usecure Blog

De Rol van Menselijke Fout bij Succesvolle Inbreuken op de Cyberbeveiliging

Geschreven door Micke Ahola | 14 september 2021 9:09

Er is geen enkel persoon die nooit fouten maakt. Sterker nog, fouten maken is een belangrijk onderdeel van de menselijke ervaring - dat is hoe we groeien en leren. In cyberbeveiliging worden menselijke fouten echter veel te vaak over het hoofd gezien.

Volgens een studie van IBM zijn menselijke fouten de hoofdoorzaak van 95% van de inbreuken op de cyberbeveiliging. Met andere woorden, als menselijke fouten op de een of andere manier volledig vermeden konden worden, zouden 19 van de 20 cyberinbraken misschien helemaal niet hebben plaatsgevonden!

Waarom veroorzaken menselijke fouten zoveel inbreuken en waarom hebben bestaande oplossingen gefaald om dit aan te pakken? Laten we eens kijken naar het verhaal achter de menselijke fouten - en wat u kunt doen om het cybergedrag van werknemers in uw organisatie te verbeteren.

Wat is een menselijke fout in computerbeveiliging?

Wanneer we het hebben over menselijke fouten in cyberbeveiliging, hebben we het over een iets andere term dan normaal.

In een beveiligingscontext zijn menselijke fouten onbedoelde handelingen - of het niet-handelingen - van werknemers en gebruikers die een inbreuk op de beveiliging veroorzaken, verspreiden of mogelijk maken.

Dit omvat een breed aantal handelingen - van het downloaden van een met malware geïnfecteerde bijlage tot het niet gebruiken van een sterk wachtwoord - en dat is een van de redenen waarom het zo moeilijk aan te pakken is.

Met onze steeds geavanceerdere en complexe werkomgevingen hebben we een toenemend aantal hulpmiddelen en diensten die we gebruiken - en we moeten voor elk daarvan gebruikersnamen en wachtwoorden en andere dingen onthouden. Het wordt alleen maar meer, en als er geen alternatieve, veilige oplossingen worden geboden, gaan werknemers sluiproutes nemen om het zichzelf gemakkelijker te maken.

Alsof dit voor eindgebruikers nog niet moeilijk genoeg is, krijgen ze ook te maken met de voortdurende dreiging van cybercriminelen die hun beslissingen beïnvloeden. Social engineering speelt een steeds grotere rol bij alle soorten inbreuken op de beveiliging en wordt gebruikt om werknemers aan te zetten tot het overhandigen van gegevens of referenties aan kwaadwillenden, zonder dat zij ook maar één regel van een malwareprogramma of software-exploit hoeven te schrijven.

Soorten menselijke fouten

Hoewel de mogelijkheden voor menselijke fouten bijna oneindig zijn, kunnen deze in twee verschillende soorten worden ingedeeld: fouten gebaseerd op vaardigheden en fouten gebaseerd op beslissingen. Het verschil tussen deze twee heeft vooral te maken met de vraag of de persoon al dan niet over de vereiste kennis beschikte om de juiste handeling te verrichten.

Fouten gebaseerd op vaardigheden

Menselijke fouten op basis van vaardigheden bestaan uit vergissingen en fouten: kleine fouten die worden gemaakt bij het uitvoeren van vertrouwde taken en activiteiten. Hierbij weet de eindgebruiker wat de juiste werkwijze is, maar kiest hij ervoor om die niet uit te voeren door een mogelijke vergissing, fout of nalatigheid. Dit kan gebeuren omdat de werknemer moe is, niet goed oplet, afgeleid is of om andere redenen.

Fouten gebaseerd op beslissingen

Fouten op basis van beslissingen zijn fouten die een gebruiker maakt. Hierbij kunnen verschillende factoren een rol spelen: vaak beschikt de gebruiker niet over de vereiste kennis, heeft hij niet genoeg informatie over de specifieke omstandigheden, of realiseert hij zich niet eens dat hij een beslissing neemt door niets te doen.

Verminder menselijke fouten met doeltreffend training in beveiligingsbewustzijn.

Ontdek hoe usecure bedrijven helpt om veilig gedrag te stimuleren met intelligent geautomatiseerde training over cyberbeveiligingsbewustzijn - waar uw werknemers van zullen houden.

Voorbeelden van menselijke fouten in het bedrijfsleven

Menselijke fouten kunnen de veiligheid van uw bedrijf op een bijna eindeloos aantal verschillende manieren in gevaar brengen, maar sommige soorten fouten komen vaker voor. Laten we eens kijken naar een aantal van deze veel voorkomende fouten.

