Phishing-simulaties moeten vertrouwen opbouwen — geen angst
Cyberaanvallen nemen toe. En dat geldt ook voor de bezorgdheid onder IT-managers en beveiligingsexperts. De grootste uitdaging is om van cyberbeveiliging iets te maken waar iedereen bij betrokken is. Om dat te bereiken, moeten we het vertrouwen vergroten, niet angst creëren, zegt Nils Ivar Skaalerud, CTO bij Junglemap, terwijl hij kritiek heeft op het wijdverbreide misbruik van phishing-simulaties.
Actoren in de cyberbeveiligingsindustrie zijn volledig gefocust op de voorbereidingen voor NIS2. Maar als we een stap buiten de kern zetten en vragen stellen over hoe goed het management en de industrieën zijn voorbereid, dan is het antwoord „welke NIS2?”.
Verschillende recente onderzoeken wijzen op een terechte en wijdverbreide bezorgdheid over ransomware-aanvallen onder Scandinavische IT-managers. En zoals een beveiligingsexpert onlangs opmerkte: „Daar is geen eenvoudige oplossing voor, omdat de aanvallers op mensen jagen en misbruik maken van onze goedgelovigheid, zoals het klikken op links met kwaadaardige code.”
De oplossing voor de lange termijn om de cyberveiligheid te versterken is het creëren van een organisatorische veiligheidscultuur waarin veiligheid voor iedereen belangrijk is. In ons sterk gedigitaliseerde beroepsleven is dit absoluut noodzakelijk — alle gebruikers van digitale diensten maken deel uit van de potentiële kwetsbaarheid, maar tegelijkertijd ook van de oplossing. En dit is waar phishing-simulaties een belangrijke rol kunnen spelen — mits correct gebruikt.
Het probleem is dat veel organisaties — in hun streven om werknemers waakzaam te houden — ofwel te veel gebruik maken van phishing-simulaties, ofwel vertrouwen op herhaalde simulaties om bewustzijn te creëren.
Maar dat is niet zo.
Mede vanwege het risico op vermoeidheid bij het simuleren van phishing. Dat de ontvangers eerder afgestompt dan alert zijn, onder meer omdat een eenzijdige focus op de klikfrequenties van werknemers velen doet aarzelen om zowel vermoedelijke phishing-e-mails te melden als er niet over te praten. Uit het jaarlijkse Digital Defence Report van Microsoft bleek dat 89 procent niet op kwaadaardige links in gesimuleerde phishing-e-mails klikte, maar dat slechts 13 procent aangaf de bedreiging te hebben ontdekt. Die kloof is op zichzelf al een teken dat we nog een lange weg te gaan hebben voordat we een veiligheidscultuur bereiken die gebaseerd is op vertrouwen en openheid.
We moeten zowel actie ondernemen als praten over cyberveiligheid om ervoor te zorgen dat het bewustzijn zich in de hele organisatie verspreidt. Het is niet via goed geformuleerde richtlijnen dat we onze werknemers zover krijgen dat ze beveiliging doen. Het is door erover te praten. Zowel tijdens bestuursvergaderingen als aan de koffietafel.
Er wordt veel gesproken over het „voortdurend veranderende bedreigingslandschap” en om ervoor te zorgen dat de menselijke firewalls weerstand blijven bieden, is het vereist dat we onszelf voortdurend uitdagen om nieuwe bedreigingstechnieken te kunnen ontdekken.
We doen dit het beste met phishing-simulaties als een terugkerend en goed doordacht onderdeel van de algemene training in informatiebeveiliging. Het is een uitstekend instrument om er praktisch voor te zorgen dat de organisatie waakzaam is, maar waar we ook de kans krijgen om van onze fouten te leren. Een eerste stap in dat leren is dat we onze medewerkers aanmoedigen om delen. En dat vereist vertrouwen. Geen angst.
