Train je werknemers tegen gevaren van social engineering

Social engineering, dat is de verzamelnaam van trukendozen waarmee cybercriminelen misbruik maken van menselijke eigenschappen als nieuwsgierigheid, vertrouwen, hebzucht, angst of onwetendheid. Deze criminelen worden ook wel social engineers genoemd. Wieringa: ,,Cybercriminelen focussen op de kwetsbaarheid van de mens. Ze spelen een psychologisch spelletje met ons en maken gebruik, of misbruik, van je emotie. Ze pákken mensen op de zwakheden van het brein, om op die manier bepaalde informatie te ontfutselen. En geloof me, ieder mens heeft zwakheden.’’

Vormen van manipulatie: phishing en smishing

Phishing en smishing zijn bekende vormen van manipulatie, aldus Wieringa. ,,Je krijgt een mailtje, sms of WhatsApp-bericht waar een bepaalde mate van urgentie achter zit. In het bericht staat bijvoorbeeld dat je betaalpas kapot is of dat je wachtwoord is gehackt. Door deze urgentie proberen ze een reactie uit te lokken. En ze maken het je makkelijk, want doen er een linkje bij. De berichtjes zijn zogenaamd afkomstig van bekende banken of andere instanties en zien er soms akelig echt uit, waardoor mensen erin trappen.

Wanneer je op het linkje klikt, kunnen criminelen bijvoorbeeld doordringen tot een beveiligd systeem. Zo ontfutselen ze data die vervolgens op het dark web terechtkomt, de zwarte markt van internet.’’ Naast phishing en smishing is malware een manier om ‘mee te kijken’ of een systeem zelfs plat te leggen. Malware is schadelijke software die onder meer via e-mail of hyperlinks wordt geïnstalleerd zonder dat je het vaak doorhebt.

Security awareness trainingen en phishing-simulaties

Menselijk falen is de primaire oorzaak van succesvolle cyberaanvallen, weet Wieringa. ,,Exacte cijfers zijn er niet, maar de schatting ligt tussen de 70 en 90 procent. Cybercriminelen vallen niet je antivirusprogramma of firewall aan, maar wat áchter die technologielaag zit: jij en ik, de mens dus. En juist daar richt KnowBe4 zich op: de mens. Anders gezegd: wij sleutelen niet aan systemen, maar aan mensen.’’

KnowBe4, een Amerikaans platform dat in 2010 is opgericht, is leverancier van security awareness trainingen en phishing-simulaties. Wieringa is Security Awareness Advocate. In die rol reist hij normaal gesproken de wereld rond om onder meer bedrijven en brancheorganisaties over de gevaren van social engineering te vertellen, maar vooral ook wat je ertegen kunt doen. ,,Bewustzijn creëren, daar gaat het om. Soms word ik gekscherend evangelist genoemd, maar in sommige landen valt die term niet altijd even goed.’’

Gevaren van social engineering

Wieringa merkt gelukkig dat steeds meer bedrijven zich bewust zijn van de gevaren van social engineering. ,,Veel bedrijven zitten nu in de hoe-fase: hoe gaan we ons er tegen wapenen? Ze worstelen er mee. Kijk, een bedrijf vindt het volstrekt normaal om één keer per jaar een brandoefening te doen. Het alarm gaat af, de werknemers verlaten het pand en verzamelen zich vervolgens op de parkeerplaats. Mijn credo: als je fysieke beveiliging zo belangrijk vindt, trek dan ook het digitale erbij. Met KnowBe4 kunnen we binnen een bedrijf op verschillende momenten testmailtjes sturen, vergelijkbaar met een brandoefening. Niet een keer per jaar, maar maandelijks. Het lijkt op phishing, alleen sturen we geen malafide software mee. We testen hoe werknemers reageren. Trappen ze er in? Dan kunnen wij uitleggen wat ze de volgende keer beter kunnen doen. We kunnen ze een training aanbieden zodat ze phishing wel herkennen.’’

Op de foto Jelle Wieringa. Tekst gaat verder onder de foto.

Een uitgebreide en complete leeromgeving

KnowBe4 biedt een cloudplatform met een zeer uitgebreide en complete leeromgeving. Intussen beschikt KnowBe4 over duizenden test e-mails, spelletjes, trainingen en (instructie)-video’s. Het platform biedt tekenfilms en animaties van een paar minuten tot en met de prijswinnende serie The Inside Man. Wieringa: ,,Wat dat betreft zijn we net een productiebedrijf, met scriptschrijvers, producenten, regisseurs, maar we hebben ook gedragspsychologen in dienst. De rode draad van al onze producties is dat ze allemaal een educatief element rond social engineering in zich hebben.''

,,Een training wil je relevant maken voor de eindgebruiker, toch? Een training moet motiverend zijn, maar ook makkelijk en laagdrempelig. Neem generatie X: die leeft met de smartphone. Die ga je toch niet dwingen om naar een saaie PowerPointpresentatie te kijken? Geef ze filmpjes die ze in de bus naar huis kunnen bekijken, of thuis op de bank. Het is gewoon een andere manier van leren. Veel ondernemers denken bij een training aan een klaslokaal, dat ze hun medewerkers uren kwijt zijn en dat ze ook nog eens een dure consultant moeten inhuren. Het is niet nodig.’’

Behaav en KPN

KnowBe4 – wereldwijd een van de grootste spelers - levert trainingen en software niet rechtstreeks aan klanten, maar werkt via partners als Behaav en KPN. Wieringa: ,,Je moet het zo zien: wij bouwen populair gereedschap, maar de eindklant koopt niet van KnowBe4. Er zijn gelukkig veel timmermannen die met ons gereedschap willen werken.’’

Wieringa vindt dat bedrijven -klein en groot - simpelweg moeten beginnen met het trainen van mensen. ,,En een slecht begin bestaat niet. Als je maar begint. Benoem het, erken als organisatie de gevaren van social engineering, train je mensen, maar overvoer ze niet. Je hoeft ook niet ineens grote bedragen uit te geven. Sterker, er zijn zelfs gratis tools op de markt. Begin klein, ga meten wat het oplevert. Zie je effect, dan kun je investeren. Beschouw het niet als kosten, maar als een investering. Een nuanceverschil, maar wel een belangrijke. Het is risicoafdekking. Je wil bewustzijn creëren en uiteindelijk gedragsverandering. Zo verklein je de kans dat je bedrijf wordt platgelegd door social engineering aanzienlijk. Begin, voor het te laat is.’’

Voor meer informatie, zie www.Knowbe4.com.