meeste bedrijven innovatie van harte toe. Ook cybercriminelen worden blij van nieuwe technologieën, want daardoor zijn ze nog beter in staat om hacks, cyberaanvallen of online oplichting te plegen. Met desastreuze gevolgen – niet alleen voor je organisatie – maar ook voor je klanten en medewerkers.
Mogelijke gevolgen van cybercriminaliteit kunnen zijn:
Uit talrijke onderzoeken blijkt verder dat het cyberrisico toeneemt naarmate er meer op afstand wordt gewerkt. Daarbij vormen mensen nog steeds de zwakste schakel in het cyberbeveiligingsplan, zeker na de vlucht die werken op afstand heeft genomen in de coronaperiode. Gedwongen door de omstandigheden hebben veel bedrijven toen haastig maatregelen genomen om over te schakelen op online werken. In veel gevallen gebeurde dat niet zorgvuldig genoeg, wat leidde tot een toename in security-incidenten (zoals phishing- of ransomware-aanvallen) van maar liefst 238%.
Wat werken op afstand zo risicovol maakt, is de ‘kruisbestuiving’ van de persoonlijke naar de zakelijke omgeving en omgekeerd. Met name het beveiligingsniveau van de apparatuur waarmee iemand werkt (de endpoint security) is daarbij een kritieke factor, want:
van de kantoormedewerkers gebruikt werkapparatuur voor persoonlijke taken.
van de kantoormedewerkers gebruikt zijn of haar persoonlijke computer voor toegang tot werktoepassingen.
van de gegevensinbreuken had voorkomen kunnen worden als er een beschikbare patch geïnstalleerd was.
In tegenstelling tot wat je zou denken, wordt de strijd tegen cybercrime steeds zwakker in bedrijven. Een gevaarlijke ontwikkeling gezien het explosief toenemende aantal cyberdreigingen. Gelukkig wordt er steeds strenger op toegezien dat security in organisaties wordt aangescherpt, onder andere door overheden. Zo gaat in 2024 de nieuwe Europese securityrichtlijn, de NIS2, in. Meer weten over de NIS2? Lees er hier alles over.
Bij grotere bedrijven staat IT-security vaak wel hoog op de agenda, maar bij het mkb en kleine zelfstandigen schort het nogal eens aan deugdelijke beveiligingsmaatregelen. Een belangrijke oorzaak hiervan is een gebrek aan awareness (bewustzijn) en urgentie: bij het bepalen van de benodigde securitymaatregelen gaan veel bedrijven uit van onjuiste aannames of verouderde informatie. Daardoor zijn ze zich niet volledig bewust van de risico’s en denken ze ten onrechte dat het zo’n vaart niet zal lopen. Of ze weten niet goed welke technieken cybercriminelen inzetten en hoe ze die buiten de deur moeten houden.
Een veelvoorkomend misverstand over cybercrime is bijvoorbeeld dat kleine organisaties vaak denken “we zijn maar klein, bij ons valt niets te halen”. Maar niets is minder waar. Juist kleine en middelgrote bedrijven zijn vaker de dupe van cyberaanvallen, Dat komt onder andere doordat zij tijdens een willekeurige wijdverspreide cyberaanval eerder geraakt worden, doordat ze hun beveiliging niet goed op orde hebben.
Door het creëren van security-awareness binnen je organisatie kun je veel menselijke incidenten voorkomen. Met ‘awareness’ bedoelen we het bevorderen van bewustzijn bij je medewerkers over de gevaren van cybercrime. Dit loopt uiteen van het belang van informatiebeveiliging begrijpen tot weten hoe je cybercriminaliteit kunt herkennen, wat je moet doen in verdachte situaties en wat vooral niet. Feitelijk is awareness niks nieuws, maar gezien de enorme toename van het aantal security-incidenten is het topic actueler dan ooit. Dat maakt het des te belangrijker voor bedrijven om hier doorlopend aan te werken.
