Ook met telefoongesprekken in openbare ruimtes let ik op. Alleen al het noemen van een voor- en achternaam in een volle treincoupé zorgt ervoor dat andere reizigers meer over jou te weten kunnen komen dan je op dat moment vermoedt. Ze hoeven alleen je voor- en achternaam maar op te vangen en te googlen, en dan weten ze meer dan je lief is. Ik telefoneer daarom eigenlijk nooit zakelijk in de trein of op andere drukke plekken met veel onbekende mensen.

IT-beveiliging en de medewerker

Op het gebied van IT-beveiliging kun je allerlei technische maatregelen nemen. Maar vaak blijkt de mens de zwakste schakel. Elke medewerker heeft een grotere IT-beveiligingsrol dan hij zelf denkt. Welke plek kies jij in de trein? Houd je er rekening mee dat iemand mee kan luisteren wanneer je aan het bellen bent? Want als ze weten wie je bent, dan kunnen ze je bijvoorbeeld een email sturen.

Auteur: Collin Ernst Collin is Tactisch Security Consultant bij APG. Expert in Ethical Hacking en Information Security. Gadget freak en netwerker. Motto: 1+1 = niet altijd 2 maar soms ook 3.

En zo begint vaak een beveiligingsincident. Een gebruiker 'klikt' op een linkje in een e-mail of opent een bijlage waarin malware verstopt is. Dit is een voorbeeld van social engineering, een techniek waarbij een kwaadwillende een aanval op computersystemen probeert te doen via de gebruikers van de systemen.

Daarom houden wij ons bij APG, naast de leuke technische IT-beveiligingsprojecten, ook bezig met de menselijke kant van IT-beveiliging en we helpen mee bij het tegengaan van social engineering-pogingen. Dit maakt de security-projecten binnen APG erg veelzijdig en leuk om aan mee te werken.

Het gaat dus niet puur en alleen om techniek. Bij social engineering wordt gebruik gemaakt van zwakheden in procedures, waardoor deze aanvallen moeilijk te herkennen zijn. Kritisch je procedures onder de loep nemen is soms de enige optie.

Security awareness

Technische maatregelen alleen bieden onvoldoende bescherming. Daarom moet binnen een organisatie security awareness worden gecreëerd. Er moet een cultuur komen waarin de medewerker beveiligingsrisico's beter kan herkennen, zijn eigen verantwoordelijkheid inziet, en ook eerder melding maakt van deze risico's. En dat gaat niet vanzelf. Medewerkers hebben training nodig in het herkennen van dit soort aanvallen en het volgen van de procedures.

Binnen APG wijzen we medewerkers op de rol die ze zelf hebben op het gebied van informatiebeveiliging. Er worden IT-security awareness sessies georganiseerd voor verschillende doelgroepen. Daarnaast dragen we het IT-security bewustzijn uit via het intranet en de infoscreens met filmpjes en berichten.

Verder hebben we een security awareness game, die sinds 2015 voor en door leden van het CIO Platform Nederland, waar APG onderdeel van uit maakt, wordt ontwikkeld om het bewustzijn over informatieveiligheid te vergroten. Gamification is een leuke, effectieve en motiverende manier van leren. Deze vorm van awareness is erg geschikt voor het veranderen van gedrag van de medewerkers en dat is ook het doel van deze game.

Samen met een collega spelen gebruikers de game. Het doel ervan is om, onder andere door gebruik te maken van social engineering, samen het volgende level te bereiken. Daarbij worden ze alert gemaakt op security-risico's zoals rondslingerende toegangsbadges, ze leren de risico's herkennen van social media, phishing en gebruik van wachtwoorden. Zo wordt iedereen spelenderwijs alert op aanvallen en kunnen ze in het echte leven effectief optreden als klanten met een cyberaanval te maken krijgen.

De alerte IT-security bewuste medewerker

Het volgen van de security awareness sessies en het spelen van de game dragen bij aan alerte en IT-securitybewuste medewerkers. Medewerkers zien sneller veiligheidsrisico's en weten hoe ze ermee moeten omgaan. Dit zorgt er uiteindelijk voor dat de medewerker, buiten de technische beveiliging om, zijn steentje bijdraagt aan het voorkomen van beveiligingsincidenten. Op deze manier maken we een zwakke schakel sterker.