Cybercrime12.03.2018

De mens is een essentiële schakel in cybersecurity


De zwakke schakel is de mens.” Het is een uitspraak die vaak voorbij komt als je met security-experts praat en ik verwachtte van Jelle Niemantsverdriet een vergelijkbare uitspraak. Niemantsverdriet is Director Cyber Risk Services bij Deloitte en gespecialiseerd in het onderzoeken en oplossen van beveiligingsincidenten. “Helemaal niet,” was het antwoord dat ik onverwachts kreeg. Dat heeft alles met olifanten te maken.

Als je de taak hebt om je bedrijf veilig te houden, heb je het druk de laatste tijd: cyber security staat in de spotlight na een aantal high-profile hacks met verstrekkende gevolgen, zoals ziekenhuizen die opeens niet meer kunnen functioneren. WannaCry, Petya, gehackte zonnepanelen, gevoelige informatie die opeens op straat ligt, elke week lijkt er een nieuwe dreiging. Het kan soms lijken op onbegonnen werk, maar in de praktijk kan je als IT-specialist juist het verschil maken.

Het lijkt misschien wel alsof de hemel op ons hoofd gaat vallen, maar als specialist kun je beter de James Bond-achtige technieken laten voor wat ze zijn. Dat soort technieken zorgen voor een goed verhaal, maar de manieren waarop je systemen worden aangevallen zijn vaak veel banaler. Het is toch vaak een geraden of gestolen wachtwoord of een geklikt linkje in een phishing mail.

Toch de mens als zwakke schakel dus? “Uiteindelijk kun je als er iets gebeurd is altijd de keten terug volgen en dan bij de eerste menselijke fout zeggen dat je het gevonden hebt”, aldus Niemantsverdriet. “Daar los je echter niks mee op. Beter: als IT- of security-specialist dien je te kijken hoe slordigheden ontstaan en moet je daar iets aan doen.

Olifanten

Misschien ken je de term olifantenpaadjes wel. Het zijn de uitgesleten paden die door grasvelden en heuveltjes lopen, doorgaans niet ver van de ‘echte’ route. Dat moeten de ontwerpers van de paden zien als een signaal dat ze iets gemist hebben. “Zo werkt het in security ook”, zegt Niemantsverdriet.

Security heeft de neiging om in systemen te denken, om zo veel mogelijk alles dicht te timmeren. Dat zorgt soms voor systemen die helemaal niet aansluiten op de gebruikerservaring, waardoor mensen sluiproutes nemen om toch te doen wat ze willen of nodig hebben. Dat leidt vaak tot minder veiligheid. Je moet je als bedrijf dan afvragen of je de juiste methode hebt gekozen.

Maar het moet zo, anders is het niet helemaal veilig”, zal de security-afdeling dan zeggen. Daar zijn een aantal argumenten tegen. Vaak staat de IT of security afdeling bekend als het ‘department of no’, omdat soms zonder enige context of nuance ‘nee’ zeggen tegen elk verzoek.

Gebruikers met een vraag of issue zullen dan niet snel langsgaan om te vragen hoe iets op te lossen is. Die afstand zou je moeten zien te overbruggen en om dat te doen zou de security-sector wel wat meer naar sectoren als psychologie, marketing en economie kunnen kijken. Die weten wel hoe je een gebruikerservaring kunt maken die effectief is en toch doet wat nodig is om de veiligheid van je bedrijf voorop te zetten. Deloitte is gespecialiseerd in cyber security en streeft ernaar om bij haar klanten cyber security centraal te laten staan. Alleen wanneer Security samenwerkt met overige delen van het bedrijf, kan de meest veilige situatie gecreëerd worden.

‘Better than perfect’

Niet dat er een werkbaar systeem bestaat dat op alles is voorbereid. Dit is namelijk ook afhankelijk van de grootte van het bedrijf. “Kleine bedrijven kunnen gewoon de gangbare applicaties gebruiken van de Apples en Googles van de wereld”, volgens Niemantsverdriet. “Want die zijn heel veilig, hebben twee-factor authenticatie en omdat de belangen groot zijn wordt er snel geschakeld in het geval van problemen. Het is een acceptabel risico.

Dat laatste is sowieso een term die je moet omarmen als security-verantwoordelijke, want honderd procent veilig bestaat niet. “Moet je ook niet najagen”, aldus Niemantsverdriet. Bij Facebook zeggen ze ‘done is better than perfect’ en dat is de spijker op de kop. “Ik heb liever drie dingen die 70 procent effectief zijn dan één ding dat zogenaamd perfect is.

