Blog

Security is mensenwerk

Security is niet alleen techniek: vergeet de mens niet!

Security is hot. Hacks zijn aan de orde van de dag en er is inmiddels een algemene consensus dat het niet een kwestie is van ‘of’, maar van ‘wanneer’ je een keer last hebt van inbreuk op je IT-omgeving of dat er data ontvreemd wordt. Toch merken wij dat veel bedrijven zich nog steeds focussen op de harde kant van de IT. Er wordt geïnvesteerd in mooie, hoogstaande technologieën zoals firewalls, packet inspection en encryptie. Vaak zijn dit dure technologieën om kwaadwillende buiten te houden. Het zijn technologieën die zeker bijdragen aan een goede security en daarmee ook echt een must, maar de belangrijkste schakel in het geheel wordt nog vaak onderschat: de mens.

Bij een overgroot deel van de security issues die ik in de afgelopen 15 jaar heb meegemaakt, is er altijd een zogenaamd ‘social’ aspect. Social engineering is een techniek waarbij internetcriminelen ‘de mens’ gebruiken om vertrouwelijke informatie in te winnen waardoor een uiteindelijke ‘hack’ makkelijker wordt. Dit hoeft overigens niet eens direct via het slachtoffer te gebeuren. Het is nog steeds verbazingwekkend hoeveel informatie je kunt achterhalen bij instanties of bedrijven door je voor te doen als iemand anders. Vergelijk het maar met een nep politieagent aan de deur. Als iemand er staat en met voldoende autoriteit spreekt, zijn we als mens geneigd te geloven dat het klopt. Dit is in de digitale wereld niet anders. Een goed opgestelde e-mail met informatie die relevant is voor jouw situatie kan heel echt overkomen. Als er maar genoeg te halen valt, is een e-mail naar meerdere medewerkers in een bedrijf sturen een manier om in ieder geval iemand te laten klikken op een malafide link en dan is het kwaad al geschied. Het is niet voor niets dat ransomware (het versleutelen van bestanden en tegen betaling weer vrijgeven) zo vaak gebeurt: het werkt. Het is big business en er wordt heel veel geld mee verdiend.

Hoe ga je hiermee om? Wat als alle dure apparaten falen omdat iemand met toegang, zoals een medewerker, iets toestaat? Begrijp me niet verkeerd: dit is geen betoog om firewalls en goede authenticatiesystemen niet meer in te zetten. Mijn punt is dat er méér is dan dat.

Wij noemen het awareness creëren. Het is ook een standaardonderdeel van onze ISO-certificering. We creëren awareness in de organisatie om medewerkers, ook de niet-technische medewerkers, bewust te maken van gevaren die op de loer kunnen liggen. Voorbeelden zijn onder andere:

  • Denk altijd na voordat je een mail opent, ook al krijg je de mail van een collega doorgestuurd: want is dat wel zo? Er kan een link staan in de mail naar een website die niet bij het bedrijf hoort, maar er wel erg op lijkt.
  • Geef nooit gegevens vrij aan de telefoon zonder verificatie.
  • Voer nooit changes door op omgevingen zonder een duidelijke bevestiging van de klant.
  • Heb ik al contact gehad met deze partij/persoon, is hij of zij bekend?

Voor ons is het logisch: wij zijn niet anders gewend dan voorzichtig om te gaan met klantgegevens. Maar juist de organisaties waarbij IT niet de core business is, kunnen baat hebben bij dit soort awareness trainingen. Daar profiteert het bedrijf van, maar mensen worden er zelf ook wijzer van.


About Ruben van der Zwan

Ruben van der Zwan is de CTO bij Amsio en verantwoordelijk voor de technologiekeuzes van de organisatie en de productontwikkeling. De vertaling van complexe vraagstukken naar totaaloplossingen voor klanten en partners is hier onderdeel van. Ruben van der Zwan heeft meer dan 10 jaar ervaring in de hosting industrie en heeft een technische achtergrond.