De 5 meest voorkomende menselijke fouten voor dataverlies

Phishing is wanneer een oplichter kwaadaardige e-mails verzendt die afkomstig lijken te zijn van een vertrouwde bron om slachtoffers ertoe te brengen persoonlijke informatie te onthullen. In 2020 heeft er mede door de coronacrisis 127% meer cybercriminaliteit plaatsgevonden tegenover het jaar daarvoor. Phishingaanvallen voerde hierin de boventoon. De totale schade als gevolg van phishing kwam in 2020 uit op €12,8 miljoen tegenover €7,9 miljoen in 2019.

Deze fout komt over het algemeen vaker voor als een bedrijf werknemers alleen op het moment van indiensttreding over cyberbeveiliging vertelt, in plaats van een op veiligheid gerichte cultuur op te zetten.

De keuze van training is ook belangrijk. Onze eerste tip is trainingen intern aanbieden om werknemers bewust te maken van het gevaar, maar ook de kennis geven om het te herkennen. Natuurlijk kunnen sommige mensen nog steeds onverantwoordelijk handelen wanneer ze worden geconfronteerd met een echte phishing-e-mail na een training.

Het blijft nou eenmaal een menselijke factor die meespeelt. Daarom zou je regelmatig phishing-simulatietests uit kunnen voeren om te controleren of de training effectief was en of iedereen het informatiebeveiligingsbeleid volgt.

Je identificeert de risicovolle gebruikers die eerder op kwaadaardige koppelingen klikken, zodat je individueel met hen kunt werken. Ten slot kunnen er anti-spam- en e-mailfiltertools geïmplementeerd worden om het risico nog verder te beperken.

Weet jij waar je op moet letten in het geval van een phishing? Wij hebben in deze blog beschreven waar je op moet letten.

Volgens het Wombat’s User Risk Report staat 55% van de werkende volwassenen toe dat vrienden en familieleden thuis toegang hebben tot hun door de werkgever uitgegeven apparaten. Dit is een ander teken van slecht bewustzijn voor cyberbeveiliging, omdat de vriend of het familielid soms toegang heeft tot gevoelige gegevens, zoals de bankrekeningen of klantgegevens van de organisatie.

Wat erger is, is dat ze per ongeluk malware downloaden die toegang kan krijgen tot deze bedrijfsgegevens, cloudapplicaties en opslag. Eenmalige gebruikerstraining tijdens het overdragen van een apparaat is niet voldoende om het risico van deze menselijke fout te verkleinen. Voer in plaats daarvan een uitgebreid informatiebeveiligingsplan dat alle werknemers moeten volgen en moedig teamleiders aan om cybersecurity-discipline door hun teams te laten adopteren.

Een andere belangrijke maatregel is het implementeren van de juiste beveiligingscontroles op apparaten en systemen. Zorg ervoor dat alle apparaten met een wachtwoord zijn beveiligd en gebruik indien mogelijk twee-factor-authenticatie voor alle bedrijfsapparaten en -applicaties. Natuurlijk hoeven het niet vrienden of familie te zijn die ongeautoriseerd toegang krijgen.

Situatieschets

Laat me nog een situatie schetsen waarin de menselijke factor een grote rol speelt. Aan de balie komt een sollicitant binnen waar de baliewerker op dat moment niks van af weet. De sollicitant is overstuur want ze heeft onderweg haar koffie over zich heen laten vallen. Ze zit er helemaal onder, net als haar CV. Half paniekerig vraagt ze aan de baliemedewerker of ze haar CV mag printen, want die heeft ze, gelukkig, als back-up op een USB-stick gezet. De baliemedewerker leeft met de vrouw mee en print de CV van de USB-stick af. Wat de baliemedewerker niet wist, is dat de vrouw geen afspraak had staan, maar een cybercrimineel is.

Het moment dat de USB-stick in de computer was gestoken was er malware geïnstalleerd en was er toegang voor de criminelen om het netwerk binnen te treden. Zo gemakkelijk kan het helaas soms gaan en cybercriminelen zijn niet bang om misbruik te maken van de goedheid van de mens.

Het komt nog steeds veel voor dat werknemers voor allerlei verschillende diensten, websites of applicaties hetzelfde wachtwoord gebruiken om in te loggen. Dit is een zeer risicovolle actie, omdat de aanvaller, zodra een account is gehackt, toegang krijgt tot een groot arsenaal aan middelen.