Je zou kunnen zeggen dat het niet meer te doen is voor een IT-medewerker of zelfs IT-afdeling om alles bij te houden en te weten wat de juiste keuzes zijn qua veiligheid. Zeker als het al werkt, is het de vraag waarom je zou gaan rammelen aan systemen. “Het is ook heel lastig, maar je kunt de tijd van je IT-personeel beter benutten. Stuur ze naar een security-training, in plaats van ze bezig te houden met gewoontes die in de IT nog bestaan maar eigenlijk niet meer relevant zijn.

Daar hoort bijvoorbeeld het ouderwetse wachtwoordbeheer bij. We weten al dat een kort wachtwoord met allerlei rare tekens niet helpt, maar ook elke drie maanden het wachtwoord moeten veranderen is contraproductief. Goed monitoren, twee-factor authenticatie verplicht maken of one-time codes gebruiken, dat zijn dingen die helpen zelfs als er iemand een steek laat vallen.

In plaats van veel tijd te steken in het aantonen van (vaak al bekende) fouten in systemen, kan een security-verantwoordelijke beter tijd steken in het beter bouwen van systemen“, zegt Niemantsverdriet. Maak systemen die mensen omarmen en zorg dat je bottlenecks oplost in plaats van de schuld bij de zogenaamd ‘domme’ gebruikers te leggen. Er is uitdaging genoeg in die rol, maar de traditionele IT’er die alleen maar met systemen bezig is, past niet meer in deze tijd.

Er is een ander type mens nodig in de IT-rol, die meer met zijn gebruikers bezig is en dezelfde adaptieve en innovatieve mindset aanneemt die de kwaadwillende hackers van tegenwoordig ook hebben. Als je in die rol zit: kijk in de spiegel en zorg dat je meegaat met de tijd. Security gaat om mensen en die zijn nou eenmaal niet perfect. Er is meer – en er moet meer zijn – dan technische kennis alleen om succesvol de zaak veilig te houden.

Dit artikel is in samenwerking met Deloitte geschreven.

[Afbeelding © Tomasz Zajda – Adobe Stock]






Verder lezen over Bedrijven

5x tips om van jouw werkplek een chille omgeving te maken

We hebben allemaal weleens van die dagen waarop we liever in bed zouden blijven liggen dan naar het werk te gaan. Het kan ook anders, af en toe pauze nemen op een plek waar je je comfortabel voelt en waar je geïnspireerd kunt werken is veel fijner. Hieronder lees je 5 tips om te werken in een chille omgeving, waardoor je kunt relaxen én productief kunt werken.

DC Business21.06.2024

5x tips om van jouw werkplek een chille omgeving te maken

5 dingen om op te letten als je je eigen bedrijf start

Eigen tarieven bepalen en eigen werktijden: hoe fijn is dat? Het geeft een enorm gevoel van vrijheid, maar dat betekent niet dat er niet een paar dingen zijn die je toch echt wel even moet regelen. Deze 5 dingen zijn verstandig om op te letten als je je eigen bedrijf start.

Startups15.05.2024

5 dingen om op te letten als je je eigen bedrijf start

Trends in 2024 voor bedrukte relatiegeschenken: Wat is hot en wat niet?

De wereld van bedrukte relatiegeschenken blijft zich ontwikkelen, waarbij elk jaar nieuwe trends opduiken die aansluiten bij de wisselende voorkeuren en technologische ontwikkelingen.

DC Business15.05.2024

Trends in 2024 voor bedrukte relatiegeschenken: Wat is hot en wat niet?

Dit zijn volgens LinkedIn de beste bedrijven voor carrièreontwikkeling in 2024

Deze jaarlijkse lijst biedt een overzicht van de 15 beste werkplekken voor professionals om op dit moment carrière te maken in Nederland. Het is dit jaar een mix van bedrijven in tech, financiën, consumentengoederen en logistiek.

Social Media16.04.2024

Dit zijn volgens LinkedIn de beste bedrijven voor carrièreontwikkeling in 2024

​Waar moet je op letten bij het inrichten van jouw kapsalon?

Het inrichten van een kapsalon is meer dan alleen het kiezen van mooie meubels en decoraties. Het gaat om het creëren van een ruimte die zowel functioneel als uitnodigend is voor je klanten en medewerkers. Hier zijn enk...

DC Business09.04.2024

​Waar moet je op letten bij het inrichten van jouw kapsalon?

​Hoe gepersonaliseerde software innovatie aandrijft

In een wereld waar technologie razendsnel evolueert en bedrijfsprocessen steeds complexer worden, is de behoefte aan softwareoplossingen die naadloos aansluiten op specifieke bedrijfsbehoeften urgenter dan ooit. Maatwerk...

