‘Partners verzorgen cultuurverandering voor security awareness’
De mens is binnen cybersecurity helaas nog altijd één van de zwakste schakels. Bedrijven moeten daarom hun medewerkers zich op een consistente en constante manier bewust te laten worden van de cybergevaren die op hen afkomen. “Security awareness moet een echte cultuurverandering bewerkstelligen”, zegt Jelle Wieringa, Security Advocate bij security awareness-specialist KnowBe4.
Cybersecurity heeft de laatste jaren de volle aandacht bij bedrijven. Ook de menselijke kant krijgt hierbij steeds meer aandacht. Helaas blijkt nog te vaak dat bij te veel cyberincidenten de mens de zwakste schakel is.
“Bij KnowBe4 is de menselijke rol binnen cybersecurity het belangrijkst”, zegt Security Advocate Jelle Wieringa van KnowBe4. In deze functie helpt hij bedrijven en partners waarom zij security awareness-training aan hun cybersecurity moeten toevoegen. “We houden ons zich bezig met mensen bewust te maken van alle digitale en fysieke gevaren die zij (bedrijfsmatig) kunnen tegenkomen.”
Volgens Wieringa betrekken bedrijven de laatste jaren gelukkig steeds meer de menselijke factor in hun securitystrategie. Het volledig vertrouwen op (security)technologie bleek niet meer voldoende was. Zij ontdekten dat deze menselijke factor het grootste risico vormt.
“In combinatie met processen en technologie moet de menselijke factor een mooie combinatie vormen waarmee bedrijven laten zien dat ze het maximale aan cyberbeveiliging doen.”
Cultuurverandering
Belangrijke drijfveren voor meer aandacht voor de menselijke factor zijn dat er nu meer onderzoeken zijn en daardoor meer concrete data beschikbaar komen. Daarnaast groeit het aantal aanvallen waarbij de mens eigenlijk de principiële aanvalsvector blijkt. Phishing is nog steeds de meest gebruikte aanvalsvector.
Verder wordt de menselijke factor steeds meer onderdeel van wetgeving en compliance. “GDPR roept er wat over, maar bijvoorbeeld ook NIS2. Je zult als bedrijf daarom toch wat aan security awareness-training moeten doen” zegt Wieringa.
De menselijke factor hoort volgens Wieringa gewoon in een meerlaagse zakelijke cyberdefensiestrategie thuis. “Security awareness is eigenlijk een soort van containerbegrip van bewustzijn, gedragsverandering en -heel belangrijk- cultuurverandering.”
“Een cultuurverandering bij probeer je natuurlijk te koppelen aan de bedrijfscultuur. Hierdoor bouw je vervolgens aan een cybersecuritycultuur die motiveert, stimuleert en eigenlijk vanuit een gedrags- en groepsperspectief medewerkers aanstuurt. Omdat alle collega’s meedoen, wil jij ook meedoen.”
Meer dreiging door AI
Dat bedrijven met security awareness-trainingen een gedragsverandering en ook cultuurverandering moeten bewerkstelligen, komt ook door de dreiging die uitgaat van door AI aangestuurde aanvallen.
Hoewel Wieringa overtuigd is dat dit soort specifieke aanvallen nog op beperkte schaal plaatvinden, hackers zien nog steeds dat traditionele aanvalsmethoden op mensen zoals phishing nog altijd werken, kan AI wel een ‘game changer’ worden.
“AI groeit langzaam als op mensen gerichte aanvalstechniek. Denk aan het uitbreiden van phising-aanvallen met door AI gegenereerde deepfake-technologie. AI is nu ook zeer toegankelijk, denk aan ChatGPT of iets wat makkelijk van GitHub is te downloaden.
Wieringa: “Het is echt belangrijk dat bedrijven de impact van AI beseffen en hoe makkelijk het is deze technologie te ge- of misbruiken. Veel bedrijven zien dit nog als een ‘ver-van-mijn-bed-show’. Zij moeten daarom echt hun basishygiëne op orde hebben.”