Bij het creëren van awareness is de grootste uitdaging van managers om medewerkers mee te krijgen. Medewerkers hebben hun eigen werkzaamheden waar ze druk mee zijn. Cybercrime beschouwen ze vaak als een ‘ver-van-hun-bedshow’, een technisch trucje waar zij weinig mee te maken hebben en iets wat de IT-afdeling wel regelt.
Het moeilijkst voor managers is ervoor zorgen dat het bewustzijn rondom gevaren standaardgedrag wordt (het creëren van gedragsverandering) binnen de organisatie. Want hoe zorg je ervoor dat alle lagen – van CEO tot de afdeling facilitair – in staat zijn om te denken over security en cyberrisico’s te herkennen? Als mensen voor de zoveelste keer een lange training moeten volgen of een voorlichtingsbijeenkomst bijwonen, bestaat het risico dat ze op een gegeven moment denken “Ik weet het nu wel” en afhaken.
Awareness creëren kan op uiteenlopende manieren: je kunt security awareness trainingen, webinars en workshops organiseren, video’s toesturen, leervideo’s en toetsen aanbieden, enzovoort. De uitdaging daarbij is medewerkers voldoende te prikkelen om er echt iets mee te doen. Als medewerker moet je geïnteresseerd raken én blijven, en natuurlijk ook handelen naar je nieuwe inzichten.
Pas wanneer je zelf een cyberincident meemaakt, ga je erover nadenken. Stuur daarom bewust eens gecontroleerd een nep e-mail rond binnen de organisatie om te zien of mensen daarin trappen. Of laat de security officer een rondje door het kantoor maken en medewerkers attenderen op risico’s: liggen er gevoelige gegevens open en bloot op de bureaus? Zit iemand niet op zijn plek en is de computer niet vergrendeld? Hierover met elkaar van gedachten wisselen, leidt tot meer bewustzijn en begrip. Zorg er wel voor dat je mensen die de fout in gaan niet aan de schandpaal nagelt. Doe je dit wel, dan worden medewerkers wellicht ontmoedigd om in de toekomst een incident te melden.
Kies bij alle informatie die je aanbiedt voor ‘bite size’, oftewel zorg dat het niet te veel tijd kost. Met beknopte microlearning, korte video’s, infographics en shortreads bereik je veel meer dan ellenlange presentaties of trainingen. Door je medewerkers binnen een aantal weken of maanden telkens kort te triggeren ontstaat er op den duur begrip, draagvlak en inzicht.
Ook al is cybercriminaliteit een serieuze zaak, benader het waar mogelijk met humor. Want humor helpt enorm om het ijs te breken en lastige onderwerpen bespreekbaar te maken. Het neemt stress weg, geeft energie en werkt verbindend.
Dialoog en overleg spelen een belangrijke rol bij het succes van je security awareness-campagne. Stimuleer daarom je medewerkers zoveel mogelijk om vragen te stellen, in gesprek te gaan, hun mening te geven en hun ideeën te delen. Zorg dat je als werkgever hiervoor een veilige omgeving biedt. Software zoals Zenya BOOST kan hierbij ondersteunen. Met BOOST zet je het thema cybersecurity op de kaart en initieer je de dialoog tussen collega’s. Zorg dat je luistert naar je medewerkers en laat zien dat je wat met hun inbreng doet.
Met Zenya BOOST ontwikkel je effectieve, samenhangende bewustwordingscampagnes die context en begrip creëren en mensen betrekken bij thema’s zoals cybercriminaliteit. Het idee hierachter is dat mensen eerder meewerken aan het bereiken van een doel als ze snappen waarom iets belangrijk is en weten wat er van hen verwacht wordt.
Met BOOST stel je de ultieme bewustwordingscampagne samen, zodat jouw medewerkers weten wat er speelt op het gebied van security en niet meer in de val trappen van cybercriminelen.
Vraag de brochure aan zodat je alle informatie gemakkelijk bij de hand hebt.
Zelf zien wat Zenya BOOST voor jouw organisatie kan gaan betekenen?
Lees er alles over op de Zenya BOOST pagina. Op deze pagina kun je ook een gratis demo aanvragen.