Drie jaar Security Awareness – Lessons Learned

Geplaatst door CorporatieMedia op
 

Het is inmiddels drie jaar geleden dat Claranet de dienst Security Awareness in het portfolio heeft opgenomen. In die tijd hebben ze ruim 25 woningcorporaties als klant mogen begroeten en is de dienstverlening op basis van de feedback verbeterd en aangepast naar de specifieke wensen van de woningcorporaties. Tijdens CorporatieGids LIVE Kennisdag 2022 werd teruggekeken op de afgelopen tijd. Wij spreken erover met Peter van den Broek, Account Manager bij Claranet, en vroegen ook waarom deze dienstverlening uitermate geschikt is voor woningcorporaties en hun medewerkers.

Wat is Security Awareness?
Security Awareness pakt de zwakste schakel in de keten aan, de mens. Waar in het verleden de technische maatregelen de uitdaging vormden, is dat anno 2022 niet meer het grootste probleem. De firewall en de anti-virus-scanner zijn tegenwoordig wel aanwezig, waardoor de cybercriminelen hun aandacht verlegd hebben naar de eerstvolgende zwakste schakel; de medewerker. Onze Security Awareness-dienst maakt de medewerker weerbaarder tegen de letterlijk talloze pogingen die gedaan worden om te verleiden om op een link te klikken, gegevens te delen of op een ander manier toegang te geven aan een buitenstaander. Met behulp van herkenbaar (video)materiaal en gemanipuleerde testscenario’s (phishingmails) wordt de medewerker opgeleid om de pogingen te herkennen en zodoende weerbaarder te worden. We noemen dat “de menselijke firewall” en dat is een goede omschrijving van de extra verdediging die opgeworpen wordt. 

Waarom moet elke woningcorporatie hiermee aan de slag?
Sterker nog, niet alleen woningcorporaties, maar ELKE organisatie moet hiermee aan de slag. Er is haast geen branche meer te bedenken, die IT niet gebruikt als ondersteuning van hun volledige business. Daarmee is elke organisatie in de basis een IT-organisatie, en dus kwetsbaar voor een hack of datalek. Dat geldt zeker voor een woningcorporatie met de combinatie van een grote hoeveelheid huurders en de gevoeligheid van persoonlijke gegevens die opgeslagen wordt. Er wordt al actief gejaagd op woningcorporaties en software/applicatieleveranciers in deze branche, met de pijnlijke gevolgen van dien. Security moet je serieus nemen, anders kom je geheid aan de beurt!

In de zomer 2021 spraken we al over jullie Security Awareness-dienst, wat is er veranderd?
Afgelopen jaar hebben we onze dienstverlening uitgebreid met een adoptie-module. We zagen namelijk dat er een duidelijk verschil in de resultaten te zien was op het moment dat een organisatie serieus met de dienst aan de slag ging in vergelijking met een organisatie die het niet echt actief oppakte. En het kan gebeuren dat Security Awareness niet top of mind is, dat het lastig past in het drukke werkschema of de weg binnen het platform onvoldoende werd gevonden. Deze dienst kost niet veel, zeker niet in vergelijking met de schade die je kan oplopen bij een cyberinbraak of datalek. Voor de kosten van een kop koffie per maand heb je een medewerker security-bewust. Maar dan is het nog steeds zonde van het geld als je de dienst wel afneemt, maar om wat voor reden laat liggen. Dan is ondersteuning van onze Adoptie Consultants een mooie springplank naar succes. 

En scheelt dat veel?
Na de introductie van de inzet van de adoptie-module hebben we de resultaten gezien en die zijn uitermate bemoedigend. Je ziet dat een gemiddelde onboarding ruim 2 keer zo snel gaat; waar je in een normaal scenario na zo’n 4 maanden resultaat ziet en het aantal geslaagde (maar geënsceneerde) phishingpogingen significant ziet dalen, is dat met inzet van de adoptie-module nog maar 2 maanden. En als je dat vergelijkt met een niet-actieve onboarding, is het verschil helemaal enorm. Daar zie je amper verschil met de nul-meting, maar dat is ook logisch; je moet het wel oppakken en actief mee aan de slag gaan.

En als je kijkt over de jaren heen, wat zie je dan?
Die vergelijking is een moeilijke. Je moet namelijk rekening houden met veranderde omstandigheden. Vooral vanaf het moment dat er in 2020 veel gedwongen thuis gewerkt werd, zie je dat medewerkers zich anders gedragen. Thuis zitten geeft toch een andere mindset waardoor men minder alert was. Tegelijkertijd nam het aantal echte phishing-aanvallen ook nog eens aanzienlijk toe. Cybercriminelen zagen de beweging naar thuiswerken namelijk als extra kans en het aantal aanvallen werd aanzienlijk opgeschroefd. Tegenwoordig worden cyberaanvallen en de daarbij opgelopen schade aan data gezien als de nummer 1 risico door Nederlandse organisaties (zie 1). Overigens kan je verwachten dat we hetzelfde weer zien nu er massaal op kantoor gewerkt gaat worden. E-mail lezen en verwerken is eigenlijk gewoon een routineklus. En als je dan de locatie, tijdstip én omgevingsinvloeden verandert, dan ben je minder op je hoede en net wat minder scherp om juist te reageren op de veelal uitermate geraffineerde pogingen die ondernomen worden.

Hoe vaak vindt phishing dan plaats?
Als we onze testdata vergelijken met het aantal hacks dat in de openbaarheid komt, zien we een gigantisch discrepantie. Het is maar het topje van de ijsberg dat te zien is. Hier is de schaamte en angst voor reputatieverlies vaak een belangrijke invloed. Zolang het niet persé nodig is om in de openbaarheid te treden, wordt het vaak niet gedaan. Als we een nulmeting uitvoeren zie je dat je gemiddeld boven de 30% ‘succesvolle’ phishingpogingen uitkomen. Met onze Security Awareness-trainingen kan je dit terugbrengen naar een gemiddelde onder de 5%. Dat is uiteraard nog steeds 5% te veel maar je hebt ook te maken met bijvoorbeeld nieuwe starters in een organisatie, die de training nog niet hebben gedaan, maar wel kan zorgen dat cybercriminelen binnenkomen. Dat pleit er gelijk voor om het onderwerp organisatiebreed op te pakken. Het is niet alleen de taak van een IT-afdeling of Security Officer, maar zorg dat je bijvoorbeeld de HR-afdeling meeneemt, zodat nieuwe collega’s direct training krijgen. 

Zit er verschil tussen het gemiddelde, en woningcorporaties?
Jazeker, we zien dat woningcorporaties gemiddeld vrij hoog zitten bij de eerste nulmeting. Daar kun je allerlei verklaringen voor geven, vanuit gemiddelde leeftijd en traditioneler gebruik van IT tot ervaring met nieuwe technologie en achterliggende levensstijlen en ideologieën. Feit is dat je ziet dat medewerkers van woningcorporaties het na een training beter doen dan gemiddeld. De manier waarop de training opgezet is, werkt dus beter dan gemiddeld binnen deze branche. Dat is een extra motivatie om te zorgen dat de trainingen actief worden gevolgd. 

Bron: Claranet, Foto: Claranet