‘Het belang van human centric security neemt snel toe’

Enkele cijfers uit het meest recente ‘State of the Phish’-rapport van Proofpoint: 84 procent van de security-mensen in een organisatie denkt dat hun werknemers zich voldoende realiseren dat zij verantwoordelijk zijn voor hun eigen security-gedrag. Maar 66 procent van deze mensen is daar onzeker over of vindt niet dat ze er verantwoordelijk voor zijn. 73 procent van de mensen hergebruikt wachtwoorden. En 95 procent van de mensen die zich onveilig gedragen op IT-gebied, weten dat ze dit doen.

“Als er één getal is dat benadrukt dat we meer vanuit de mens moeten denken op security-gebied, dan is het wel dit laatste”, stelt Huijgen. “Of het nou gaat om technologie, processen en je werknemers: je moet altijd denken vanuit de mens.”

Soorten IT-gebruikers

Van IT-gebruikers heb je in de basis twee varianten bij human centric security, schetst Huijgen: goedwillenden en kwaadwillenden. “In de eerste categorie is het goed dat bedrijven als Proofpoint de mens weer centraal stellen in het nemen van maatregelen om hen en hun IT-gebruik te beschermen. Kwaadwillende gebruikers – zoals iemand die vertrekt en denkt recht te hebben op intellectueel eigendom van zijn werkgever – zullen er minder blij mee zijn. Maar ook hier moet je vanuit de mens denken bij het ontwikkelen van cybersecurity-toepassingen.”

Is dit omdat de mens nog altijd de zwakste schakel is op security-gebied? Huijgen haalt het meest recente Verizon Databreach-rapport aan. Hierin staat dat driekwart van alle cyberincidenten haar origine heeft bij de mens. In de drie jaar daarvoor schetsten vergelijkbare rapporten een percentage van dik boven de negentig. “Maar de reden voor de daling is een datahercalculatie, niet een daling omdat mensen minder bij fouten betrokken zijn. Ik durf dus de term zwakste schakel in de beveiligingsketen wel te gebruiken.”

Misbruik zwakste schakel

En hackers misbruiken die zwakste schakel graag, benadrukt Huijgen. “Er zijn wat mij betreft twee waarheden over hackers: a) ze hebben tijd – meer tijd dan jij. Bijvoorbeeld door via social engineering een relatie met je op te bouwen, of het uitpluizen van de ketenpartners. b) het zijn vaak de grote, kostbare cyber-incidenten die het nieuws halen, maar de meeste cybercriminelen houden zich bezig met vrij kleine inbraken.”

Ter voorbeeld: een organisatie waar hackers een aanval hebben uitgevoerd die valt onder de noemer business email compromise (BEC): geen URL, geen link, niks klikbaars, alleen de communicatie in de mail. De origine van die e-mail lijkt valide te zijn. ‘Er staat een rekening open, dit is het nieuwe rekeningnummer, maak daar 9.999 euro op over’. Het maakt niet uit hoeveel mensen die mail niet vertrouwen, het kan een keer gebeuren dat de verantwoordelijke cybercriminelen wel scoren. En dat, schetst Huijgen, zijn het soort incidenten die het vaakst voorkomen.

Risiconiveaus

Bovengenoemde soort aanvallen vormen het eerste van vier risiconiveaus die Proofpoint onderscheidt bij human centric bedreigingen:

• Threat risk (e-mail, phishing, malware, business e-mail compromise): om een netwerk binnen te dringen.
• Impersonation: het nabootsen van identiteiten, ook om zo een netwerk binnen te dringen.
• Identity theft : kwaadwillenden blijven gemiddeld 240 dagen in jouw IT-infrastructuur aanwezig zonder dat je het door hebt. Zij kunnen in die tijd relevante identiteiten misbruiken om data te stelen of te versleutelen.
• Data loss: het exfiltreren van data.

“Proofpoint heeft de afgelopen 20 jaar een sterke reputatie opgebouwd als het gaat om bescherming bieden op alle vier niveaus”, vertelt Huijgen. “Daarbij ligt de nadruk op e-mail bescherming. Mondiaal zijn we de nummer 1 in e-mails die dagelijks via onze platforms langskomen. Met de inzichten hieruit weten we de standaard zaken zoals spam en phishing heel goed tegen te houden.”