Technology28.03.2024

​Hoe gepersonaliseerde software innovatie aandrijft

Nieuwe webcams van Logitech: MX Brio & MX Brio 705 for Business

Logitech heeft deze week 2 nieuwe webcams onthuld voor zowel consumenten als bedrijven die behoefte hebben aan videovergaderingen in de hoogste kwaliteit, compleet met het meest uitgebreide aanbod aan features dat Logite...

Gadgets07.03.2024

Nieuwe webcams van Logitech: MX Brio & MX Brio 705 for Business

Expatfile vereenvoudigt FBAR-aangiftes voor Amerikanen

Expatfile is een toonaangevend Amerikaans belasting- en financieel technologiebedrijf dat een gebruiksvriendelijk belastingplatform biedt aan Amerikanen die in het buitenland wonen. Het bedrijf heeft een innovatieve oplo...

DC Business29.02.2024

Expatfile vereenvoudigt FBAR-aangiftes voor Amerikanen

Verder lezen over Hackers

Cyberafpersing is het afgelopen jaar wereldwijd met 77% toegenomen

Het aantal geregistreerde organisaties dat slachtoffer werd van cyberafpersing is wereldwijd met 77% toegenomen in de afgelopen 12 maanden. Dat blijkt uit de Cy-Xplorer 2024, het rapport van Orange Cyberdefense dat jaarlijks de ontwikkeling van cyberafpersing beschrijft.

Cybercrime04.07.2024

Cyberafpersing is het afgelopen jaar wereldwijd met 77% toegenomen

Veel zorginstellingen hebben last van DDoS-ransomware aanvallen

De behoefte aan gezondheidszorg neemt wereldwijd toe. Dit gaat gepaard met een groeiende behoefte aan moderne technologie ter ondersteuning van de patiëntenzorg. Uit nieuw onderzoek van SOTI blijkt dat 78% van Nederlandse zorgverleners vindt dat organisaties moeten investeren in nieuwe technologie.

Cybercrime27.06.2024

Veel zorginstellingen hebben last van DDoS-ransomware aanvallen

Waarom verstuurt Google weer account- en inloglinks in mails?

Sinds enige tijd verstuurt Google accountnotificaties over veiligheidsissues of nieuwe functies naar de inbox van Gmail. Verontrustend feit daarbij is dat deze emails een directe link naar de desbetreffende accountinformatie bevatten.

Cybercrime26.06.2024

Waarom verstuurt Google weer account- en inloglinks in mails?

5 signalen om datingfraude te herkennen

Ze verschijnen uit het niets en laten je sprakeloos achter. Plotseling ontmoet je de meest perfecte persoon die je je maar kunt voorstellen: lief, attent, charmant, en intelligent. Ze lijken altijd precies te weten wat te zeggen.

Cybercrime14.06.2024

5 signalen om datingfraude te herkennen

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

TikTok meldt nu dat hackers al meerdere accounts van grote merken en beroemdheden hebben aangevallen. Met succes.

Cybercrime05.06.2024

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

Cybercrime15.05.2024

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

En dat in slechts 4 jaar tijd
Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Fortinet heeft een nieuwe editie van het Global Threat Landscape Report uitgebracht. In deze nieuwe editie van dit halfjaarlijkse rapport zien we de trends uit de periode van juli tot en met december 2023.

Cybercrime08.05.2024

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet
Bescherm jij je online identiteit wel genoeg?

We kennen allemaal wel de verhalen van mensen wiens Instagram-foto’s worden gestolen om een catfish-account aan te maken, of mensen, bedrijven en merken bij wie hackers toegang hebben gekregen tot een van de social media accounts.

Cybercrime15.04.2024

Bescherm jij je online identiteit wel genoeg?

Verder lezen over Malware

Temu wordt nu zelfs bestempeld als gevaarlijke malware

Een nieuwe rechtszaak tegen Temu stelt dat het Chinese platform er aantoonbaar ver in gaat: het zou je tekstberichten op je telefoon meelezen.

Cybercrime01.07.2024

Temu wordt nu zelfs bestempeld als gevaarlijke malware

5 tips om online veilig te zijn

Heb jij wel eens een bericht ontvangen, met een eis om nu te betalen of je foto’s zullen online worden gezet? Of je krijgt een telefoontje en je hoort een tape van een of andere officiële instelling zoals Interpol, met de mededeling dat jouw identiteit is betrokken bij een fraudezaak en met de te nemen stappen.