Verkeerde levering

Verkeerde levering - iets naar een verkeerde ontvanger sturen - is een veel voorkomende bedreiging voor de beveiliging van bedrijfsgegevens. Volgens het inbreukenrapport 2018, van Verizon was verkeerde levering de op vier na meest voorkomende oorzaak van alle inbreuken op de cyberbeveiliging. Omdat veel mensen vertrouwen op functies zoals auto-suggestie in hun e-mailklantenbestand, is het voor elke gebruiker gemakkelijk om per ongeluk vertrouwelijke informatie naar de verkeerde persoon te sturen.

Een van de ernstigste datalekken veroorzaakt door menselijke fouten was toen een NHS-praktijk de e-mailadressen (en dus namen) onthulde van meer dan 800 patiënten die HIV-klinieken hadden bezocht. Hoe is de fout kunnen ontstaan? De medewerker die een e-mailbericht aan HIV-patiënten verstuurde, vulde per ongeluk hun e-mailadressen in het "aan"-veld in, in plaats van het "bcc"-veld, waardoor alle ontvangers voor iedereen zichtbaar waren. Dit is een klassiek voorbeeld van een fout op basis van vaardigheden, omdat de werknemer wist wat de juiste werkwijze was, maar gewoon niet zorgvuldig genoeg handelde om de veiligheid van de gegevens te garanderen

Wachtwoordproblemen

Mensen en wachtwoorden kunnen gewoon niet met elkaar overweg. De feiten uit het rapport van het National Centre for Cyber Security 2019 tonen een somber beeld: 123456 blijft het populairste wachtwoord ter wereld, en 45% van de mensen hergebruikt het wachtwoord van hun belangrijkste e-mailaccount op andere diensten. Naast het niet maken van sterke, unieke wachtwoorden, maken ongetrainde gebruikers nog veel meer wachtwoordfouten, waaronder het opschrijven van wachtwoorden op post-it briefjes op hun beeldscherm of het delen van wachtwoorden met collega's.

Patchen

Cybercriminelen zijn voortdurend op zoek naar nieuwe inbraakmogelijkheden in software. Wanneer er gaten worden ontdekt, willen de softwareontwikkelaars als eerste de kwetsbaarheid verhelpen en de patch naar alle gebruikers sturen voordat cybercriminelen meer gebruikers in gevaar kunnen brengen. Daarom is het zeer belangrijk dat gebruikers beveiligingsupdates op hun computers installeren zodra deze beschikbaar zijn. Helaas stellen eindgebruikers de installatie van updates vaak uit - met alle gevolgen van dien.

De WannaCry ransomware-aanval van 2017 trof wereldwijd honderdduizenden computers en kostte bedrijven en organisaties miljoenen dollars aan schade. Maar de inbraakmogelijkheid die voor de aanval werd gebruikt, genaamd 'EternalBlue', was maanden voordat de aanvallen plaatsvonden al door Microsoft gepatcht. Als de getroffen computers gewoon de beveiligingsupdate hadden gedownload en geïnstalleerd, zouden ze nooit in gevaar zijn geweest.

 

Fouten in de fysieke beveiliging

Datalekken worden meestal toegeschreven aan cyberaanvallen, maar bedrijven worden ook blootgesteld aan fysieke bedreigingen. Vertrouwelijke informatie en referenties kunnen door onbevoegden worden gestolen of ingezien worden wanneer zij toegang krijgen tot beveiligde locaties.

Fouten in de fysieke beveiliging komen in verschillende vormen voor, maar een van de meest voorkomende is het onbeheerd achterlaten van gevoelige documenten op bureaus, vergaderzalen of zelfs in printers. Iedereen die toegang heeft tot het bedrijfsterrein kan het document dan gewoon meenemen zonder dat iemand doorheeft dat het weg is.

Een andere veel voorkomende fout in de fysieke beveiliging is het toestaan van mensen die binnensluipen. Er is sprake van binnensluipen wanneer een onbevoegd persoon iemand door een beveiligde deur of afsluiting volgt - meestal door gewoon dicht achter hem te lopen. Veel werknemers zullen het onbeleefd vinden om iemand die achter hen door een deur loopt te wantrouwen, waardoor het succespercentage bij achtervolgingspogingen hoog is.

Welke factoren veroorzaken menselijke fouten?

Er zijn tal van factoren die een rol spelen bij menselijke fouten, maar de belangrijkste zijn deze drie: gelegenheid, omgeving en gebrek aan bewustzijn.

Gelegenheid

Menselijke fouten kunnen alleen optreden wanneer daartoe een gelegenheid is. Dat lijkt vanzelfsprekend, maar het punt is dat hoe meer gelegenheden er zijn om iets fout te doen, hoe groter de kans is dat er op een bepaald moment echt een fout wordt gemaakt.

