Vingerwijzen na een cyberaanval is niet zinvol

Gebruikers simpelweg vertellen dat ze niet zomaar op links moeten klikken of dat ze moeten oppassen voor social engineering valkuilen, werkt niet. Een recent advies van het Britse National Cyber Security Centre bevestigt dit en ontmoedigt bangmakerij om werknemers beveiligingsbewustzijn bij te brengen. In plaats hiervan worden organisaties aangemoedigd om kritisch na te denken over hoe ze technische securitymaatregelen kunnen combineren met een werkomgeving waarin werknemers zich veilig en gesteund voelen om phishing pogingen en verdachte links te melden.

Empathie

Eindgebruikers van organisaties die slachtoffer zijn geworden van een incident zouden zelden de schuld hiervan moeten krijgen. Het is al moeilijk genoeg voor werknemers om hun werk goed uit te voeren, zonder daarbij 24/7 na te denken over security. Het is de verantwoordelijkheid van leidinggevenden om het werknemers zo makkelijk mogelijk te maken hun werk te doen, en daarmee te voorkomen dat ze vallen voor social engineering-aanvallen.

Toen bijvoorbeeld Uber werd gehackt maakte de aanvaller alleen gebruik van social engineering en multi-factor authentication ‘vermoeidheid’. De verantwoordelijkheid voor de hack lag technisch gezien bij de werknemer die werd overgehaald om de inlogverzoeken van de aanvaller te authentiseren. Gelukkig hielden noch Uber, noch de media, noch de cybersecurityindustrie deze werknemer verantwoordelijk voor het maken van een oprechte vergissing. Social engineering aanvallen zijn specifiek opgezet om vooral werknemers te misleiden die zelf geen securityspecialist zijn.

In gepaste mate

Echter, niet alle aanvallen zijn gelijk en er moet niet altijd zoveel empathie getoond worden bij het aanwijzen van een schuldige. Mocht het bij een bedrijf als Twitter in de nabije toekomst tot data-inbraak komen, zal er minder empathie zijn omdat de nieuwe eigenaar Elon Musk het securityteam van Twitter heeft ontmanteld. Musk ontsloeg vrijwel onmiddellijk na zijn komst meer dan de helft van het bedrijf, waarop ook de leiders van het bedrijf die verantwoordelijk waren voor compliance, privacy en security ontslag namen.

Uit een rapport blijkt dat senior IT managers de schuld voor een data-inbraak vaak neerleggen bij het eigen cybersecurity- of IT-team (47%), terwijl maar weinigen zelf de verantwoordelijkheid zouden nemen (12%). Sommige bedrijven nemen CISO’s alleen maar aan om hen de schuld te kunnen geven wanneer zich een securityincident voordoet. Dit creëert echter een onaangename werkomgeving.

Bovendien is het maar de vraag of dit de beveiliging ten goede komt. In een onderzoek van Nominet geeft een kwart van de ondervraagde CISO’s aan dat de board van hun bedrijf niet begrijpt dat data-inbraken onvermijdelijk zijn. Desondanks houden diezelfde bestuurders hun CISO’s bij eventuele incidenten persoonlijk verantwoordelijk. Daarbij gaf 20% van de bevraagde CISO’s aan dat ze dan ontslagen zouden worden. Een cynische conclusie is dan ook dat organisaties niet per se een CISO aanstellen omdat ze beter willen zijn in security.

Blijven streven

De schuld neerleggen bij eindgebruikers, het securityteam of de securitymanager is dus niet de oplossing. Het is beter om simpelweg te accepteren dat goed securitypersoneel en het beschikbaar stellen van cybertools essentieel zijn in het niet aflatende streven naar betere security. Over het algemeen snappen de meeste organisaties cybersecurity steeds beter en de instroom van voormalig cybersecurityanalisten als CISO’s betekent dat deze functie in de toekomst beter gefinancierd en gerespecteerd zal worden. Een cruciale stap naar een meer uitnodigend cybersecuritywerkveld is nog het afschaffen van onnodig vingerwijzen.