Naast hergebruik van wachtwoorden, omvatten andere wachtwoord-gerelateerde risico’s het gebruik van voor de hand liggende wachtwoorden (bijv. 123abc, 1111), het niet regelmatig bijwerken van wachtwoorden, het opslaan van wachtwoorden binnen het bereik van de computer en het delen van wachtwoorden met anderen.

Al deze slechte wachtwoordpraktijken verhogen het risico van een inbreuk op een bedrijf, omdat een aanvaller gemakkelijker wachtwoorden kan stelen of kraken. Het is zeker de moeite waard om trainingssessies te houden die uitsluitend zijn gericht op het oefenen met wachtwoorden.

Ook IT-professionals kunnen fouten maken en dergelijke fouten kosten bedrijven vaak veel. Accounts met hoge rechten, zoals admin-accounts, zijn krachtig, maar de beveiligingscontroles om misbruik te voorkomen zijn vaak onvoldoende.

Slechts 38% van de organisaties werkt één keer per kwartaal hun beheerderswachtwoorden bij; de rest doet het maar één keer per jaar of langer. Als IT-professionals de wachtwoorden van bevoorrechte accounts niet bijwerken en beveiligen, kunnen aanvallers ze gemakkelijker kraken en toegang krijgen tot het netwerk van de organisatie.

Vervolgens kunnen de aanvallers de beheerdersreferenties gebruiken om toegangscontroles op verschillende bronnen of IT-systemen te omzeilen om toegang te krijgen tot gevoelige gegevens. Een noodzakelijke preventieve maatregel is om, waar mogelijk, het principe van de minste rechten toe te passen op alle accounts en systemen.

In plaats van het verlenen van beheerdersrechten aan meerdere accounts, moet je dan de rechten verhogen als dat nodig is voor specifieke toepassingen en taken, alleen voor de korte periode waarin ze nodig zijn. Ook hier is twee-factor-authenticatie een nuttige extra beveiligings-laag.

Het is noodzakelijk om afzonderlijke administratieve- en werknemersaccounts voor IT-personeel op te zetten; admin-accounts mogen alleen worden gebruikt om specifieke delen van de infrastructuur te beheren.

De laatste in de reeks menselijke fouten voor dataverlies. Een verkeerde levering. Het is een voorkomend scenario, in het bijzonder voor de gezondheidszorg maar ook bij andere bedrijven waar gewerkt wordt met persoonlijke gegevens. Er zijn gevallen geweest waarin een werknemer een e-mail met gevoelige informatie naar de verkeerde ontvangers stuurde. Een verkeerde levering is goed voor ongeveer 62% van de menselijke datalekken in de gezondheidszorg.

Deze fout is een van de moeilijkste om te vermijden. Wel hebben we een paar tips. Overweeg codering te vereisen voor alle e-mails die gevoelige informatie bevatten. Zo zijn ze niet leesbaar voor verkeerde ontvangers. Wij gebruiken bij Hallo deze wachtwoord-tool. Hiermee kun je eenvoudig wachtwoorden delen via een link. Na gebruik en/of na verloop van tijd vervalt de link en is het wachtwoord, of andere belangrijke informatie, niet meer zichtbaar.

Een andere tip is het implementeren van een DLP-oplossing (dataverliespreventie) die gebeurtenissen bewaakt die kunnen leiden tot informatielekkage en automatisch actie onderneemt, bijvoorbeeld door te voorkomen dat gebruikers gevoelige gegevens buiten het bedrijfsnetwerk verzenden

Met training kan het risico op één van deze fouten significant kleiner worden. Onbekend maakt onbemind, maar kan dus ook gevaren opleveren voor jou, je collega’s, klanten, contacten etc. Inmiddels heeft menig bedrijf of instelling al de media gehaald met verschillende besmettingen en/of dataverlies van privacygevoelige informatie.

Al deze menselijke fouten voor dataverlies zijn je vast niet onbekend. Wel is het goed om na te gaan hoe jouw organisatie hiermee omgaat. Is de bewustwording er? Is die bewustwording een terugkerend onderwerp of wordt het maar een keer gedaan en verwatert het na verloop van tijd? Onze security professionals staan voor je klaar met een luisterend oor. 

Bel ons voor een vrijblijvend oriënterend gesprek. Je kunt ons bereiken via 088 25 50 100. Word je liever gebeld? Dat kan ook. Vul hier het formulier in om een afspraak te maken. Dan bellen wij jou wanneer het jou uitkomt.