Het internet speelt een steeds grotere rol in ons leven, maar helaas breidt ook het aantal cyberdreigingen zich uit zonder einde in zicht. Onze online levens worden geviseerd door criminelen en regeringen die elkaar schade willen toebrengen. Het aanpakken van de zeer reële risico’s die cyberspace voor gemiddelde mensen en bedrijven met zich meebrengt, is daarom een heet hangijzer geworden.
Op een van de belangrijkste technologie-evenementen ter wereld, CES 2023, werd dit onderwerp belicht in een paneldiscussie met cybersecurity-experts getiteld “Heroverweging van de beveiliging: een mensgerichte cyberstrategie”, geleid door Hank Thomas, CEO van Strategic Cyber Ventures.
Onder de deelnemers bevond zich Carole House, Executive in Residence bij Terranet Ventures, een bedrijf dat zich richt op investeringen in technologieën met nationale veiligheidsapplicaties. Caroles achtergrond omvat werk op het gebied van digitale identiteit en cryptocurrency bij de National Security Council van het Witte Huis.
Steve Thomas, technische oprichter en CEO van startup HackNotice, een “bedreigingsbewustmakingsbedrijf”, en Timothy Youngblood, Chief Security Officer bij T-Mobile, maakten de groep compleet.
De mensgerichte aanpak / People-centric approach
Carole House legde op CES 2023 uit over de “mensgerichte aanpak” die ze tijdens haar werk voor het Witte Huis hanteerde. Een aspect hiervan was het ontmoedigen van “illicit actors”, de cybercriminelen, door middel van een anti-losgeldcampagne. Ze keken ook naar de mensen die het slachtoffer worden van cybercrime – slachtoffers van fraude en ransom-ware. De focus lag op kwetsbaarheden en hoe mensen gericht werden. Een bijzondere prestatie die House deelde, was het verhogen van cybercrime tot een nationale veiligheidsimperatief.
Tim Youngblood noemde beveiliging “een mensenbedrijf”. In zijn werk bij T-Mobile heeft hij “persoonsgebaseerde training” gedaan die zich richt op hoe mensen getraind worden in hun ruimtes en hoe beveiliging hun dagelijks leven beïnvloedt. Dit betekent dat veldtechnici, executive assistenten, winkelbedienden en andere functies op de hoogte worden gebracht van de specifieke beveiligingsuitdagingen van hun werk. De training is gebaseerd op het beoordelen en kwantificeren van potentiële risico’s en het onderwijzen van mensen in de meest relevante problemen waar ze momenteel mee te maken hebben.
De getrainde personeelsleden worden vervolgens voortdurend getest via methoden als gespeelde phishing-aanvallen om ervoor te zorgen dat ze alert blijven op mogelijke bedreigingen. Youngblood deelde dat ze in 2022 160.000 phishing-campagnes uitvoerden, elke persoon bij T-Mobile testend, waardoor er real-time leermomenten werden geboden aan het personeel. Terwijl degenen die voor de aanvallen vielen getraind werden om in de toekomst dergelijke aanvallen te vermijden, deelde Youngblood ook de belangrijkheid van het bieden van een platform voor het belonen van degenen die beveiligingsfouten vermeden.
Steve Thomas was het eens dat training belangrijk is, maar de meeste onderwijsbedrijven produceren generieke inhoud en geven het bericht niet door aan de werknemers dat cybersecurity onderdeel is van hun werk. Om dit “perceptieprobleem” op te lossen, richtte hij het bedrijf HackNotice op, met als doel mensen te laten begrijpen dat beveiliging hun verantwoordelijkheid is omdat ze zelf het doelwit zijn van hackers.
“Iedereen is een potentieel doelwit,” zei Thomas. “Het is onze taak om ervoor te zorgen dat mensen zich bewust zijn van de risico’s en weten hoe ze zichzelf kunnen beschermen.”
Het is duidelijk dat een “mensgerichte aanpak” een belangrijke rol kan spelen bij het dramatisch verhogen van de cybersecurity van een bedrijf. Door gericht te werken aan de kwetsbaarheden en specifieke risico’s van individuele personen en hun functies, kan er efficiënter worden gewerkt aan het verminderen van de kans op cybercrime. Bedrijven moeten erkennen dat beveiliging niet alleen een technische kwestie is, maar ook een menselijke kwestie en investeren in opleiding en training voor hun personeel.
