Is jouw oma misschien een hacker?

Opinie

Is jouw oma misschien een hacker?

Zijn medewerkers bewust van menselijk aspect van hacken?

Er zijn veel verschillende vormen van ‘hacks’, waarbij de hacker er niet altijd zo uitziet als je misschien zou denken. Daarom is het van belang dat organisaties de juiste maatregelen nemen om zowel de organisatie als de medewerkers te beschermen.

Bij een ‘hacker’ denken mensen vaak aan een onaantrekkelijke jongeman in een slecht verlichte kelder met een scherm vol computerscripts. In de realiteit zijn er veel verschillende vormen van ‘hacks’, waarbij de hacker er niet zo uitziet als je misschien zou denken. Simpele hacks die je oma zelfs uit kan voeren.
 

Stel je de volgende situatie voor:

  1. Je koopt 30 USB-sticks met het logo van een bedrijf erop;
  2. Je downloadt een virus en zet het op de USB-sticks;
  3. Je loopt achter iemand aan het bedrijf binnen, waarbij deze persoon zeer vriendelijk de deur voor je open houdt.
  4. Je legt de USB-sticks neer op verschillende plekken in het pand;

Je loopt het pand weer uit, want een badge om naar buiten te komen is niet nodig.
Hoe groot schat je de kans in dat één van deze USB-sticks opgepakt en geopend wordt met het idee dat de eigenaar wellicht gevonden kan worden aan de hand van de informatie op de USB-stick? Voor een nog grotere slagingskans loop je naar de receptie toe en zeg je ‘ik heb deze USB-stick gevonden’. Grote kans dat de receptioniste de bestanden op de USB-stick zal bekijken om de rechtmatige eigenaar te achterhalen.
 

Stel je een tweede situatie voor:

  1. Je registreert een simpele website;
  2. Je zoekt een lijst met werknemers op van een bedrijf via LinkedIn.
    Veel bedrijven hebben een standaard formule voor hun emailadressen – bijvoorbeeld: voornaam.achternaam @ bedrijfsnaam.nl, waardoor één e-mailadres genoeg informatie geeft;
  3. Je stelt een lijst op van adressen en mailt iedereen dat ze geselecteerd zijn voor een proefronde van ‘iPads op het werk’ en dat ze via een link in de e-mail, welke gemaakt is in de huisstijl van de organisatie, moeten inloggen om mee te doen aan de proefronde.

Hoeveel mensen zullen hier hun inloggegevens invullen? Als je nog gerichter te werk gaat, kan je werknemers van te voren opbellen en ze aan de telefoon vragen of ze mee willen doen.


Informatiebeveiliging is breder dan IT

Je hebt als medewerker niet altijd in de gaten dat jij de zwakke schakel kunt zijn voor hackers om binnen te komen. Ook bij organisaties bestaat vaak nog het beeld dat informatiebeveiliging alleen IT-systemen betreft. In werkelijkheid zijn de meest succesvolle hacks een combinatie van het omzeilen van fysieke beveiliging, het misbruiken van het vertrouwen van mensen en vervolgens door middel van malware de organisatie van binnenuit bestelen/saboteren. Ook hackers zullen namelijk de weg van de minste weerstand zoeken en het is vele malen makkelijker van binnenuit een aanval uit te voeren dan een frontale cyberoorlog te beginnen. Om een bedrijf volledig te kunnen beschermen, is het dus essentieel om te kijken naar informatiebeveiliging die breder is dan alleen IT.


Begin maar met trainen!

Voor cyber en fysieke beveiliging zijn vaak oplossingen voor handen, meestal een combinatie van preventieve en detectiemaatregelen. Het menselijke aspect is echter minder tastbaar, en werknemers bewust maken is dan ook de beste verdediging tegen dergelijke gecombineerde aanvallen. Door dergelijke incidenten/scenario’s regelmatig te testen, zelf of door een externe partij, worden werknemers zich bewust van de verschillende soorten aanvallen waar ze mogelijk doelwit van kunnen worden. Dit wordt ook wel ‘red teaming’ genoemd en het doel ervan is dat werknemers weten wat zij moeten doen wanneer een incident echt plaatsvindt. Je kunt er zelfs een leuk spelletje van maken. Denk bijvoorbeeld aan een uitdaging als: ‘Wie het eerste het nepmailtje meldt bij de beveiliging, krijgt zijn lunch gratis!’ En zo zullen ze een kwaadwillende oma toch herkennen…

Vond u dit nuttig?

Gerelateerde onderwerpen