Er is geen enkel persoon die nooit fouten maakt. Sterker nog, fouten maken is een belangrijk onderdeel van de menselijke ervaring - dat is hoe we groeien en leren. In cyberbeveiliging worden menselijke fouten echter veel te vaak over het hoofd gezien.
Volgens een studie van IBM zijn menselijke fouten de hoofdoorzaak van 95% van de inbreuken op de cyberbeveiliging. Met andere woorden, als menselijke fouten op de een of andere manier volledig vermeden konden worden, zouden 19 van de 20 cyberinbraken misschien helemaal niet hebben plaatsgevonden!
Waarom veroorzaken menselijke fouten zoveel inbreuken en waarom hebben bestaande oplossingen gefaald om dit aan te pakken? Laten we eens kijken naar het verhaal achter de menselijke fouten - en wat u kunt doen om het cybergedrag van werknemers in uw organisatie te verbeteren.
Wanneer we het hebben over menselijke fouten in cyberbeveiliging, hebben we het over een iets andere term dan normaal.
In een beveiligingscontext zijn menselijke fouten onbedoelde handelingen - of het niet-handelingen - van werknemers en gebruikers die een inbreuk op de beveiliging veroorzaken, verspreiden of mogelijk maken.
Dit omvat een breed aantal handelingen - van het downloaden van een met malware geïnfecteerde bijlage tot het niet gebruiken van een sterk wachtwoord - en dat is een van de redenen waarom het zo moeilijk aan te pakken is.
Met onze steeds geavanceerdere en complexe werkomgevingen hebben we een toenemend aantal hulpmiddelen en diensten die we gebruiken - en we moeten voor elk daarvan gebruikersnamen en wachtwoorden en andere dingen onthouden. Het wordt alleen maar meer, en als er geen alternatieve, veilige oplossingen worden geboden, gaan werknemers sluiproutes nemen om het zichzelf gemakkelijker te maken.
Alsof dit voor eindgebruikers nog niet moeilijk genoeg is, krijgen ze ook te maken met de voortdurende dreiging van cybercriminelen die hun beslissingen beïnvloeden. Social engineering speelt een steeds grotere rol bij alle soorten inbreuken op de beveiliging en wordt gebruikt om werknemers aan te zetten tot het overhandigen van gegevens of referenties aan kwaadwillenden, zonder dat zij ook maar één regel van een malwareprogramma of software-exploit hoeven te schrijven.
Hoewel de mogelijkheden voor menselijke fouten bijna oneindig zijn, kunnen deze in twee verschillende soorten worden ingedeeld: fouten gebaseerd op vaardigheden en fouten gebaseerd op beslissingen. Het verschil tussen deze twee heeft vooral te maken met de vraag of de persoon al dan niet over de vereiste kennis beschikte om de juiste handeling te verrichten.
Menselijke fouten op basis van vaardigheden bestaan uit vergissingen en fouten: kleine fouten die worden gemaakt bij het uitvoeren van vertrouwde taken en activiteiten. Hierbij weet de eindgebruiker wat de juiste werkwijze is, maar kiest hij ervoor om die niet uit te voeren door een mogelijke vergissing, fout of nalatigheid. Dit kan gebeuren omdat de werknemer moe is, niet goed oplet, afgeleid is of om andere redenen.
Fouten op basis van beslissingen zijn fouten die een gebruiker maakt. Hierbij kunnen verschillende factoren een rol spelen: vaak beschikt de gebruiker niet over de vereiste kennis, heeft hij niet genoeg informatie over de specifieke omstandigheden, of realiseert hij zich niet eens dat hij een beslissing neemt door niets te doen.
Ontdek hoe usecure bedrijven helpt om veilig gedrag te stimuleren met intelligent geautomatiseerde training over cyberbeveiligingsbewustzijn - waar uw werknemers van zullen houden.
Menselijke fouten kunnen de veiligheid van uw bedrijf op een bijna eindeloos aantal verschillende manieren in gevaar brengen, maar sommige soorten fouten komen vaker voor. Laten we eens kijken naar een aantal van deze veel voorkomende fouten.
Verkeerde levering - iets naar een verkeerde ontvanger sturen - is een veel voorkomende bedreiging voor de beveiliging van bedrijfsgegevens. Volgens het inbreukenrapport 2018, van Verizon was verkeerde levering de op vier na meest voorkomende oorzaak van alle inbreuken op de cyberbeveiliging. Omdat veel mensen vertrouwen op functies zoals auto-suggestie in hun e-mailklantenbestand, is het voor elke gebruiker gemakkelijk om per ongeluk vertrouwelijke informatie naar de verkeerde persoon te sturen.
Mensen en wachtwoorden kunnen gewoon niet met elkaar overweg. De feiten uit het rapport van het National Centre for Cyber Security 2019 tonen een somber beeld: 123456 blijft het populairste wachtwoord ter wereld, en 45% van de mensen hergebruikt het wachtwoord van hun belangrijkste e-mailaccount op andere diensten. Naast het niet maken van sterke, unieke wachtwoorden, maken ongetrainde gebruikers nog veel meer wachtwoordfouten, waaronder het opschrijven van wachtwoorden op post-it briefjes op hun beeldscherm of het delen van wachtwoorden met collega's.