Daarnaast heeft Proofpoint inzicht in de omvang van de hoeveelheid e-mails die geen grote incidenten veroorzaken, maar per succesvolle e-mail misschien 10.000 tot 15.000 euro aan vaak ongezien schade opleveren. Of nog kleinere hoeveelheden geld die voortaan standaard maandelijks worden overgemaakt naar een malafide rekeningnummer. “Heel veel van die kleintjes maken toch een grote berg geld.”

Waarde kanaalpartners

Met 20 jaar ervaring weet Proofpoint ook goed wat de eigen waarde is, èn die van de channel partners. “Wij onderhouden directe relaties met onze klanten. Als vendor kennen we onze producten als geen ander, en beschikken we over alle best practices die we de afgelopen 20 jaar bij onze klanten hebben weggehaald. Waaronder 87 procent van de top 100 bedrijven wereldwijd.”

Maar, onderstreept Huijgen: het zijn de channel partners die bij uitstek geschikt zijn om met gebruikmaking van Proofpoint-technologie het procesdeel van cybersecurity voor hun rekening te nemen. Zij kijken samen met hun klanten hoe processen rondom cybersecurity ingericht zijn en moeten worden, waar er eventueel gaten zitten in hun human centric-aanpak: hoe kunnen ze processen verder verbeteren zodat technologie nog beter kan bijdragen aan het beveiligen van de IT-infrastructuur.

Technologie-partners

Daarnaast kent Proofpoint samenwerkingen met bekende technologie-partners, zoals Palo Alto Networks en Crowdstrike. Wij weten dat cybersecurity altijd een samenwerkingsverband is”, benadrukt Huijgen. “Het is een continue rat race tussen ons en cybercriminelen. Onze technologie-partners pretenderen ook niet alles in huis te hebben. Daarvoor is cybersecurity te veelomvattend: van de inbox – waar onze kracht zit, via werkstations en servers naar het netwerk, de cloud en de edge.”

Wat Proofpoint en technologie-partners onder meer samen doen, is alle threat intelligence delen. Huijgen hierover: “Als wij een onveilige e-mail tegenkomen, en in een andere tijdzone blijkt zo’n zelfde mail echt malafide te zijn, hebben wij technologie die ervoor zorgt dat ook de e-mail die wij tegenkwamen, uit de inbox wordt gehaald en in quarantaine wordt gezet. En die intelligence delen wij met iedere technologie-partner -maar ook vice versa. Dat verrijkt de cybersecurity-posture van onze klanten. En omdat wij met API’s werken, kunnen we in principe deze kennis ook delen met elke andere cybersecurity-partij.”

Belang van technologie

Hoewel Proofpoint de mens centraal stelt, is technologie net zo belangrijk, benadrukt Huijgen. Proofpoint heeft recent zijn jaarlijkse rapport ‘State of the Phish’ uitgebracht. Ryan Kelmer, de Chief Cybersecurity Officer van Proofpoint, heeft hierin onder meer uiteengezet hoe technologie een belangrijk, maar op zichzelf onvoldoende onderdeel is van wat organisaties nodig hebben.

“Maar in tegenstelling tot wat ik wel eens hoor, is technologie niet ondergeschikt aan de andere security-elementen: mens en proces, Technologie-tools zijn net zo belangrijk als awareness en een goed cybersecurity-beleid. Als een malafide mail niet in je inbox terecht komt, kun je er ook niet op klikken. Alleen: als het wel in je inbox terecht komt, dan is het belangrijk dat je medewerkers zich afvragen of ze er wel op moeten reageren of klikken. Daar waar technologie niet kan voorkomen, kunnen wij de mens als zwakke schakel versterken met ons awareness-platform.”

Vertaling in aanbod

Huijgen gaf het al aan: human centric security is de afgelopen zes jaar meer centraal komen te staan. Toch vertaalt zich dat nog niet altijd in het aanbod van security-vendors.

“Er zijn zeker meer aanbieders in de markt die zich zijn gaan focussen op human centric security en op de e-mail dreiging als basis. Maar als je kijkt naar de voorsprong die wij met name op geavanceerde dreigingen hebben, dan is die nog altijd aanzienlijk. En die geavanceerde dreigingen worden met de opkomst van gen AI nog groter, want daarmee wordt misleiding veel makkelijker. Juist hierom wordt het belang van goede human centric security alleen maar groter.”