LOKO Online Security

De 5 meest voorkomende menselijke fouten voor dataverlies

Door 11 december 2019januari 13th, 2020Geen reacties

De 5 meest voorkomende menselijke fouten voor dataverlies

Zoals velen al in het nieuws voorbij zagen komen, blijft phishing een actueel onderwerp. Waarom? Omdat cybercriminelen blijven inspelen op ons menselijke gedrag. Een menselijke fout betekent dat er iets is gedaan dat “niet door de acteur was bedoeld; niet gewenst door een stel regels of een externe waarnemer; of dat de taak of het systeem buiten de aanvaardbare grenzen heeft gebracht”. Kort gezegd: het is een afwijking van de intentie, verwachting of wat wenselijk was. Hieronder de top 5 menselijke fouten die van invloed zijn op gegevensbeveiliging.

Menselijke fout 1: Vallen voor phishing

Phishing is wanneer een oplichter kwaadaardige e-mails verzendt die afkomstig lijken te zijn van een vertrouwde bron om slachtoffers ertoe te brengen persoonlijke informatie te onthullen. In 2019 is  93% van de sociale inbreuken afkomstig van een phishing-aanval en valse identificaties (zichzelf presenteren als iemand anders om privé informatie te krijgen) en is e-mail de meest voorkomende aanvalsmethode met maar liefst 96%.

Deze fout komt over het algemeen vaker voor als een bedrijf werknemers alleen op het moment van in dienst treding over cyberbeveiliging vertelt, in plaats van een op veiligheid gerichte cultuur op te zetten. De keuze van training is ook belangrijk. Mijn eerste tip is trainingen intern aanbieden om werknemers bewust te maken van het gevaar, maar ook de kennis geven om het te herkennen. Natuurlijk kunnen sommige mensen nog steeds onverantwoordelijk handelen wanneer ze worden geconfronteerd met een echte phishing-e-mail na een training. Het blijft nou eenmaal een menselijke factor die meespeelt. Daarom is een tweede nuttige tip om regelmatig phishing-simulatietests uit te voeren om te controleren of de training effectief was en of iedereen het informatiebeveiligingsbeleid volgt. U identificeert de risicovolle gebruikers die eerder op kwaadaardige koppelingen klikken, zodat u individueel met hen kunt werken. Ten slot kunnen er anti-spam- en e-mailfiltertools geïmplementeerd worden om het risico nog verder te beperken.

Menselijke fout 2: Ongeautoriseerde gebruikers toegang geven tot bedrijfsapparaten

Volgens het Wombat’s User Risk Report 2018 staat 55% van de werkende volwassenen toe dat vrienden en familieleden thuis toegang hebben tot hun door de werkgever uitgegeven apparaten. Dit is een ander teken van slecht bewustzijn voor cyberbeveiliging, omdat de vriend of het familielid soms toegang heeft tot gevoelige gegevens, zoals de bankrekeningen of klantgegevens van de organisatie.

Wat erger is, is dat ze per ongeluk malware downloaden die toegang kan krijgen tot deze bedrijfsgegevens, cloudapplicaties en opslag. Eenmalige gebruikerstraining tijdens het overdragen van een apparaat is niet voldoende om het risico van deze menselijke fout te verkleinen. Voer in plaats daarvan een uitgebreid informatiebeveiligingsplan dat alle werknemers moeten volgen en moedig teamleiders aan om cybersecurity-discipline door hun teams te laten adopteren. Een andere belangrijke maatregel is het implementeren van de juiste beveiligingscontroles op apparaten en systemen. Zorg ervoor dat alle apparaten met een wachtwoord zijn beveiligd en gebruik indien mogelijk twee-factor-authenticatie voor alle bedrijfsapparaten en -applicaties. Natuurlijk hoeven het niet vrienden of familie te zijn die ongeautoriseerd toegang krijgen. Laat me nog een situatie schetsen waarin de menselijke factor een grote rol speelt.

Aan de balie komt een sollicitant binnen waar de baliewerker op dat moment niks van af weet. De sollicitant is overstuur want ze heeft onderweg haar koffie over zich heen laten vallen. Ze zit er helemaal onder, net als haar CV. Half paniekerig vraagt ze aan de baliemedewerker of ze haar CV mag printen, want die heeft ze, gelukkig, als back-up op een USB-stick gezet. De baliemedewerker leeft met de vrouw mee en print de CV van de USB-stick af. Wat de baliemedewerker niet wist, is dat de vrouw geen afspraak had staan, maar een cybercrimineel is. Het moment dat de USB-stick in de computer was gestoken was er malware geïnstalleerd en was er toegang voor de criminelen om het netwerk binnen te treden. Zo gemakkelijk kan het helaas soms gaan en cybercriminelen zijn niet bang om misbruik te maken van de goedheid van de mens.

