Hackers kunnen via je werknemers een ingang vinden in de digitale ruimtes van je bedrijf. Een onder hackers populaire techniek hiervoor is phishing, waarbij een werknemers wordt uitgelokt om persoonlijke data te delen of malware te installeren. Voor IT’ers is de aanval misschien bekend, maar wat met bijvoorbeeld het management of HR-personeel? Zij kunnen hun digitale skills bijschaven in een security awareness-training.
Phishing is een erg eenvoudig middeltje voor hackers om ransomware of malware te verspreiden binnen een bedrijf. Met Phishing-as-a-Service (PaaS) kan iedere hacker een kant-en-klare phishingtool kopen om zonder moeite een phishingcampagne te verspreiden.
Heel wat phishingcampagnes zijn gericht op e-mailaccounts van werknemers. Bedrijven bezitten namelijk meer geld dan individuele personen en daardoor worden ze een aantrekkelijk doelwit. Via phishing kunnen hackers logingegevens krijgen van belangrijke bedrijfsapplicaties en bedrijfsgeheimen bemachtigen of malware installeren. Vaak eisen de cybercriminelen geld om weer uit het bedrijfsnetwerk te vertrekken of om bedrijfsgeheimen niet openbaar te zetten.
De enige hindernis voor hackers aan het hele verhaal zijn vaak de detectietools die e-mails met verdachte links er als vanzelf uitvissen. Maar ook op dat vlak bewijzen hackers zich steeds slimmer. Zo zijn de laatste tijd bijvoorbeeld phishingcampagnes die legitieme links misbruiken enorm populair. Door een kwaadaardige link aan een legitieme te koppelen, weet de e-mail namelijk de meeste beveiligingsoplossingen te omzeilen en belandt het bericht alsnog bij de ontvanger.
Vertrouwen op de detectietools als enige beschermmiddel is daarom een slecht idee. Daarom is het verstandig te investeren in cybersecurity awareness-training. Werknemers blijken in het algemeen minder weerbaar voor phishingmails te zijn geworden. Zonder training valt een derde van de Europeanen voor de techniek. Training laat de percentages dalen, maar kan het nooit tot nul brengen.
Tip: Zo ziet een wereldwijde phishing-campagne eruit
‘Spijbelen kan niet in security-land’
In een security awareness-training leren werknemers onder andere wat phishing precies is en aan welke elementen ze kwaadaardige e-mails kunnen herkennen. Dat gebeurt bij KnowBe4 op een activerende manier zodat werknemers niet alleen ‘droge’ theorie krijgen voorgeschoteld waar ze aan het einde van de dag niets van opsteken. Dat verlaagt bovendien de kans dat werknemers niet opdagen op de training. “Spijbelen kan niet in security-land. Klikken op slechts één link kan al fataal zijn”, horen we van Jelle Wieringa, Security Advocate bij KnowBe4.
Het lesmateriaal op het platform is daarom beschikbaar in verschillende vormen. Gebruikers kunnen zo lesmateriaal zoeken dat aansluit op het eigen leervermogen, want sommigen lezen graag terwijl anderen net beter kunnen leren uit een video. “We spelen zelfs in op verschillende media en hebben bijvoorbeeld ook een eigen tv-serie. Door het grote succes zijn we ondertussen al in het vijfde seizoen beland”, vertelt Wieringa. Maar niet iedere werknemer zal het hele gezin overtuigd krijgen om Netflix aan de kant te laten liggen voor de serie. Daarom is het lesmateriaal ook beschikbaar op de laptop en de smartphone.
KnowBe4 zette de training ook om in de tv-serie The Inside Man. Bron: KnowBe4
Naast de leervorm wordt er rekening gehouden met het individueel niveau van iedere werknemer. “Iemand die net nieuw is binnen een bedrijf, laten we altijd beginnen bij het begin. De werknemers krijgt eerst een basale training van driekwartier voorgeschoteld en als die is doorlopen wordt de training geïndividualiseerd. Dat is bijvoorbeeld afhankelijk van de functie van deze persoon, aangezien we zorgen dat de training van bijvoorbeeld een developer ook ingaat op beveiligingsaspecten die belangrijk zijn binnen dit beroep. Die individuele noden worden verder bepaald aan de hand van AI”, zegt Wieringa.
Gesimuleerde phishingaanvallen
Anders dan bij een opleiding is het niet mogelijk om security awareness-training te voltooien. Hackers verzinnen steeds andere methodes om phishingaanvallen in de mailbox te krijgen. Zo werd in juni de training aangevuld met informatie over phishingaanvallen via QR-codes. Nu deze codes bijvoorbeeld door de horeca vaker ingezet worden en werknemers dus vertrouwt met ze zijn, verspreiden hackers ze ook in e-mails.
Afstuderen is dus niet mogelijk, maar toetsen komen er wel aan te pas. Wieringa legt uit hoe dat precies in zijn werking gaat: “Toetsen of simulated phishing-aanvallen zoals ze bij ons noemen, zijn bij ons ook op maat van de individuele gebruiker. We maken de e-mails willekeurig met verschillende templates op en verspreiden ze op verschillende momenten, allemaal om te voorkomen dat de eerste werknemer de rest van de organisatie alvast inlicht over de test.” KnowBe4 pakt dus niet alleen spijbelaars aan, maar maakt ook spieken onmogelijk.
Bij het uitsturen van de phishingsimulatie maakt daarnaast AI-technologie zich opnieuw nuttig. “We beschikken over data die ons bijvoorbeeld inzicht geven in wanneer een gebruiker zijn e-mails beantwoord. AI en machine learning gebruiken die data om de aanval te optimaliseren voor het leerresultaat.
Hoe je zelf scoort op deze simulaties, krijg je als gebruikers ook te weten. “Wij denken dat het belangrijkste deel van ons platform het deel is waar gebruikers zelf kunnen bekijken wat ze leren en hoe ze het doen.”
De adminzijde
Nu we de gebruikerszijde van het adminportaal hebben behandeld, komen we aan bij de mogelijkheden voor administratoren. Zij kunnen het portaal volledig omtoveren naar de wensen van het bedrijf waarvoor zij werken. “Het admindeel is verder te gebruiken om de training op te maken. De administrator bepaalt de geschikte content voor iedere training en kiest de video’s en games tot welke werknemers toegang krijgen”, vult Wieringa aan.
Vijf minuten per maand
Het platform van KnowBe4 is uitgebreid en geoptimaliseerd om de beste resultaten uit security awareness-training te halen, maar het is daarom niet zo dat werknemers ook veel tijd aan de trainingen kwijt zijn. “We raden aan dat een werknemers per maand nog eens vijf tot tien minuten traint. Het belangrijkste is niet de duur van de training, maar wel dat de training consistent gebeurt.”
Een cyber awareness-training blijkt dus een kleine moeite te zijn om de digitale beveiliging van je bedrijf al te verbeteren. Daarvoor is het wel belangrijk dat werknemers ook leren uit de training en geactiveerd worden om de theorie om te zetten naar de praktijk, maar daar lijkt KnowBe4 voldoende middelen voor in huis te hebben.
20 uur geleden