Jelle Wieringa zegt dat KnowBe4 vanzelfsprekend ook AI gebruikt. “We gebruiken AI voor het ontwikkelen van onze software en om de trainingscontent te verrijken. We hebben bijvoorbeeld een concept-phisingsimulatie gemaakt op basis van een variant van ChatGPT. Door een LLM-model te gebruiken voor phishing-aanvallen kunnen aanvallers levensechte conversaties houden met het slachtoffer, die daarmee op geraffineerde wijze belangrijke informatie kan ontfutselen.”
“Verder gebruiken we AI om data van trainingsdeelnemers te verzamelen. Hiermee kunnen we de trainingen voor specifieke deelnemers weer efficiënter en effectiever maken.”
Drie niveaus
KnowBe4 biedt zijn specifieke security awareness-trainingen aan via een platform. Dit helpt bedrijven op verschillende niveaus de aandacht voor security, gedragsverandering bij medewerkers en een complete cultuurverandering te krijgen. “Eerst bepalen we wat de zwakke en sterkste cybersecurity-punten zijn. Alles in één keer trainen kan niet, waardoor keuzes moeten worden gemaakt. Hiervoor voeren we deze basismeting uit.”
“Dit doen we via een phishing-simulatie, maar bijvoorbeeld ook via een USB drive-by-aanval waarbij we op de werkvloer zomaar ‘besmette’ USB-sticks achterlaten. Wanneer deze worden ingeprikt, geven ze een call aan ons platform en wordt geregistreerd wie deze USB zomaar heeft ingeplugd.”
De volgende fase is op afdelings- en het individueel niveau. Ook hier: waar liggen sterktes en zwaktes en wat moet eerst worden aangepakt. Het KnowBe4-platform geeft hiervoor suggesties, maar bedrijven bepalen zelf hoe en wat. Hierbij kunnen ook partners helpen.
Hierna volgen de uiteindelijke trainingen. “Wij adviseren driemaandelijkse campagnes voor een bepaald thema. De basis is dat iedere medewerker -ook in de onboarding van nieuwe medewerkers- een basiscursus security awareness volgt.”
“Nadat een onderwerp gedurende drie maanden is behandeld, moet je iedere maand of kwartaal een ‘opfrismoment’ uitvoeren. Of de informatie nog wel beklijft. Het concept van herhaling is bij een security awareness-training het belangrijkste. Een training loopt altijd door. Spijbelen is niet mogelijk, één fout kan immers fataal zijn.”
De laatste stap is de resultaten meten. “Het effect moet zijn dat de (menselijke) risico’s omlaag gaan. Zien dat het bedrijf praktisch veiliger wordt.”
‘Greenfield’ biedt kansen
Partners spelen volgens Jelle Wieringa een grote rol om security awareness bij bedrijven onder de aandacht te brengen.”KnowBe4 is 100 procent channel-driven. “Bij partners kijken we niet naar de grootte, maar meer naar soort partner. Dit heeft te maken met de dienstverlening waar eindklanten uiteindelijk behoefte aan hebben. Onze partners zijn bijvoorbeeld ISP’s, VAR’s en consultants.”
Met security awareness krijgen partners ook voordelen. “Security awareness is nu nog een ‘greenfield’-situatie. Bijna alle bedrijven willen over de menselijke factor binnen cybersecurity praten. Het bieden van security awareness is daarom voor partners een mooie portfolio-uitbreiding en kan een goede binnenkomer zijn bij nieuwe klanten.”
“Daarnaast krijgen zij kansen hun eigen organisatie en processen te veranderen. In plaats van ‘technologiegedreven resellers’ veranderen partners met een security awareness-aanbod in ‘gedragsconsultants’. Bovendien krijgen eigen medewerkers een kans door te groeien. Uiteindelijk steken partners die serieus met security awareness bezig zijn straks met kop en schouders boven de rest uit.”
Partner is verbindende factor
Partners kunnen volgens de Security Advocate van KnowBe4 met het aanbieden van security awareness aan hun eindklanten echt goed helpen. Deze kunnen dit niet echt niet zelf opzetten. Het opzetten van een gedrags- en cultuurverandering voor security awareness vereist een multidisciplinaire aanpak. “De verbindende factor daarbij zijn de consultants van onze partners. Het gaat dus om meer dan alleen kennisdelen”, besluit Jelle Wieringa.