Cybercriminelen zijn voortdurend op zoek naar nieuwe inbraakmogelijkheden in software. Wanneer er gaten worden ontdekt, willen de softwareontwikkelaars als eerste de kwetsbaarheid verhelpen en de patch naar alle gebruikers sturen voordat cybercriminelen meer gebruikers in gevaar kunnen brengen. Daarom is het zeer belangrijk dat gebruikers beveiligingsupdates op hun computers installeren zodra deze beschikbaar zijn. Helaas stellen eindgebruikers de installatie van updates vaak uit - met alle gevolgen van dien.
Datalekken worden meestal toegeschreven aan cyberaanvallen, maar bedrijven worden ook blootgesteld aan fysieke bedreigingen. Vertrouwelijke informatie en referenties kunnen door onbevoegden worden gestolen of ingezien worden wanneer zij toegang krijgen tot beveiligde locaties.
Fouten in de fysieke beveiliging komen in verschillende vormen voor, maar een van de meest voorkomende is het onbeheerd achterlaten van gevoelige documenten op bureaus, vergaderzalen of zelfs in printers. Iedereen die toegang heeft tot het bedrijfsterrein kan het document dan gewoon meenemen zonder dat iemand doorheeft dat het weg is.
Een andere veel voorkomende fout in de fysieke beveiliging is het toestaan van mensen die binnensluipen. Er is sprake van binnensluipen wanneer een onbevoegd persoon iemand door een beveiligde deur of afsluiting volgt - meestal door gewoon dicht achter hem te lopen. Veel werknemers zullen het onbeleefd vinden om iemand die achter hen door een deur loopt te wantrouwen, waardoor het succespercentage bij achtervolgingspogingen hoog is.
Er zijn tal van factoren die een rol spelen bij menselijke fouten, maar de belangrijkste zijn deze drie: gelegenheid, omgeving en gebrek aan bewustzijn.
Menselijke fouten kunnen alleen optreden wanneer daartoe een gelegenheid is. Dat lijkt vanzelfsprekend, maar het punt is dat hoe meer gelegenheden er zijn om iets fout te doen, hoe groter de kans is dat er op een bepaald moment echt een fout wordt gemaakt.
Er zijn veel omgevingsfactoren die de kans op fouten kunnen vergroten.
De fysieke omgeving van een werkplek kan aanzienlijk bijdragen tot het aantal fouten dat optreedt. Hoewel elke bouwvakker u kan vertellen dat fouten vaker voorkomen op snikhete of ijskoude dagen, gelden deze overwegingen ook voor op kantoor. Hoewel de juiste kantoortemperatuur een belangrijke overweging is, zijn privacy, geluidsniveau en lichaamshouding allemaal zaken die kunnen bijdragen aan een omgeving die vatbaarder is voor fouten.
Een groot deel van de menselijke fouten wordt veroorzaakt doordat eindgebruikers simpelweg niet weten wat de juiste werkwijze is. Gebruikers die zich niet bewust zijn van het risico van phishing zullen bijvoorbeeld veel eerder in phishing-pogingen trappen en iemand die de risico's van openbare Wi-Fi-netwerken niet kent, zal zijn inloggegevens sneller doorgeven. Een gebrek aan kennis is bijna nooit de schuld van de gebruiker - maar moet worden aangepakt door de organisatie om ervoor te zorgen dat hun eindgebruikers de kennis en vaardigheden bezitten die ze nodig hebben om zichzelf en het bedrijf veilig te houden.
Menselijke fouten kunnen alleen optreden als er de gelegenheid voor is, en daarom is het zeer belangrijk om de kans op fouten zo veel mogelijk te beperken. Toch zullen eindgebruikers fouten blijven maken wanneer ze niet weten wat de juiste werkwijze is en wat de risico's zijn. Om deze kloof te overbruggen, is het noodzakelijk om menselijke fouten van beide kanten te benaderen en zo een allesomvattende verdediging voor uw organisatie te creëren.
De beste manier om te beginnen met uw inspanningen om de kans op fouten te verkleinen, is door uw werkmethoden, routines en technologieën zodanig te veranderen dat de kans op fouten systematisch wordt verkleind. Hoewel de manier waarop u dit bereikt afhangt van de specifieke activiteiten en omgeving van uw bedrijf, zijn er enkele algemene richtlijnen om de kans op menselijke fouten te verkleinen.
Bevoegdheidscontrole: zorg ervoor dat uw gebruikers alleen toegang hebben tot de gegevens en functies die zij nodig hebben om hun rol te vervullen. Dit vermindert de hoeveelheid informatie die zal worden blootgesteld, ook wanneer de gebruiker een fout begaat die tot een inbreuk leidt.
Wachtwoordbeheer: aangezien wachtwoordgerelateerde fouten meestal menselijke fouten zijn, kan het risico worden verkleind door uw gebruikers niet de verantwoordelijk te geven voor het kiezen van wachtwoorden. Met toepassingen voor wachtwoordbeheer kunnen uw gebruikers sterke wachtwoorden aanmaken en deze opslaan zonder dat ze deze moete onthouden of opschrijven op post-it's. U moet ook het gebruik van meervoudige authenticatie verplicht maken in uw bedrijf om een extra beschermingslaag toe te voegen aan uw accounts.
