Gaan we voor Cyber Security Awareness of Cyber Resilience?

Nu we beginnen aan een nieuwe Cyber Security Awareness maand, loont het de moeite om nog eens te kijken wat we wel en niet hebben bereikt qua digitale bescherming.

iStock-1444525601

In de afgelopen 20 jaar heeft technologische vooruitgang onze cyberbeveiliging getransformeerd. We hebben nu geavanceerde firewalls, multi-factor authenticatie, AI-gestuurde detectie van bedreigingen en een zero-trust architectuur. We hebben zowel technische als menselijke skills op scherp gezet om cyberaanvallen te weerstaan.

Maar toch, ondanks de immense groei van ons cyber-arsenaal, zijn mensen (en niet technologie) nog steeds de zwakste schakels in elk beveiligingssysteem. Twee decennia geleden schreven Mitnick en Simon (2003) over de kunst van manipulatie om toegang te krijgen tot onze systemen — en veel is er nog niet veranderd. Helaas blijven cybercriminelen, ondanks alle vooruitgang in technische tools, ons al te menselijke gedrag uitbuiten. Geavanceerde social engineering-tactieken en uitbuiting zijn nog steeds verantwoordelijk voor de meeste succesvolle inbraken.

Menselijk vertrouwen manipuleren

Denk bijvoorbeeld aan de beruchte 2020 Twitter hack, waarbij high-profile accounts — waaronder die van Elon Musk en Barack Obama — werden gecompromitteerd. Dit was geen complexe technische exploit, maar een succesvolle social engineering-aanval. Hackers die zich voordeden als vertrouwde collega’s overtuigden Twitter-medewerkers om de deur open te zetten naar hun interne systemen. Ondanks de robuuste technische verdediging van het platform was er niet meer nodig dan menselijke manipulatie.

We moeten onze human skills en ons bewustzijn bijspijkeren, net zoals we onze firewalls en antivirussoftware updaten.
Martin Butler
Professor of Management Practice in Digital Transformation

Een ecosysteem waar alles verbonden is

Het recente Cloudflare-incident herinnert ons aan de onderlinge verbondenheid van de huidige digitale systemen. Een gebruiker van Okta, een business partner van Cloudflare, gaf referenties vrij terwijl hij inlogde op een persoonlijke account met een professionele laptop. Die ene kleine nalatigheid bracht honderden andere organisaties in gevaar, waaronder Cloudflare zelf, wat ook weer miljoenen van hun eindklanten blootstelde.

Dit incident bewijst nog maar eens dat het overkoepelende ecosysteem dat onze systemen beheert altijd verschillende organisaties betrekt, zelfs als de software in de hele organisatie van één leverancier komt. Deze onderlinge verbondenheid kan het systeem gezond en efficiënt houden — tot het kaartenhuisje op een dag ineenstort.

De digitale wereld is een ingewikkeld kluwen van onderlinge afhankelijkheden. Eén onzorgvuldige actie kan de wereldwijde handel op de knieën dwingen. De afgelopen twintig jaar hebben investeringen in technologie en bewustmaking veel organisaties behoed voor ellende. Maar kunnen we voorkomen dat het domino-effect elk softwaresysteem bereikt? Sterkere AI leidt nu al tot meer geavanceerde technische en menselijke aanvallen. Onze cyber security evolueert mee — zij het dan wel vooral om de technische aanvallen succesvol af te weren.

Cyber security training

Trainingen in cyber security gaan vandaag verder dan eenmalige compliance-cursussen met afvinkvakjes. In de plaats zien we meer doorlopende en prikkelende tajecten. The Inside Man van KnowBe4 is meeslepend en leerzaam tegelijk. We beginnen vaker KPI’s in cybersucces te monitoren, door bijvoorbeeld te meten hoe bestand medewerkers zijn tegen phishing of social engineering. Real-time phishingsimulaties, gamified beveiligingstrainingen en de integratie van cyber-awareness in welkomst- en evaluatiegesprekken hebben al een groot verschil gemaakt. Toch blijven de bedreigingen zich ontwikkelen. Deepfakes en phishing via AI zijn de nieuwe kliffen om te omzeilen.

Hebben we genoeg aandacht besteed aan intrinsieke verdediging, aan kritisch denken, aan situationeel bewustzijn? Moeten we nog werken aan een cultuur waar elk individu meedraait in de eerste verdedigingslinie? Of hebben we al gedaan wat we konden en is dit gewoon de oorlog die we nooit kunnen winnen?

Elke cyberinvestering moet inzetten op responsieve skills. Alleen zo blijven we het onvermijdelijke de baas.
Martin Butler
Professor of Management Practice in Digital Transformation

Investeren in cyberveiligheid

Bedrijfsleiders weten maar al te goed dat intrinsiek menselijke verdediging evenveel investeringen vraagt als het technologische luik. We moeten onze human skills en ons bewustzijn bijspijkeren, net zoals we onze firewalls en antivirussoftware updaten. Alleen zo kunnen we gelijke tred houden met de nieuwe bedreigingen. Nu we de Cyber Security Awareness maand ingaan, rijst de vraag: gaan we mikken op beter gewapende werknemers, of moeten we accepteren dat het systeem zal blijven lekken zolang we met mensen werken? Het antwoord is eenvoudig: elke cyberinvestering moet inzetten op responsieve skills. Alleen zo blijven we het onvermijdelijke de baas.

Meer dan bewustmaking alleen

Veel cybertechnologieën van de afgelopen tien jaar zijn gericht op disaster recovery en redundantie, vooral om continuïteit te bieden na een cybercrash. De nieuwe kans zit in de mensgerichte respons die veel aandacht krijgt in nieuwe regelgeving zoals NIS2. We moeten cyber resilience ontwikkelen en bijvoorbeeld cross-functionele response teams en skills uitbouwen. We moeten onze menselijke slagkracht vergroten en verder gaan dan enkel bewustmaking.

Tegen 2025 zouden we beter een Cyber Resilience maand lanceren in plaats van deze Cyber Security Awareness maand. Laten we de focus verleggen van geavanceerde technische opsporings- en beveiligingsmogelijkheden naar onze mensen en hun responsieve skills. Het is een kwestie van impact.

Meer info? Annelies Claeys staat je graag te woord: annelies.claeys@vlerick.com of +32 (0)9 210 98 04.