Online20.05.2024

5 tips om online veilig te zijn

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

Cybercrime15.05.2024

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

En dat in slechts 4 jaar tijd
Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Fortinet heeft een nieuwe editie van het Global Threat Landscape Report uitgebracht. In deze nieuwe editie van dit halfjaarlijkse rapport zien we de trends uit de periode van juli tot en met december 2023.

Cybercrime08.05.2024

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

In heel Nederland, maar ook in de rest van Europa, zorgen de toenemende kosten van levensonderhoud en de inflatie voor sombere economische vooruitzichten voor het komende jaar. Met als logisch gevolg dat we wat meer gaan...

Cybercrime05.02.2024

Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

Volgens de Fraudehelpdesk hebben in 2023 maar liefst 494 mensen aangifte gedaan van datingfraude, waarvan 264 mensen ook flink schade hebben geleden. De totale schade als gevolg van datingfraude in 2023 bedraagt €7.644...

Online29.01.2024

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

75% meer dan in 2022
​Zo wapen je je tegen ransomware

Het wordt een steeds groter probleem: ransomware. Het ene na het andere bedrijf krijgt te maken met ‘gekidnapte’ bestanden, die daarnaast ook nog vaak alsnog worden gelekt. Het gebeurde laatst nog bij de gamestudio a...

Cybercrime19.01.2024

​Zo wapen je je tegen ransomware

Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks

Van de manipulatie van grote taalmodellen tot vishing met AI-gebaseerde chatbots, kunstmatige intelligentie drukt in 2024 een steeds grotere stempel op het cybersecuritylandschap. Zo voorspelt het WatchGuard Threat Lab v...

Cybercrime04.12.2023

Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks

Verder lezen over Security

Update je smarthome-apparaten, juist als je op vakantie gaat 

Je smarthome kan je heel goed helpen op reis, maar het kan je ook juist tot last zijn. Daarom komt de overheid met doejeupdates.nl.

Cybercrime04.07.2024

Update je smarthome-apparaten, juist als je op vakantie gaat 

Cyberafpersing is het afgelopen jaar wereldwijd met 77% toegenomen

Het aantal geregistreerde organisaties dat slachtoffer werd van cyberafpersing is wereldwijd met 77% toegenomen in de afgelopen 12 maanden. Dat blijkt uit de Cy-Xplorer 2024, het rapport van Orange Cyberdefense dat jaarlijks de ontwikkeling van cyberafpersing beschrijft.

Cybercrime04.07.2024

Cyberafpersing is het afgelopen jaar wereldwijd met 77% toegenomen

Temu wordt nu zelfs bestempeld als gevaarlijke malware

Een nieuwe rechtszaak tegen Temu stelt dat het Chinese platform er aantoonbaar ver in gaat: het zou je tekstberichten op je telefoon meelezen.

Cybercrime01.07.2024

Temu wordt nu zelfs bestempeld als gevaarlijke malware

Veel zorginstellingen hebben last van DDoS-ransomware aanvallen

De behoefte aan gezondheidszorg neemt wereldwijd toe. Dit gaat gepaard met een groeiende behoefte aan moderne technologie ter ondersteuning van de patiëntenzorg. Uit nieuw onderzoek van SOTI blijkt dat 78% van Nederlandse zorgverleners vindt dat organisaties moeten investeren in nieuwe technologie.

Cybercrime27.06.2024

Veel zorginstellingen hebben last van DDoS-ransomware aanvallen

Pas op: nieuwe bug laat je als Microsoft-medewerker e-mails sturen

Microsoft reageert er verder niet op, maar een security-expert bewijst dat het hem is gelukt om mails te sturen vanuit @microsoft.com. Dat kan grote gevolgen hebben voor phishingmails.

Cybercrime19.06.2024

Pas op: nieuwe bug laat je als Microsoft-medewerker e-mails sturen

BIMI: zo weet je straks dat het echt de politie is die je mailt

BIMI: het is niet alleen aspergebroccoli, het is ook een manier voor jou om te zien dat het echt de politie is die je mailt.

Online12.06.2024

BIMI: zo weet je straks dat het echt de politie is die je mailt

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

TikTok meldt nu dat hackers al meerdere accounts van grote merken en beroemdheden hebben aangevallen. Met succes.

Cybercrime05.06.2024

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

Mogelijk hack bij Ticketmaster: honderden miljoenen gegevens buitgemaakt

Ticketmaster heeft als grootste ticketbedrijf enorm veel invloed, maar ook enorm veel klantgegevens. En die schijnen nu op straat te liggen.

Cybercrime30.05.2024

Mogelijk hack bij Ticketmaster: honderden miljoenen gegevens buitgemaakt