« Terug naar nieuws

Security Awareness beschermt je niet tegen aanvallers! 

06 september 2023

Regelmatig vragen we onze medewerkers een blog te schrijven. Deze keer een blog door Jasper Dijkgraaf, security consultant en account manager bij Access42.

Iedereen heeft ze recent wel gelezen; de opmerkingen op LinkedIn wanneer er weer een datalek of ransomware besmetting is geconstateerd. “Train je gebruikers en voorkom datalekken en cyberaanvallen!”

Mag ik daar heel direct op reageren en stellen dat het niet eerlijk is om dit van de gebruiker te verwachten? Het merendeel van de gebruikers is niet in dienst gekomen om cyberaanvallen tegen te gaan. Veel mensen hebben hart voor de zaak en werken zich een slag in de rondte om de organisatie te helpen. Moeten zij dan de schuld krijgen als er een aanval op het bedrijfsnetwerk heeft plaatsgevonden? Natuurlijk niet! 

Met de opkomst van Artificial Intelligence zoals ChatGPT worden phishing mails steeds geavanceerder en zijn deze met het menselijk brein bijna niet te herkennen. En al helemaal niet meer als de gebruikers in de waan van de dag bezig zijn en er ineens een besmette e-mail binnen komt. Het NCSC heeft dit ook in het algehele dreigingsbeeld benoemd.

Organisaties moeten erop ingericht worden dat gebruikers nog maar sporadisch phishing mails in de inbox krijgen. Er is tooling beschikbaar die de e-mail nagenoeg schoon kan afleveren bij de gebruiker. En mocht er dan toch nog iets door komen dan geven we de gebruiker de tools en middelen om de foute mail te herkennen en te melden binnen de organisatie. Maar we mogen er niet vanuit gaan dat de gebruiker de mail kan of gaat herkennen.

Dus pak de controle op de e-mail omgevingen als het gaat om cyber resilience! En dan hebben we het niet over: “Zet maar gewoon een extra module van Microsoft aan.”, want dan kom je alsnog van een koude kermis thuis. 

“Helaas is er slechts één persoon nodig die een malicieuze link opent om een succesvolle aanval te starten”

Ben ik dan van mening dat awareness overbodig is? Nee helemaal niet, maar het moet onderdeel zijn van een totaalprogramma dat gericht is op het verlagen van het risico. Alleen phishing campagnes versturen heeft steeds minder zin. De gebruiker is hierin de last line of defense. In de stappen daarvoor moeten de meeste mitigerende maatregelen zitten. En daarnaast is er ook nog voldoende winst te halen op algemene zaken zoals: 

  • Het locken van een scherm
  • Clean desk policy
  • Shoulder surfing
  • Gebruik van goede wachtwoorden /wachtwoordzinnen
  • Wachtwoordkluis
  • Gebruik van open Wifi vermijden
  • Bezoeken van veilige websites

Vergeet ook niet wat de psychische impact kan zijn als een gebruiker toch op de bewuste link heeft geklikt waardoor er een breach is ontstaan. We moeten juist de medewerker zijn talenten laten gebruiken waarvoor die is aangenomen in plaats van onderdeel te zijn van de cyberweerbaarheid.

Dit moest mij simpelweg even van het hart. Mocht je hier graag over van gedachten willen wisselen dan doe ik dit graag.

Jasper Dijkgraaf

Deel dit artikel

Phishing-Jasper-Dijkgraaf