Je kent het wel; drukke dag op kantoor, veel tijd besteed aan e-mail. Je bent toe aan een korte afleiding.
Eén van de vele nieuwsbrieven waarop je geabonneerd bent heeft wel een heel interessante kop. Zonder er echt bij na te denken klik je “Lees meer…”
In een soortgelijke situatie zit de teamlead van de afdeling klantenservice bij een woningcorporatie. Ze leest haar e-mails en komt een nieuwsbrief tegen met de titel "Spannende ontwikkelingen..." Lang verhaal kort, je voelt het wel aankomen: ze is erin getrapt en heeft daardoor ransomware binnen gehaald. Alle bestanden op de laptop en ook duizenden bestanden op de server zijn geïnfecteerd. Gelukkig heeft de organisatie een professionele IT-afdeling en hoeft men bijvoorbeeld geen fortuin aan bitcoins te betalen om de bestanden te unlocken. Gelukkig viel het mee. Door de laptop en de server opnieuw in te richten en de backups van de dag ervoor terug te zetten was het probleem opgelost.
Maar het verhaal eindigt niet hier. Dit was niet het eerste incident. De IT-manager was het zat om te zien dat zijn team “onnodig” aan het werk werd gezet. Alleen omdat gebruikers verleid en misleid worden door slimme hackers.
Het plan is toen opgevat om tijdens een meeting met alle medewerkers een "security awareness" actie op te zetten. Op de externe meeting locatie werden speciale WiFi-hotspots neergezet waarop onze ethical hackers op de achtergrond meekeken. De hele dag door werden phishing mails verzonden naar alle medewerkers. Aan het eind van de dag was de verrassing groot toen de ethische hackers hun bevindingen aan de volle zaal kwamen toelichten.
Schuchter en geschrokken hoorde het publiek de cijfers aan: een derde had de niet beveiligde WiFi-hotspots gebruikt; bijna de helft had phishingmails geopend en 10% had op potentieel gevaarlijke links geklikt. Uiteraard werd ook verteld hoe “echte” hackers te werk gaan. Tevens werden adviezen en tips ter verbetering gegeven. Een mooie stunt van de IT Manager. Medewerkers en het directieteam zullen dit niet gauw vergeten en ze zijn een stuk bewuster van de gevaren van hun gedrag.
Dit verhaal is gebaseerd op een paar échte voorbeelden van wat we bij onze klanten hebben ondervonden. Met echte percentages. En vergeet ook niet; dit gaat om professionele organisaties, toonaangevend in hun branche.
We willen er mee aangeven dat dit de dagelijkse praktijk is. De impact van cybercriminaliteit wordt steeds vaker gevoeld door tal van organisaties. Ook in het nieuws zien we dit, want het kan gebeuren dat je organisatie negatief in het nieuws komt, als je gehackt wordt. Toch vrij vervelend als je als Oostenrijks hotel je eigen kamerdeuren niet meer kan openen… De reputatieschade is dus niet te verwaarlozen. In vele gevallen leveren deze incidenten ook productiviteitsverlies: werk is verloren gegaan, de organisatie kan soms uren niet werken, zelfs jouw klanten kunnen niet gebruik maken van je dienstverlening, gevoelige informatie, zelfs intellectueel eigendom kan in de verkeerde handen komen... Kortom: cybercriminaliteit neemt ernstige vormen aan.
Verschillende onderzoeken, bijvoorbeeld deze, tonen aan dat, zoals in ons verhaal geïllustreerd, de mens de zwakste schakel is. Vandaar dat een zogenaamd “Security Awareness programma” eigenlijk integraal onderdeel moet worden van een informatiebeveiligingsbeleid. In onze definitie is Security Awareness ”de mate waarin iedere medewerker op elk niveau in de organisatie het belang en de mate van beveiliging begrijpt, zijn eigen individuele beveiligingsverantwoordelijkheden inziet en daar ook naar handelt.“
Het resultaat van een Security Awareness Programma? Volgens onze partner Knowbe4 kan het percentage van “phish-prone” slachtoffers van 39% naar 1% worden teruggebracht. Wel zo prettig, als je je “getroffen gebied” zo drastisch kunt verkleinen en de kans vergroot dat je ransomware kunt voorkomen.
Dus als “To Click, or Not to Click?” de vraag is, is hiermee wel aangetoond dat na een gestructureerde campagne het antwoord op de vraag wordt “Not to Click”!
Meer weten? Neem gerust contact op met ons! Of lees meer over onze Security Awareness Service.
Tot de volgende blog; Groet, ook namens mede-auteur Remco Sprooten.