Omgeving

Er zijn veel omgevingsfactoren die de kans op fouten kunnen vergroten.

De fysieke omgeving van een werkplek kan aanzienlijk bijdragen tot het aantal fouten dat optreedt. Hoewel elke bouwvakker u kan vertellen dat fouten vaker voorkomen op snikhete of ijskoude dagen, gelden deze overwegingen ook voor op kantoor. Hoewel de juiste kantoortemperatuur een belangrijke overweging is, zijn privacy, geluidsniveau en lichaamshouding allemaal zaken die kunnen bijdragen aan een omgeving die vatbaarder is voor fouten.

Cultuur speelt ook een belangrijke rol bij omgevingsbeslissingen. Vaak weten eindgebruikers wel wat de juiste werkwijze is, maar voeren ze die niet uit omdat er een gemakkelijkere manier is of omdat zij het gewoon niet belangrijk vinden. Een cultuur waarin veiligheid altijd naar de achtergrond wordt geschoven, zorgt ervoor dat fouten steeds gewoner worden.

Gebrek aan bewustzijn

Een groot deel van de menselijke fouten wordt veroorzaakt doordat eindgebruikers simpelweg niet weten wat de juiste werkwijze is. Gebruikers die zich niet bewust zijn van het risico van phishing zullen bijvoorbeeld veel eerder in phishing-pogingen trappen en iemand die de risico's van openbare Wi-Fi-netwerken niet kent, zal zijn inloggegevens sneller doorgeven. Een gebrek aan kennis is bijna nooit de schuld van de gebruiker - maar moet worden aangepakt door de organisatie om ervoor te zorgen dat hun eindgebruikers de kennis en vaardigheden bezitten die ze nodig hebben om zichzelf en het bedrijf veilig te houden.

Hoe kunt u menselijke fouten in uw bedrijf voorkomen?

Menselijke fouten kunnen alleen optreden als er de gelegenheid voor is, en daarom is het zeer belangrijk om de kans op fouten zo veel mogelijk te beperken. Toch zullen eindgebruikers fouten blijven maken wanneer ze niet weten wat de juiste werkwijze is en wat de risico's zijn. Om deze kloof te overbruggen, is het noodzakelijk om menselijke fouten van beide kanten te benaderen en zo een allesomvattende verdediging voor uw organisatie te creëren.

Verminder de gelegenheden

De beste manier om te beginnen met uw inspanningen om de kans op fouten te verkleinen, is door uw werkmethoden, routines en technologieën zodanig te veranderen dat de kans op fouten systematisch wordt verkleind. Hoewel de manier waarop u dit bereikt afhangt van de specifieke activiteiten en omgeving van uw bedrijf, zijn er enkele algemene richtlijnen om de kans op menselijke fouten te verkleinen.

Bevoegdheidscontrole: zorg ervoor dat uw gebruikers alleen toegang hebben tot de gegevens en functies die zij nodig hebben om hun rol te vervullen. Dit vermindert de hoeveelheid informatie die zal worden blootgesteld, ook wanneer de gebruiker een fout begaat die tot een inbreuk leidt.

Wachtwoordbeheer: aangezien wachtwoordgerelateerde fouten meestal menselijke fouten zijn, kan het risico worden verkleind door uw gebruikers niet de verantwoordelijk te geven voor het kiezen van wachtwoorden. Met toepassingen voor wachtwoordbeheer kunnen uw gebruikers sterke wachtwoorden aanmaken en deze opslaan zonder dat ze deze moete onthouden of opschrijven op post-it's. U moet ook het gebruik van meervoudige authenticatie verplicht maken in uw bedrijf om een extra beschermingslaag toe te voegen aan uw accounts.

 

Verander uw cultuur

Een cultuur die op beveiliging is gericht, is zeer belangrijk om menselijke fouten te beperken. In een beveiligingscultuur wordt er bij elke beslissing en actie rekening gehouden met de beveiliging. Eindgebruikers gaan actief op zoek gaan naar beveiligingsproblemen en bespreken deze.

Er zijn een aantal dingen die u kunt doen om een veiligheidscultuur in uw organisatie op te bouwen.

Discussie aanmoedigen. Een van de beste manieren om ervoor te zorgen dat beveiliging op de voorgrond blijft, is door mensen erover te laten praten. Breng discussiethema's rond beveiliging ter sprake - en zorg ervoor dat het te maken heeft met de dagelijkse taken van uw eindgebruikers, zodat er een grote kans is dat ze zich betrokken voelen. Dit zal hen bewust maken van wat zij elk persoonlijk kunnen doen om de veiligheid van uw organisatie te helpen handhaven.

