Een einde aan trots en vooroordelen: iedereen is vatbaar voor phishing
Wordt alleen de onvoorzichtige of de laaggeschoolde gehackt? Cybersecurityspecialist Arnout Van de Meulebroucke spreekt uit ervaring als hij zegt: "Het zal je maar overkomen."
"Het zal mij nooit overkomen." "Ik ben bekend met computers, ik zal er nooit intrappen." "Phishing? Alleen gevaarlijk voor mensen die niet voldoende opleiding of kennis hebben." Maar het zit zo: iedereen met een internetaansluiting mist dat elementaire digitale veiligheidsbewustzijn.
Het komt zowel neer op arrogantie als op trots: mensen denken graag dat ze slimmer zijn dan anderen, dat ze een speciaal soort inzicht hebben in bepaalde zaken dat anderen ontberen. Vooral wanneer zij zichzelf vergelijken met mensen met lagere diploma's of met banen die minder gewaardeerd worden in de sociale hiërarchie.
Iedereen is kwetsbaar
Bij Phished hebben we een platform gebouwd dat anti-phishing training biedt. Door te proberen meer dan 55.000 gebruikers per dag te phishen, ervaren we dagelijks de gevaren van trots en vooroordelen. Het maakt niet uit in welke sector je werkt, in welk land je woont, of je een administratief medewerker bent of de CEO van je bedrijf,...: je bent kwetsbaar voor phishing.
Wanneer we onze simulaties starten, zal ongeveer 20% van alle ontvangers misleid worden om op onze links te klikken en/of hun gegevens af te geven - en dat is alleen wanneer we standaardsimulaties gebruiken. Wanneer we onze inspanningen personaliseren, stijgt dat percentage. Onze conclusie is altijd dezelfde: er is geen waarneembaar verschil tussen de profielen die klikken. HR, Accounting, Marketing,... Als het om phishing gaat, zijn alle mannen (en vrouwen) echt gelijk geschapen.
Er is één verschil: IT-medewerkers zijn vaak meer verbitterd over het feit dat ze gephisht worden dan anderen. Ze zien het als een aanval op hun expertise, ze voelen zich belazerd en belachelijk gemaakt.
De houding verandert langzaam, ook al gaat het te geleidelijk. Sommige IT-bedrijven geven het goede voorbeeld, maar andere lijken het gewoon niet te snappen. Uit een recente studie blijkt dat slechts een derde van de Britse beroepsbevolking in de afgelopen twaalf maanden enige vorm van formele cyberbeveiligingsopleiding heeft gevolgd.
Het is de trots die bedrijven nog kwetsbaarder maakt voor phishing, ransomware en andere soorten digitale bedreigingen. Terwijl het niet zo zou moeten zijn: vaker wel dan niet proberen bedrijven die gehackt zijn hun fouten in de doofpot te stoppen, in plaats van hun leerpunten te communiceren. Ze vermijden liever een vernedering dan dat ze nieuwe kennis bijdragen aan de gemeenschap, waarmee ze mogelijk soortgelijke debacles bij andere organisaties kunnen voorkomen.
Het is de hoogste tijd om af te rekenen met ons valse gevoel van veiligheid, onze arrogantie en onze trots. Als we beseffen en erkennen dat iedereen een doelwit is, dat iedereen het slachtoffer kan worden van criminele campagnes, kunnen we ons eindelijk gaan richten op het tegengaan van kwaadaardige tactieken.
Bewijzen hiervan zijn overal ter wereld te vinden: De Franse IT-outsourcingspecialist Sopra Steria, die een cyberbeveiligingsdivisie heeft, werd in oktober het slachtoffer van de Ryuk-ransomware; de Taiwanese computerfabrikant Compal bezweek slechts drie weken geleden aan de DoppelPaymer-ransomware. Dit zijn slechts twee recente voorbeelden van aangevallen IT-bedrijven. Beide communiceerden over hun situatie en maakten waardevolle lessen bekend.
Het toont aan dat de attitudes langzaam veranderen, ook al gebeurt dat te geleidelijk. Sommige IT-bedrijven geven het goede voorbeeld, maar andere lijken het gewoon niet te snappen. Uit een recente studie blijkt dat slechts een derde van de Britse beroepsbevolking in de afgelopen twaalf maanden enige vorm van formele cyberbeveiligingsopleiding heeft gevolgd.
De ervaring leert ons dat digitale bedreigingen, net als de woedende COVID-19 pandemie, onmogelijk zijn in te dammen. De effecten van een uitgebreide cyberbeveiligingsopleiding beginnen na de eerste maand af te nemen. Na ongeveer drie maanden is men de training grotendeels vergeten. Dit betekent dat zelfs één training per jaar verre van voldoende is.
Er bestaat niet zoiets als groepsimmuniteit in cyberbeveiliging, een eeuwig anti-phishing trainingseffect is wishful thinking. Digitale educatie is alleen effectief als ze maandelijks wordt herhaald; mensen moeten de dreigingen ervaren als we ons valse gevoel van veiligheid willen uitroeien en een verschil willen maken.
Mensen zijn en blijven de zwakste schakel in elk veiligheidsecosysteem en het is hoog tijd dat we hen behandelen als het risico dat ze vormen. Want het zal u overkomen. U zult ons binnenlaten en u zult ervan leren. Phishing kan iedereen overkomen, en daarom moet iedereen worden getraind. Consequent en herhaaldelijk.
Trots en vooroordelen kosten onze bedrijven, onze economie en onze mensen.
Arnout Van de Meulebroucke
CEO Phished, expert in phishing & cybersecurity
