Online weerbaarheid van medewerkers is essentieel tegen cybercriminaliteit

24 februari 2025 13:02

• IT ontwikkelingen

Door Martin J. Krämer, Security Awareness Advocate bij KnowBe4

Vorig jaar verloor de Britse multinational Arup ongeveer 20 miljoen pond door een deepfake-fraude. En in Hongkong werd een finance-medewerker misleid door AI-gegenereerde deepfakes die hem deden geloven dat hij een vergadering met leidinggevenden bijwoonde. Deze incidenten laten zien hoe oude oplichtingspraktijken gecombineerd worden met nieuwe technologie en succesvol door cybercriminelen worden gebruikt. In dit blog lees je hoe je de cyberweerbaarheid binnen een organisatie kunt vergroten.

Nieuwe technologieën vergroten de frequentie en de verfijning van cyberaanvallen. Dit resulteert in steeds complexer wordende cybercriminaliteit. De Cybersecurity Outlook 2025 van het World Economic Forum (WEF) noemt ransomware, AI-gestuurde social engineering en aanvallen op de toeleveringsketen als de drie belangrijkste aanvalstypen. Volgens het rapport verwacht 71% van de risicomanagers ernstige verstoringen door cybercriminaliteit, en meldt 72% van de organisaties een toename van online dreigingen in 2024.

Cybercrime-as-a-service

Bovendien heeft de opkomst van Generative AI de kosten voor goed ontwikkelde phishing- en fraudecampagnes verlaagd, zoals we kunnen zien in meer gepersonaliseerde pogingen die vaak meerdere kanalen en formaten beslaan. Dezelfde trend zien we in de democratisering van cybercriminaliteit, aangezien cybercrime-as-a-serviceplatformen steeds gebruikelijker worden. Phishing op basis van AI en deepfakes zijn nu beschikbaar als diensten op het dark web, zodat aanvallers minder kennis en vaardigheden nodig hebben om hun aanvallen uit te voeren. Dit heeft frequentere aanvallen van minder bekwame tegenstanders tot gevolg.

Cybercriminelen nemen ook in aantal toe, waarbij cybercriminaliteit en georganiseerde misdaad samenkomen. Het WEF-rapport vermeldt gedwongen werk in Zuidoost-Azië. Criminele netwerken dwingen mensen om te werken in online oplichtingscentra. Hierdoor zal het aantal aanvallen sterk toenemen en dit is een trend die we nu al sterk zien. Volgens een onderzoek van Accenture steeg het aantal deepfake-aanvallen met 223% tussen Q1 2023 en Q1 2024. 66% van cybersecurity-professionals beschouwt AI en machine learning als de grootste dreiging voor 2025, maar 63% van hen evalueert AI-tools niet volledig voor gebruik.

Ferrari

Cyberaanvallen kunnen niet volledig worden voorkomen, maar het is wel belangrijk dat organisaties cyberrisico’s zorgvuldig beheren. Goede training en kritisch denken helpen bij het nemen van juiste beslissingen. Maar wanneer cybercriminelen nieuwe technologie gebruiken om oude scams uit te voeren, kan het zijn dat mensen er niet in slagen de juiste actie te ondernemen. Dit wordt duidelijk in het hierboven genoemde voorbeeld van een medewerker uit Hongkong.

Onder verschillende omstandigheden ondernemen medewerkers wel de juiste actie, zoals blijkt uit een incident bij Ferrari dat zich vorig jaar ook voordeed. Bij de luxe autofabrikant stelde een senior manager de juiste vraag op het juiste moment, waarbij hij het verhaal van een oplichter als fraude afdeed. De oplichter deed zich voor als de CEO van het bedrijf, maar kon zich niet herinneren welk boek de CEO had aanbevolen aan de persoon die hij belde tijdens een gesprek dat een paar dagen voor het oplichtersgesprek plaatsvond. De senior manager bij Ferrari beëindigde het telefoongesprek onmiddellijk.

Cyberweerbaarheid

Het creëren van bewustwording is een belangrijk onderdeel van een cybersecurityprogramma, maar training alleen is niet voldoende. Gartner ontdekte dat werknemers vaak beveiligingsbeleid omzeilen als dit hun werk belemmert. Om cyberweerbaarheid te vergroten is het daarom noodzakelijk dat organisaties een cultuur creëren die veilig gedrag bevordert. Uit het WEF Global Cybersecurity Outlook 2025-rapport blijkt dat organisaties met een sterke beveiligingscultuur de volgende kenmerken delen:

• Er zijn ondersteuningsteams voor het melden en aanpakken van incidenten
• Er zijn meldpunten waar medewerkers anoniem melding kunnen maken
• Er is een niet-bestraffend beleid dat medewerkers aanmoedigt om fouten te melden
• Er zijn beloningsprogramma’s die gewenst gedrag aanmoedigen
• Het rapporteren van incidenten wordt gezien als een positieve maatstaf in de prestaties van medewerkers

Cyberweerbare organisaties bevorderen proactief positief beveiligingsgedrag. Toegewijde beveiligingsprogramma's kunnen het verschil maken. Incidentenrapportage als een positieve individuele metriek en het gebruik van een niet-bestraffend beleid verlaagt de drempel van proactief veilig gedrag voor veel werknemers. Werknemers zijn niet langer bang om iets verkeerd te doen en daarvoor gestraft te worden. Erkennings- en rapportageprogramma's zijn een geweldige manier om gewenst gedrag te versterken. Programma's die met in plaats van tegen de menselijke natuur werken zullen het succesvolste zijn.

Het beheren van cyberrisico's moet gepaard gaan met verandermanagement om de beveiligingscultuur te behouden en te verbeteren. Eis je van werknemers dat ze beveiligingsincidenten melden, dan moet je hier ook een positieve beloning voor het melden van incidenten aan koppelen, zoals het WEF-rapport suggereert. Op deze manier wordt de vereiste verandering als positief ervaren en wordt naleving waarschijnlijker.

Het vergroten van de menselijke weerbaarheid is de meest effectieve manier om menselijk risico te beheren. Het verbeteren van de beveiligingscultuur om veerkracht te bevorderen, is daarom een vereiste.

Interessant artikel? Deel het: