6min

Als de mens zich bewuster wordt van het gevaar van cyberdreigingen, dan wordt de organisatie een stuk veiliger. Deze theorie wordt in de securitywereld breed gedragen, zo ook door Eddy Willems (Security Evangelist) en Jihane Abid (International Sales Manager) van G DATA CyberDefense. Toch zien zij dat er niet overal voldoende aandacht is voor de mens als onderdeel van de cybersecurityketen.

Cybersecurity awareness moet als het aan G DATA ligt onderdeel zijn van de endpoint-beveiligingsstrategie van ieder bedrijf. Volgens de securitypartij, die met name bekend staat om antivirussoftware, zit de mens namelijk achter bijna iedere hack op devices. “Daarom begin je als eerste stap met een endpointbeveiligingsoplossing. Om vervolgens het volledige plaatje te beveiligen, wil je het bewustzijn creëren dat mensen moeten opletten. Je probeert zo een mindset te wijzigen”, aldus Abid.

G DATA stelt daarmee dat zijn traditionele endpoint protection software in een ideale wereld aangevuld wordt met security awareness-trainingen. Cybercriminelen weten dat de mens een zwakke schakel is in de beveiligingsketen, simpelweg vanwege onoplettendheid of onwetendheid.

Nog even de basis

Jihane Abid, International Sales Manager bij G DATA

Dat G DATA organisaties bewust wil maken van de rol van de mens binnen cybersecurity, is op zich geen gekke ontwikkeling. Hoewel het bedrijf de meeste business nog altijd uit antivirus haalt, wordt er al jaren naar andere manieren gezocht om meer preventie in de securityketen te brengen.

Met awareness-trainingen zet G DATA de preventieve stap die in de optiek van het bedrijf cruciaal is. Via een platform kunnen werknemers van organisaties cursussen doorlopen om het kennisniveau op peil te brengen. Via kennistests kan ook bepaald worden welke zaken noodzakelijk zijn, om de cursussen daar specifiek voor in te zetten. Als die trainingen eenmaal doorlopen zijn, is de medewerker zich bewuster van de gevaren. Het kan dan gaan om personeel dat normaliter helemaal niet belast wordt met beveiligingszaken, maar ook securityprofessionals en bestuurders.

De vraag is altijd wel hoe effectief die trainingen daadwerkelijk zijn. Het risico bestaat dat de cursisten een hele tijd na afronding slordig omgaan met de geleerde stappen of zaken vergeten. Daarom raadt G DATA doorgaans aan wekelijks een test te doen, zodat medewerkers bewust blijven.

Praktijk toont noodzaak aan

Hoewel de theorie achter de cursussen logisch is, toont de praktijk volgens G DATA aan dat de mens achter bijna alles met betrekking tot securityincidenten zit en awareness daarmee achterblijft. Willems ziet bevestiging in succesvolle hackaanvallen. In het bijzonder licht hij FluBot uit, een spyware-app die installatie op smartphones af wist te dingen. Doelwitten kregen bij de FluBot-campagne een sms’je toegestuurd over een fictief postpakket dat onderweg was naar hun bestemming. Om het pakket te volgen zou zogenaamd een app van een bezorgdienst geïnstalleerd moeten worden.

Het idee achter de FluBot-campagne was dat doelwitten op de link klikken naar een valse website. Via een valse website probeert de campagne gebruikers te verleiden een app te installeren, buiten de Play Store om. Hiervoor vraagt FluBot toestemming om het toestel te wijzigen. Als dat gebeurt, en de praktijk laat zien dat er in de Benelux duizenden mensen daadwerkelijk intrapten, heeft de FluBot-campagne spyware geïnstalleerd op het device. Hierdoor heeft de spyware alle permissies en middelen in handen om kwaadaardige praktijken uit te voeren.

“FluBot toont aan dat veel gebruikers geen antivirus hebben geïnstalleerd op hun mobiele device en het bewijst hoe problematisch het gesteld is met de mens”, aldus Willems. De Security Evangelist van G DATA geeft aan dat als gebruikers een security-app op hun toestel hadden staan, de app signalen had opgevangen over de verdachte praktijken. De campagne was in dat geval met securitysoftware te blokkeren.