Maak het gemakkelijk om vragen te stellen. Als onderdeel van het leerproces zullen uw eindgebruikers waarschijnlijk in veel situaties terechtkomen waarin ze niet zeker zijn van de gevolgen voor de beveiliging. In deze situaties hebt u liever dat ze u of iemand anders met kennis van zaken vragen stellen dan dat ze zelf een gokje wagen en het risico lopen de verkeerde keuze te maken. Zorg ervoor dat er altijd iemand beschikbaar is om eventuele vragen van eindgebruikers op een vriendelijke manier te beantwoorden, en beloon gebruikers die met goede vragen komen.

Gebruik posters en geheugensteuntjes. Beveiligingsposters en -tips dienen als kleine geheugensteuntjes om ervoor te zorgen dat uw eindgebruikers tijdens hun werkdag aan beveiliging denken. Een poster met informatie over sterke wachtwoorden zorgt er bijvoorbeeld voor dat gebruikers gemakkelijk kunnen zien wat de vereisten zijn om bedrijfsaccounts goed te beveiligen.

Gebrek aan kennis aanpakken met training

Het is zeer belangrijk om de kans op fouten te verkleinen, maar u moet de oorzaken van fouten ook vanuit een menselijk standpunt benaderen. Door uw werknemers op te leiden over de basisprincipes van beveiliging en de beste werkwijzen, kunnen ze betere beslissingen nemen, en kunnen ze beveiliging in hun achterhoofd houden en advies vragen wanneer ze niet zeker weten wat de gevolgen van een bepaalde actie zijn.

Train medewerkers over alle belangrijke beveiligingsonderwerpen: omdat menselijke fouten op verschillende manieren voorkomen, is het belangrijk dat uw medewerkers een basistraining over alle beveiligingsonderwerpen krijgen waarmee ze dagelijks te maken hebben. Het gebruik van e-mail, internet en sociale media, alsook phishing en malwaretraining zijn slechts enkele van de onderwerpen die tijdens de training aan bod moeten komen.

Training moet interessant en relevant zijn: Uw werknemers hebben een beperkte aandachtsboog en u moet ervoor zorgen dat ze niet in slaap vallen tijdens de training. Interactieve trainingen met beeld- en video-inhoud zijn veel doeltreffender dan urenlange PowerPoint-sessies. Trainingen moeten ook niet in jaarlijkse sessies worden gegeven die uw werknemers een week later weer vergeten zijn, ze moeten regelmatig terugkomen in een kort en licht verwerkbare vorm.

Mensen hoeven niet de zwakste schakel te zijn

We begonnen dit artikel met een beangstigende statistiek over hoeveel inbreuken er door menselijke fouten worden veroorzaakt - maar er is een andere manier om die statistieken te bekijken. Als 95% van de inbreuken door menselijke fouten wordt veroorzaakt, kan zelfs de kleinste stap om menselijke fouten te beperken al een enorme verbetering van de beveiliging opleveren.

Het beperken van menselijke fouten moet vanuit twee invalshoeken vertrekken: het beperken van de kans op fouten en het opleiden van gebruikers. Hoe minder kansen er zijn op fouten, hoe minder uw gebruikers op hun kennis zullen worden getest - en hoe meer kennis uw gebruikers hebben, hoe kleiner de kans dat zij een fout maken, zelfs wanneer er zich een kans voordoet.

De aanpak die wij bij usecure promoten, moedigt u aan om de menselijke risico's vanuit een ander licht te bekijken. Ongetrainde eindgebruikers kunnen de zwakste schakel zijn in de beveiliging van uw organisatie, maar met de juiste hulpmiddelen en training kunt u hen de eerste verdedigingslinie maken tegen elke aanval of inbreuk, waardoor uw bedrijf op de lange termijn wordt beschermd.

Maak uw mensen uw sterkste verdedigingslinie

usecure is de Human Risk Management (HRM)-oplossing die bedrijven de mogelijkheid biedt om beveiligingsincidenten met gebruikers te verminderen, een cyberbestendig personeelsbestand op te bouwen en nalevingsnormen te bereiken door middel van geautomatiseerde trainingsprogramma's voor gebruikers.

Dankzij de betrouwbaarheid van toonaangevende IT-professionals en managed service providers (MSP's) analyseert, vermindert en bewaakt usecure menselijke cyberrisico's via risicogestuurde trainingsprogramma's voor beveiligingsbewustzijn, gesimuleerde phishing-campagnes, vereenvoudigd beleidsbeheer en continue bewaking van inbreuken op het dark web - allemaal vanaf één platform.

Kom meer te weten over usecure