Menselijke fout 3: Slechte werkwijzen voor gebruikerswachtwoorden

Het komt nog steeds veel voor dat werknemers voor allerlei verschillende diensten, websites of applicaties hetzelfde wachtwoord gebruiken om in te loggen. Dit is een zeer risicovolle actie, omdat de aanvaller, zodra een account is gehackt, toegang krijgt tot een groot arsenaal aan middelen.

Naast hergebruik van wachtwoorden, omvatten andere wachtwoord-gerelateerde risico’s het gebruik van voor de hand liggende wachtwoorden (bijv. 123abc, 1111), het niet regelmatig bijwerken van wachtwoorden, het opslaan van wachtwoorden binnen het bereik van de computer en het delen van wachtwoorden met anderen.

Al deze slechte wachtwoordpraktijken verhogen het risico van een inbreuk op een bedrijf, omdat een aanvaller gemakkelijker wachtwoorden kan stelen of kraken. Het is zeker de moeite waard om trainingssessies te houden die uitsluitend zijn gericht op het oefenen met wachtwoorden.

Lees meer over het beveiligen van wachtwoorden in mijn andere blog: 123456

Menselijke fout 4: Slecht beheerde accounts met hoge rechten

Ook IT-professionals kunnen fouten maken en dergelijke fouten kosten bedrijven vaak veel. Accounts met hoge rechten, zoals admin-accounts, zijn krachtig, maar de beveiligingscontroles om misbruik te voorkomen zijn vaak onvoldoende.

Slechts 38% van de organisaties werkt één keer per kwartaal hun beheerderswachtwoorden bij; de rest doet het maar één keer per jaar of langer. Als IT-professionals de wachtwoorden van bevoorrechte accounts niet bijwerken en beveiligen, kunnen aanvallers ze gemakkelijker kraken en toegang krijgen tot het netwerk van de organisatie.

Vervolgens kunnen de aanvallers de beheerdersreferenties gebruiken om toegangscontroles op verschillende bronnen of IT-systemen te omzeilen om toegang te krijgen tot gevoelige gegevens. Een noodzakelijke preventieve maatregel is om, waar mogelijk, het principe van de minste rechten toe te passen op alle accounts en systemen. In plaats van het verlenen van beheerdersrechten aan meerdere accounts, moet je dan de rechten verhogen als dat nodig is voor specifieke toepassingen en taken, alleen voor de korte periode waarin ze nodig zijn. Ook hier is twee-factor-authenticatie een nuttige extra beveiligingslaag. Tot slot is het noodzakelijk om afzonderlijke administratieve- en werknemersaccounts voor IT-personeel op te zetten; admin-accounts mogen alleen worden gebruikt om specifieke delen van de infrastructuur te beheren.

Menselijke fout 5: Verkeerde levering

Een verkeerde levering is de vierde meest voorkomende actie die leidt tot datalekken. Het is een voorkomend scenario, in het bijzonder voor de gezondheidszorg. Er zijn spraakmakende gevallen geweest waarin een werknemer een e-mail met gevoelige informatie naar de verkeerde ontvangers stuurde. Een verkeerde levering is goed voor ongeveer 62% van de menselijke datalekken in de gezondheidszorg.

Deze fout is een van de moeilijkste om te vermijden. Wel heb ik een paar tips. Overweeg codering te vereisen voor alle e-mails die gevoelige informatie bevatten. Zo zijn ze niet leesbaar voor verkeerde ontvangers. Gebruik ook pop-upschermen die afzenders eraan herinneren het e-mailadres nogmaals te controleren wanneer ze gevoelige gegevens e-mailen.

Een andere tip is het implementeren van een DLP-oplossing (dataverliespreventie) die gebeurtenissen bewaakt die kunnen leiden tot informatielekkage en automatisch actie onderneemt, bijvoorbeeld door te voorkomen dat gebruikers gevoelige gegevens buiten het bedrijfsnetwerk verzenden.

Met training kan het risico op één van deze fouten significant kleiner worden. Onbekend maakt onbemind, maar kan dus ook gevaren opleveren voor jou, je collega’s, klanten, contacten etc. Inmiddels heeft menig bedrijf of instelling al de media gehaald met verschillende besmettingen en/of dataverlies van privacygevoelige informatie.

Lees hier meer over security trainingen

Laat een reactie achter