Een cultuur die op beveiliging is gericht, is zeer belangrijk om menselijke fouten te beperken. In een beveiligingscultuur wordt er bij elke beslissing en actie rekening gehouden met de beveiliging. Eindgebruikers gaan actief op zoek gaan naar beveiligingsproblemen en bespreken deze.
Er zijn een aantal dingen die u kunt doen om een veiligheidscultuur in uw organisatie op te bouwen.
Discussie aanmoedigen. Een van de beste manieren om ervoor te zorgen dat beveiliging op de voorgrond blijft, is door mensen erover te laten praten. Breng discussiethema's rond beveiliging ter sprake - en zorg ervoor dat het te maken heeft met de dagelijkse taken van uw eindgebruikers, zodat er een grote kans is dat ze zich betrokken voelen. Dit zal hen bewust maken van wat zij elk persoonlijk kunnen doen om de veiligheid van uw organisatie te helpen handhaven.
Maak het gemakkelijk om vragen te stellen. Als onderdeel van het leerproces zullen uw eindgebruikers waarschijnlijk in veel situaties terechtkomen waarin ze niet zeker zijn van de gevolgen voor de beveiliging. In deze situaties hebt u liever dat ze u of iemand anders met kennis van zaken vragen stellen dan dat ze zelf een gokje wagen en het risico lopen de verkeerde keuze te maken. Zorg ervoor dat er altijd iemand beschikbaar is om eventuele vragen van eindgebruikers op een vriendelijke manier te beantwoorden, en beloon gebruikers die met goede vragen komen.
Gebruik posters en geheugensteuntjes. Beveiligingsposters en -tips dienen als kleine geheugensteuntjes om ervoor te zorgen dat uw eindgebruikers tijdens hun werkdag aan beveiliging denken. Een poster met informatie over sterke wachtwoorden zorgt er bijvoorbeeld voor dat gebruikers gemakkelijk kunnen zien wat de vereisten zijn om bedrijfsaccounts goed te beveiligen.
Het is zeer belangrijk om de kans op fouten te verkleinen, maar u moet de oorzaken van fouten ook vanuit een menselijk standpunt benaderen. Door uw werknemers op te leiden over de basisprincipes van beveiliging en de beste werkwijzen, kunnen ze betere beslissingen nemen, en kunnen ze beveiliging in hun achterhoofd houden en advies vragen wanneer ze niet zeker weten wat de gevolgen van een bepaalde actie zijn.
Train medewerkers over alle belangrijke beveiligingsonderwerpen: omdat menselijke fouten op verschillende manieren voorkomen, is het belangrijk dat uw medewerkers een basistraining over alle beveiligingsonderwerpen krijgen waarmee ze dagelijks te maken hebben. Het gebruik van e-mail, internet en sociale media, alsook phishing en malwaretraining zijn slechts enkele van de onderwerpen die tijdens de training aan bod moeten komen.
We begonnen dit artikel met een beangstigende statistiek over hoeveel inbreuken er door menselijke fouten worden veroorzaakt - maar er is een andere manier om die statistieken te bekijken. Als 95% van de inbreuken door menselijke fouten wordt veroorzaakt, kan zelfs de kleinste stap om menselijke fouten te beperken al een enorme verbetering van de beveiliging opleveren.
Het beperken van menselijke fouten moet vanuit twee invalshoeken vertrekken: het beperken van de kans op fouten en het opleiden van gebruikers. Hoe minder kansen er zijn op fouten, hoe minder uw gebruikers op hun kennis zullen worden getest - en hoe meer kennis uw gebruikers hebben, hoe kleiner de kans dat zij een fout maken, zelfs wanneer er zich een kans voordoet.
De aanpak die wij bij usecure promoten, moedigt u aan om de menselijke risico's vanuit een ander licht te bekijken. Ongetrainde eindgebruikers kunnen de zwakste schakel zijn in de beveiliging van uw organisatie, maar met de juiste hulpmiddelen en training kunt u hen de eerste verdedigingslinie maken tegen elke aanval of inbreuk, waardoor uw bedrijf op de lange termijn wordt beschermd.
usecure is de Human Risk Management (HRM)-oplossing die bedrijven de mogelijkheid biedt om beveiligingsincidenten met gebruikers te verminderen, een cyberbestendig personeelsbestand op te bouwen en nalevingsnormen te bereiken door middel van geautomatiseerde trainingsprogramma's voor gebruikers.
Dankzij de betrouwbaarheid van toonaangevende IT-professionals en managed service providers (MSP's) analyseert, vermindert en bewaakt usecure menselijke cyberrisico's via risicogestuurde trainingsprogramma's voor beveiligingsbewustzijn, gesimuleerde phishing-campagnes, vereenvoudigd beleidsbeheer en continue bewaking van inbreuken op het dark web - allemaal vanaf één platform.
Kom meer te weten over usecure