Zomercolumn Seth van der Meer: Oeps, mijn fout!

Vergissen is menselijk, zo luidt het gezegde. Cybercriminelen maken graag misbruik van deze eigenschap, maar is er iets wat we kunnen doen om menselijke fouten te beperken? Susan Morrow schreef voor Infosec Resources over vier menselijke fouten die leiden tot beveiligingsincidenten.

1. Het verkeerd afleveren van e-mails

Deze fout hebben we allemaal wel eens gemaakt. Het volstaat om iemand per ongeluk te “cc’en”, op “reply all” te klikken terwijl het een privé antwoord moest zijn of een vergelijkbare maar onjuiste naam uit de e-maillijst te kiezen, en je hebt een verkeerde levering. In het ergste geval gaat vertrouwelijke bedrijfsinformatie verloren.

Data Leak Prevention (DLP) biedt medewerkers bescherming bij de dagelijkse taken. DLP kan worden gebruiken om het verlies van gevoelige informatie te voorkomen. DLP wordt meestal gebruikt als aanvulling op de security awareness training (SAT) van het personeel. SAT creëert een “security-first” mentaliteit bij werknemers om hen bewust te maken van hun rol in het beschermen van gegevens.

2. De centrale printer

Cybersecurity gaat niet alleen over grote hacks, het gaat ook over het per ongeluk blootstellen van gevoelige informatie. Helaas is de printer vaak een vergeten onderdeel van de cyberbeveiliging cultuur.

Een cloudgebaseerde printmanagement oplossing kan de print procedures van bedrijven beveiligen om fouten te voorkomen. De overgang naar hybride- en thuiswerken heeft ook uitdagingen gecreëerd bij het voorkomen van printfouten. Eenvoudige controles, zoals het voorkomen van het per ongeluk versturen van afdrukken naar de verkeerde printer kan het lekken van gevoelige bedrijfsinformatie voorkomen.

3. Slechte security hygiëne

Werknemers zijn wachtwoorden beu, maar helaas zijn wachtwoorden nog steeds nodig. De workaround voor wachtwoord vermoeidheid is het hergebruiken of delen van wachtwoorden. Uit een onderzoek van Google is gebleken dat 62% van de mensen wachtwoorden opnieuw gebruikt, en 52% gebruikt die wachtwoorden voor meerdere accounts. Slechte security hygiëne kan leiden tot account overname en blootstelling van gegevens.

Multi-factor authenticatie (MFA) draagt bij aan een betere wachtwoordbeveiliging. MFA wordt echter niet altijd ondersteund; als extra beschermingslaag naast robuuste authenticatie opties zou een bedrijf security awareness-trainingen moeten aanbieden om werknemers voor te lichten over het gevaar van het delen en hergebruiken van wachtwoorden.

4. Configuratie fouten

Menselijke fouten komen ook voor bij de technische gemeenschap. Veel cyber aanvalstactieken maken gebruik van kwetsbaarheden door misconfiguratie door technieken te gebruiken als code-injectie en buffer overflow aanvallen. Het is gemakkelijk om een onveilige configuratie over het hoofd te zien nu veel systemen gebruik maken van API’s en cloud.

Het voorkomen van configuratie fouten is geen eenmalige oplossing. Het instellen van beveiligingsopties en ervoor zorgen dat webservers en andere componenten zijn gehard, maakt deel uit van het proces. Een manier om misconfiguraties te voorkomen is het principe van ‘least privilege’ toe te passen en essentiële toegang alleen toe te staan aan degenen die toegang tot deze cloud netwerkcomponenten moeten hebben. Security trainingen die zijn gericht op de IT medewerkers is essentieel om de security mentaliteit en het kennisniveau op peil te houden.

Mensen zullen altijd fouten maken, vooral wanneer ze gestrest en overwerkt zijn. Bij het beheersen van cyber beveiligingsrisico’s gaat het om het opbouwen van veerkracht. Menselijke fouten vormen echter een van de grootste uitdagingen op het gebied van beveiliging om risico’s te verkleinen. Er is geen eenvoudige oplossing om menselijke fouten te voorkomen. Bedrijven moeten investeren in specifieke technologieën zoals DLP, maar ze moeten de technologische oplossingen ook aanvullen met mensen en processen. Security awareness training en gesimuleerde phishing zijn manieren om duidelijk te maken waar fouten optreden. Slechte gewoonten veranderen en personeelsleden leren begrijpen wat hun rol is bij het beveiligen van een onderneming zijn enkele van de manieren om het minder waarschijnlijk te maken dat iemand op de verkeerde e-mail knop drukt of een vitaal webonderdeel verkeerd configureert.

Voor mij staat het als een paal boven water dat het aanbieden van it-security opleidingen en security-awareness trainingen een aantrekkelijke uitbreiding van het portfolio van een channel partner is. Partners doen er goed aan om een oplossing aan te dragen waarbij de gehele organisatie kan worden getraind.

Seth van der Meer is Channel Account Manager – Benelux & Nordics van Infosec Institute.