Security awareness
Terwijl ik op zoek was naar sessies op de RSA Conference 2020, viel mijn oog op een presentatie met de volgende naam: Tackling cyber-enabled crime at scale: Moving enforcement forward. Voor iemand die behoorlijk verslaafd is aan Law & Order en ook dol is op cybersecurity, klonk dit als de echte versie van een slechts hackersserie, maar dan bij de politie van New York (NYPD).
De spreker, Nick Selby, vertelde een geweldig verhaal. New York heeft namelijk een groot probleem met cybercriminaliteit. Een probleem van negen cijfers. Het leek erop dat iedereen, van mensen van de digitale generatie tot de babyboomers, slachtoffer was geworden van cybercriminelen, van telefoonoplichters tot ransomware, een Nigeriaanse oom die geld nodig had, en meer.
En in de meeste gevallen belden de slachtoffers de NYPD. Maar elke keer dat de agenten die zo’n telefoontje kregen technische woorden zoals Bitcoin te horen kregen, was de eerste reactie zoiets als “Niet mijn pakkie-an,” want dat was allemaal net iets té cyber. In het hoofd van de politieagenten en rechercheurs was “cyber” iets waar andere instellingen over gingen. Ze raadden slachtoffers dan ook aan om de FBI te bellen, en dat was het dan.
Voor een stad ter grootte van New York was dat een probleem. Selby wist dat, net als zijn leidinggevenden bij de NYPD, die Selby de opdracht gaven om een cultuurverandering teweeg te brengen en agenten te trainen om zo ook begaan te zijn met cybersecurity.
De hele presentatie boeide me enorm, en alle coole dingen die het team deed om cybercriminaliteit te stoppen en mensen te helpen hun zuurverdiende geld terug te krijgen werden besproken. Het is niet aan mij om dit verhaal opnieuw te vertellen, maar ik raad van harte aan om de volledige presentatie hieronder te bekijken:
Maar waar ik maar aan bleef denken na die presentatie was het volgende: Selby moest een cultuurverandering teweegbrengen en agenten trainen om ook begaan te zijn met cybersecurity.
Iedereen die wel eens een veiligheidstraining heeft geleid heeft wel eens sarcastische vragen of opmerkingen te horen gekregen zoals:
Ik werk in financiën, wat zou mij dit uit moeten maken?
Ik werk aan de receptie, wat zou mij dit uit moeten maken?
Ik werk bij de servicedesk, kom op zeg, vertel mij wat over veiligheid!
En mijn favoriete klaagzang die ik op kantoor heb gehoord:
Ugh, veiligheidstraining, ALWEER?
We hebben dit allemaal wel eens meegemaakt en we hebben allemaal wel eens iets moeten doen waarvan we vonden dat het niet nodig was voor ons werk. Het probleem is echter dat cybersecurity overal raakvlakken mee heeft. Echt. Dit zijn een paar voorbeelden van de gemiddelde werkplek:
- Financiën — zij beheren het geld. Hoeveel scams hebben we wel niet besproken die gingen over geld dat naar de verkeerde rekening werd overgemaakt?
- Receptie — het eerste gezicht dat u ziet, degene die iedereen het gebouw in laat. Receptionisten zijn normaal gesproken ook degenen die de wifi-gegevens aan gasten verstrekken. Denk aan de rol van de receptie bij het beschermen van bedrijven tegen schurken zoals degenen die schadelijke hardware met de bedrijfsnetwerken verbonden.
- Servicedesk — zij repareren computers en beheren apparaten. Wie geeft u een USB-stick als u een PowerPoint van de ene naar de andere computer moet overzetten? Zonder IT gaan mensen wellicht op zoek naar achtergelaten drives die in het kantoor rondslingeren.
Ziet u wat ik bedoel? Alle werknemers zijn technische gezien aanvalsvectoren, maar er wordt normaal gesproken niet gedacht aan de hierboven genoemde voorbeelden.
Wat kunnen we van de NYPD leren?
In tegenstelling tot de cybersecurity-trainingen bij bedrijven, werden er bij de NYPD politieagenten getraind, maar hun taken en uitdagingen waren erg vergelijkbaar, en dus ook de leidende principes:
Hou het simpel. De grootste succesfactor bij de NYPD was misschien wel dat ze de training duidelijk en to the point hielden. Ik geloof dat het aantal slides in hun trainingssessies beperkt bleef tot maximaal 20. Zorg er bij het plannen van trainingsmateriaal voor uw personeel voor dat er duidelijke doelen worden gesteld om werknemers te laten zien waarom het belangrijk is en hoe die doelen behaald worden.
Geef uw personeel meer mogelijkheden. Een andere geweldige aanpak die Selby en zijn team gebruikten was het aanbieden van een app om agenten te helpen cybercriminaliteit te coderen, waardoor het makkelijker werd om vervolgens de juiste onderzoeken op te starten. Ik wil hier niet mee zeggen dat u een app voor uw bedrijf moet creëren. Ga in plaats daarvan op zoek naar manieren om uw werknemers mogelijkheden te bieden om uw training in de praktijk te brengen. Als ze iets verdachts zien, hoe kunnen ze hier dan melding van maken? Als ze een phishing-e-mail krijgen, hoe kunnen ze die dan voor het hele bedrijf blokkeren, of waar moet die naartoe worden gestuurd?
Toon resultaten. De NYPD meet al het mogelijke, en met dit programma begonnen ze ook met het meten van “cyber”, zodat agenten konden zien dat hun werk ook daadwerkelijk hielp bij het onderzoeken van meer misdaden in hun buurten. Ze konden ze ook zien hoe groot het probleem was en hoe hun rol hielp om cybercriminaliteit te bestrijden. Uw werknemers nemen het misschien niet tegen criminelen op, maar u kunt ze wel laten zien hoe hun bewustzijn echt helpt. U kunt bijvoorbeeld in regelmatige updates delen over hoe er negen ransomware-aanvallen werden tegengehouden of 200 phishing-e-mails in een jaar werden geblokkeerd.
Uw training hoeft niet per se high tech of duur te zijn. Het delen van interne expertise kan al tot grote veranderingen voor uw organisatie leiden.
Zelfs als het opstellen van een cybersecurity-training er dit jaar niet inzit voor uw bedrijf kunnen we u helpen. Kaspersky biedt een reeks met gratis veiligheidstrainingscursussen aan die u met uw werknemers kunt delen om een begin te maken.
Tips