Inzet blijft achter

Willems denkt dat er over het algemeen nog steeds veel winst te boeken valt in het beveiligen van smartphones. Dat kan bij zowel IT’ers als bij minder technisch vaardige mensen. “Er zijn veel mensen die antivirus op een toestel niet nodig vinden. Het idee is dat we met Android in een Linux-platform werken (Android is gebaseerd op aangepaste versie van Linux-kernel, red.). Veel technische mensen denken dan dat antivirus op een toestel niet nodig is, omdat alles mooi in vakjes en hokjes draait. En mensen die er op hun beurt niets van afweten, die hebben helemaal geen flauw idee dat hun mobiele toestel sterker is dan hun laptop. Zij installeren sowieso niets.”

Volgens Willems is er uiteindelijk wel een onderscheid te maken tussen Android en iOS. Apple eist met iOS namelijk meer verantwoordelijkheid over de beveiliging op. Op het Apple-besturingssysteem kan antivirus daarom alleen neppe websites blokkeren. Op Android krijgt beveiligingssoftware daarentegen meer bevoegdheden en zijn bijvoorbeeld ook malwaresignalen op te sporen.

Besef landt wel

Eddy Willems, Security Evangelist bij G DATA

G DATA bevestigde medio 2020 met een onderzoek onder Nederlanders concreet dat de meeste smartphones onbeveiligd zijn. Van de zakelijk gebruikte mobiele toestellen was destijds bijna 80 procent onbeveiligd, terwijl dit in privésituaties op iets meer dan 57 procent lag. Gevoelsmatig stelt Willems dat de cijfers op dit moment ongeveer vergelijkbaar zijn, al is dit niet bevestigd met nieuw onderzoek. Tegelijkertijd toont dezelfde studie uit 2020 wel aan dat meer dan de helft van de Nederlanders denkt dat medewerkers zelf verantwoordelijk zijn voor de beveiliging van smartphones. Zo’n 11 procent denkt dat het niet noodzakelijk is om smartphones voor zakelijk gebruik te beveiligen.

De cijfers tonen aan dat er wel besef is dat mobiele endpoints beveiliging vereisen, maar dat het niet altijd correct gebeurt. Wat daarbij de correcte werkwijze is – daar zijn de meningen uiteraard over verdeeld. Sommige gebruikers denken dat ze door uitsluitend via de Google Play Store te werken voldoende beveiligd zijn. Anderen verwachten een complete endpoint security-strategie van bedrijven.

Wat doet G DATA om de hacker een stap voor te zijn?

Uiteindelijk kan je je afvragen in hoeverre het besef bij de mens echt omgezet wordt in acties, en of G DATA niet teveel verantwoordelijkheid afschuift op de mens. “Het gaat niet alleen om de mens, maar als je ze traint wordt de organisatie wel veiliger”, stelt Abid. Als voorbeeld noemt Abid de nieuwe phishingsimulatietesten in het awareness-programma. “We zien dat er heel veel phishing is. Daarom kunnen we nu testen afnemen, om eindgebruikers te triggeren meer aan cyberbewustzijn te doen. Bedrijven kunnen voor het trainen van de medewerkers de emulatietest los afnemen of als onderdeel van het awareness-pakket. Met de test kunnen we meten of de trainingen die we geven ook aanslaan op het werk en of mensen bewuster worden na de training.”

Abid legt uit dat de phishingsimulatie, alsmede de awareness-trainingen in het geheel, zich in de Benelux vooral richt op het mkb. Volgens Abid leeft in het mkb de misvatting dat beveiliging niet nodig is. Mkb’ers denken niet zo snel slachtoffer te worden – en in het geval van een succesvolle aanval, geen grote consequenties te ondervinden.

Verder legt Abid uit dat G DATA het phishing-probleem op smartphones in kaart heeft willen brengen met een onderzoek. Een op de vijf Nederlanders gaf aan frauduleuze sms’jes te herkennen, terwijl een vergelijkbare hoeveelheid dat niet doet. Dat is uiteraard een gevoel van gebruikers, en bevestigt volgens Abid dat phishing serieus genomen moet worden.

De kern van het verhaal van G DATA is dan ook dat er genoeg waarschuwingen zijn over het cybergevaar. Toch gebeurt er volgens de securityleverancier te weinig, zowel als het aankomt op het installeren van endpointbeveiliging als het bewustmaken van medewerkers. Daar hoopt G DATA de komende jaren met zijn portfolio verandering in te brengen.

Tip: G DATA verbreedt focus: combinatie van mens en technologie