Als het om security gaat, geven de meeste bedrijven vooral geld uit aan technische maatregelen. Steeds weer blijkt echter de mens de zwakste schakel. Om een gedragsverandering te bewerkstelligen, ging CFE Contracting in zee met FoxAcademy. ‘We laten usb-sticks met malware slingeren in de lift of versturen ze per post. De resultaten koppelen we terug en medewerkers confronteren we op een humorvolle manier met hun gedrag.’
Gevaren van internet kennen is ze voorkomen.
Verschillende veiligheidsincidenten vormden voor CFE Contracting in Brussel de aanleiding om actie te ondernemen. ‘Wij hebben voldoende technische middelen ingezet om ons te beschermen tegen malafide zaken. Toch merkten we dat er veel doorkwam, met de eindgebruiker als zwakste schakel. De kostenefficiëntste manier om de veiligheid te verhogen, is dan de medewerkers op de hoogte te brengen van de gevaren van internet’, verklaart Geert Van de Wielle, chief information security officer bij CFE Contracting. Deze onderneming telt een twintigtal bedrijven in België, Luxemburg, Polen en enkele Afrikaanse landen, waaronder Tunesië, en is onderdeel van CFE, een industriële Belgische groep actief in bagger- & waterbouwwerken, milieu en vastgoedontwikkeling.
Kwestie van cultuur
In het verleden had CFE Contracting enkele keren te maken gehad met een virusinfectie, maar daar was nu geen sprake van. ‘De dagelijkse hoeveelheid phishing mails was de enige grote reden om proactief aan de slag te gaan met security awareness onder onze medewerkers. Dit om het risico op mogelijke indirecte en directe financiële verliezen te beperken’, aldus Van de Wielle. Op aanbeveling van een ander Belgisch bedrijf kwam hij bij Fox-IT terecht. ‘Fox-IT was hier in België op slag een gereputeerd bedrijf nadat ze enkele jaren geleden de NSA-hack bij Belgacom ontdekt hadden.’
Security awareness is inderdaad geen overbodige luxe, stelt Rombert Anjema, accountmanager FoxAcademy, het onderdeel van Fox-IT dat onder meer security awareness-programma’s aanbiedt. ‘Bedrijven kunnen heel veel investeren in technologie en processen, maar het belangrijkste is dat medewerkers de risico’s van hun gedrag beseffen. Alleen dan kun je als bedrijf in control blijven. Het is een kwestie van cultuur. Laptop open in de trein, te hard praten over klanten, niet je scherm locken, geen tien-cijferig wachtwoord willen intikken. Allemaal zaken die het lastig maken je security op orde te krijgen.’
Meerjarige aanpak
Een gedragsverandering bewerkstelligen kost tijd. Daarom koos CFE Contracting voor een meerjarige aanpak. ‘Je kunt niet na één jaar zeggen: nu stoppen we ermee. Het is een ongoing proces, je moet acties blijven herhalen. Begin 2016 zijn we gestart met een eigen awareness-brochure over de veiligheidsrisico’s en tips & tricks om deze te omzeilen. Ook hebben we voor de visibiliteit een logo gecreëerd voor cyberveiligheid.’ Tegelijkertijd werd Fox-IT aangehaakt voor een aantal activiteiten. Anjema: ‘We simuleren op een gecontroleerde manier aanvallen die hackers dagelijks uitvoeren, zoals een malware-aanval of een phishing-website. Maar we kijken ook hoe ver je fysiek in de organisatie kunt komen, met andere woorden: in hoeverre de receptie is ingeregeld qua security.’
Voor CFE Contracting werd allereerst een usb-aanval opgezet. ‘We laten usb-sticks met malware slingeren in de lift of versturen ze per post naar financiële medewerkers. Aan de hand van het gedrag kunnen we statistieken opleveren omtrent infecties en screenshots. De resultaten koppelen we terug in een animatievideo, waarin we met humor de boodschap herhalen en medewerkers op een leuke manier confronteren met hun gedrag’, vertelt Anjema.
Dubbel negatief
Na anderhalve maand volgde een tweede actie: een phishing mail om medewerkers te verleiden hun inlog en password te geven of op een link te klikken. Speciaal voor deze actie werd het spamfilter even uitgezet. ‘Het ging ons nu niet om de technologie, maar specifiek om het gedrag van medewerkers. 45 procent van hen stak de usb-stick zonder nadenken in hun computer, 25 procent ging in op de phishing mails’, vertelt Geert Van de Wielle. Medewerkers reageerden in eerste instantie negatief op de campagne. ‘Ze vonden het overbodig, beseften onvoldoende dat dit een zeer waarheidsgetrouwe simulatie was van de huidige werkwijze van hackers. En degenen die erin tuinden, waren dubbel negatief: het was natuurlijk de fout van de campagne dat ze erin gelopen waren.’
Over enkele maanden wordt de usb-actie herhaald. Voor de komende jaren onderzoeken CFE Contracting en FoxAcademy de mogelijkheden voor uitbreiding van het programma door middel van een online trainingsplatform. De medewerkers zijn inmiddels een stuk positiever. ‘In de animatievideo is het doel nogmaals toegelicht en zijn ook de resultaten gepresenteerd. Het mooie is dat veel gebruikers vermeende phishing mails en spam nu doorsturen naar ons information security center en om raad vragen. We kunnen dus concluderen dat de campagne geslaagd is.’