Meerderheid van alle Nederlanders erkent cybergevaar niet

Het creëren van bewustwording is één van de belangrijkste tactieken in de strijd tegen cybercriminaliteit. Uit herhaaldelijke marktonderzoeken blijkt namelijk dat de mens de grootste rol speelt in succesvolle aanvallen. “Mensen herkennen de gevaren niet”, vertelt Eddy Willems van G DATA. Jihane Abid vult aan: “Er ontbreekt veel kennis, maar de trainingen moeten ook wel interessant genoeg zijn om te volgen.”

Uit onderzoek van G DATA blijkt dat 63 procent van alle Nederlanders denkt dat ze nog nooit een risico op het vlak van cybersecurity hebben genomen. En dat terwijl onderzoeken van onder andere IBM, Verizon, het Digital Trust Center van het Ministerie van Economische Zaken en het Centrum voor Cybersecurity België (CBB) aantonen dat de meeste cyberincidenten wel degelijk door menselijke fouten zijn ontstaan.

Geen consequenties voor hun acties
“De mensen die zeggen dat ze nog nooit een cyberrisico hebben gelopen, herkennen de gevaren niet die ze lopen”, vertelt Eddy Willems, Security Evangelist bij G DATA. Jihane Abid, International Sales Manager bij dezelfde organisatie vult aan: “Ze weten niet dat hun acties onveilig waren omdat er op dat moment geen consequenties waren. Misschien heb je niet bewust een fout gemaakt, maar ik zou zelfs niet met zekerheid kunnen zeggen dat ik onbewust geen risico heb gelopen. ”

Van de mensen die aangaven ooit een risico te hebben gelopen op cybersecurityvlak zegt honderd procent dat ze weleens een menselijke fout hebben gemaakt op het werk. Dat is pijnlijk én begrijpelijk, want slechts 55 procent van alle Nederlandse organisaties heeft iets gedaan om menselijke fouten te voorkomen. De meeste organisaties investeren namelijk vooral in technologie en slechts 11 procent heeft geïnvesteerd in security-awareness-trainingen.

Er ontbreekt kennis, zeker in het mkb
“Niet elke organisatie heeft een security officer, waardoor een directielid of HR-manager de taak op zich moet nemen om security te organiseren. Er ontbreekt dus heel veel kennis, zeker in het mkb. Ook omdat het hebben van een security officer niet verplicht is voor kleinere organisaties”, vertelt Abid. Willems vult aan: “Zeker awareness laten ze vaak links liggen. Bij kleine organisaties staat het niet eens op de agenda of de kosten zijn te hoog.”

Willems gaat verder: “Maar eerlijk is eerlijk, we horen uit de markt dat heel veel security-awareness-trainingen saai zijn. Tussen de cursussen die worden aangeboden bestaan veel verschillen, maar als je lappen tekst moet lezen, zijn mensen vaak niet gemotiveerd om zo’n training te volgen. Daarom hebben wij ervoor gekozen om een interactieve training te ontwikkelen.”

Korte video’s en regelmatige phishingtesten
Abid: “Ik snap het ook wel dat medewerkers niet zitten te wachten op trainingen met lange video’s of webinars. Het is niet gerelateerd aan je functie en het neemt veel tijd in beslag. Daarom bieden we korte video’s met regelmatige phishingtesten, zodat we medewerkers scherp houden. Wij bieden ook kleine examens, zodat medewerkers echt onthouden wat ze hebben geleerd. En herhaling is noodzakelijk.”

Dat bewustwording rondom het thema cybersecurity voortdurend doorloopt, is niet anders dan hoe de security op technologisch vlak geregeld wordt. “Neem updatemanagement: voorheen wachtten we met patchen tot we alle software en toestellen in één keer konden updaten. Maar dat kan niet meer. Zeker als je oplossing is gekoppeld aan internet, is het belangrijk dat je updates direct doorvoert om geen risico’s te lopen”, aldus Willems.

Aanvallen via privéaccounts
Een andere reden waarom herhaling zo belangrijk is, is dat cyberattacks zich ook ontwikkelen. Eén van de trends is bijvoorbeeld hoe criminelen via privéaccounts, zoals mail en opslag van OneDrive en Google, binnenkomen bij bedrijven. Abid: “Dat is deels op te lossen met technologie, maar ook awareness speelt een rol. Je kunt bijvoorbeeld zeggen: als je een privéaccount gebruikt, zorg er dan voor dat je dezelfde beveiligingsmethoden gebruikt als voor je zakelijk account.”

Een andere trend is de tijdelijke terugval in het aantal Android-aanvallen. “Tijdens het begin van de oorlog tussen Oekraïne en Rusland zagen we het aantal malware aanvallen op Android naar beneden tuimelen. Ik denk dat hackers die zich specialiseren in Android-aanvallen hebben meegeholpen in de oorlog. Helaas zitten de aantallen weer op het niveau als van voor de oorlog”, aldus Willems.

Niet preventief beschermen op een iPhone
En hoe zit het dan met Apple (iOS en iPadOS)? Willems vertelt: “Apple is een veiliger systeem, omdat het een gesloten systeem is, waar Android een open systeem is. Maar aan de andere kant zijn ze ook vaak te laat, zoals met Pegasus-spyware die eind vorig jaar actief was. En de securitymarkt kan geen security apps maken die preventief je iPad of iPhone beschermen en er dus niet voor zorgen dat je iPhone of iPad extra veilig wordt.”

Natuurlijk wordt awareness aangevuld met technologie om de beste resultaten te behalen en volgens Willems gaat artificial intelligence (AI) daar een belangrijkere in spelen. “AI kan bijvoorbeeld voorkomen dat elementen waar we nu makkelijk intrappen al worden afgevangen door bijvoorbeeld een poort dicht te gooien. We zitten nu in de beginfase, ook met onze AI-oplossing BEAST en DeepRay, maar ik denk dat AI steeds belangrijker wordt.”

Om partners op de hoogte te houden van de ontwikkelingen organiseert G DATA in het eerste kwartaal van 2023 een Tech Day. “We hebben in Duitsland gezien dat zo’n dag heel goed wordt ontvangen en daarom willen we die ook organiseren in de Benelux. Maar ook organiseren we meerdere keren per jaar voor partners en hun klanten webinars en demonstraties. En kunnen partners testlicenties voor eindklanten aanvragen.”

Auteur: Anne van den Berg