83 procent van de bedrijven in Nederland denkt dat fouten van medewerkers de grootste risicofactor zijn voor een cyberaanval, bleek uit onderzoek van EY. En in 2016 werd een op de vijf bedrijven getroffen door een cyberaanval, becijferde het CBS. Dit zorgde bij de helft van die bedrijven voor extra kosten om de online beveiliging aan te scherpen.
Virtual reality-training
Cybersecuritybedrijf Motiv heeft een nieuwe manier gevonden om medewerkers bewust te maken van de consequenties van een hack: shocktherapie. Met virtual reality-trainingen laten ze medewerkers beleven wat voor chaos er kan ontstaan als je een fout maakt die een hacker in het bedrijfssysteem binnenlaat. Business development director van Motiv, Bastiaan Bakker: ‘Mensen weten wel dat het risico bestaat, maar dat bewustzijn zakt snel weg. Ze gaan er vanuit dat het bedrijf de online beveiliging regelt en hebben niet door dat ze zelf verantwoordelijk kunnen zijn voor het failliet gaan van het bedrijf.’
Het kan al zo simpel zijn als op een verkeerde link klikken in een dubieus mailtje, zo zien medewerkers in de VR-video. Er wordt een situatie nagebootst waarbij de grootst mogelijke chaos ontstaat na een menselijke fout, waardoor hackers toegang krijgen tot het bedrijf. Zelfs de burgemeester wordt op het matje geroepen en de hele stad breekt in paniek uit. Later in de video ontdekt de persoon in kwestie dat het zijn eigen fout bleek te zijn. ‘Juist door het zelf te ervaren, creëer je bewustwording. Je kunt de gevolgen ook uitleggen in een speech of in een boek, maar dat blijft toch minder goed hangen. De VR-omgeving maakt veel meer indruk, omdat je ziet en voelt wat er allemaal mis kan gaan. Dat vergeet je niet snel’, legt Bakker uit.
Ontwikkeling cybercriminaliteit
Nu weten de meeste mensen wel dat ze niet op een link moeten klikken in een mail die in slecht Engels geschreven is, van een totale vreemde is of wanneer je ‘gratis’ geld hebt gewonnen. ‘Ja’, geeft Bakker toe, ‘dat weet mijn moeder van 71 inmiddels ook. Maar het punt is dat cybercriminelen steeds slimmer te werk gaan. Wanneer ze je een phishing-mail sturen, controleren ze bijvoorbeeld eerst je social media of je blog. Heb je toevallig van het weekend iets gepost over een feestje of op de hockeyclub? Dan kan de crimineel daar op inspelen met het argument er ook te zijn geweest en een video of foto te hebben gemaakt. Wij hebben ethische hackers in dienst die dit soort nepmails angstaanjagend goed na kunnen maken. Het is steeds moeilijker om te herkennen wat nep is.’
Ook voor bedrijven is het steeds lastiger om cybercriminelen te herkennen. CFO-fraude (ook wel CEO-fraude genoemd) is een steeds vaker voorkomende vorm van hacken. Er wordt dan uit naam van de CFO of CEO een nepmail gestuurd met de mededeling dat ene ‘Tom van KPMG’ gaat bellen over een overnameklus. Dit zou kloppen en hij zou verzoeken tot het overmaken van 10.000 euro naar banknummer X. Ook dit zou akkoord zijn. Een paar minuten later belt ‘Tom van KPMG’ met precies hetzelfde verzoek. Bakker: ‘Ze proberen het dus veilig te laten lijken, want het is een opdracht van de baas. Deze vorm van cybercrime is gevaarlijk, omdat het goed werkt. Vooral grote bedrijven zijn hier vatbaar voor, omdat de lijntjes hier meestal niet kort zijn. Er zitten verschillende managementlagen tussen de medewerkers van de financiële afdeling en de CEO en de hiërarchie is strenger. Mensen kennen elkaar minder goed. Aan de andere kant worden medewerkers hier wel vaker gecontroleerd. Iemand kan niet zomaar 10.000 euro overmaken zonder autorisatie te krijgen van een of twee managers. Bij een mkb-bedrijf is dat juist weer makkelijker, omdat de hiërarchie minder aanwezig is en de controle vaak minder streng.’
Datalekken voorkomen
Al dit soort voorbeelden komen voor in de VR-training. Wat de video vooral moet laten zien, is dat het vaak een menselijke fout is die zorgt voor het lek. ‘Een IT’er die per ongeluk online iets open zet in plaats van dicht zet. Mensen die niet goed opletten en op een verkeerde link klikken, maar vooral medewerkers die een mail naar de verkeerde persoon sturen.’ Die laatste fout wordt vaak gemaakt. Volgens het laatste kwartaalrapport van de Autoriteit Persoonsgegevens is 46 procent van de 2.509 datalekken afkomstig van het sturen van gegevens aan de verkeerde ontvanger. Eerdere rapporten gaven een soortgelijk percentage aan. ‘Dat is alleen een minder spannende vorm van datalekken, daarom hoor je er minder over in de media’, aldus Bakker.
Wanneer de VR-trainingen echt aanslaan in het bedrijfsleven, wil Motiv ook gepersonaliseerde video’s gaan aanbieden. Momenteel bieden ze generieke VR-trainingen aan, met video’s die een vrij algemene situatie weergeven. ‘Wanneer je een situatie van een specifiek bedrijf kunt nabootsen, zal de boodschap nog veel beter overkomen. Dat is het plan voor de toekomst.’