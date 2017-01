Je herinnert je vast nog wel de e-mails van de Nigeriaanse prins die vraagt je geld over te maken. Dat lijkt nu iets uit een ver verleden waar geen hond meer intrapt. Maar een nieuwe variant op een eeuwenoude truc (in de 16e eeuw was de Spaanse gevangene een treffend voorbeeld van dit soort voorschotfraude) van Nigeriaanse oplichters kan ons wel eens kopzorgen brengen dit jaar.

Eén verkeerde klik

Stu Sjouwerman, CEO van KnowBe4, denkt dat CEO-fraude een ware epidemie wordt, net zoals ransomware dat vorig jaar was. Nigeriaanse criminelen zijn nu fraudeurs die zich niet meer richten op de goedgelovige doorsnee persoon, maar op de grote bazen in een bedrijf. "Je moet gebruikers die een groter risico vormen volledig bekaf trainen", waarschuwt hij.

Eén verkeerde klik kan - vaak in het beste geval - de dag van een IT-afdeling verpesten. Een werknemer die aan meerdere dingen tegelijk werkt en onnadenkend met de muis klikt, kan een CSO tot wanhoop drijven en zich laten afvragen waarom al die bewustwordingstactieken niet werken.

Gaan we dit jaar op dezelfde voet verder met bewustwording? In veel bedrijven is dat een trainingsessie die één keer per jaar wordt gehouden met ongeïnteresseerd personeel, of één assessment per kwartaal om te zien of mensen opletten. Beveiligingspersoneel denkt dat we bewustwordingsbeleid moeten blijven benadrukken, zodat werknemers op hun hoede zijn bij elke e-mail die langskomt.

Menselijk falen

CISO Lucas Moody van Palo Alto Networks zegt dat het tijd is om ons meer te richten op preventie. "We zijn een stuk verder dan de prehistorische tijd van statische firewalls en endpointbescherming", zegt hij. "Er zijn nieuwe platforms en preventieve middelen worden breder omarmd. We gaan een tijd tegemoet waarin we ons meer richten op mensen dan op tools."

Grote datadiefstallen van de afgelopen jaren waren mogelijk door menselijk falen - het belagen van individuen, fouten die werden gemaakt of het niet werken van processen. Beveiligingsvoorlichting en training maken een comeback dit jaar, simpelweg omdat het harder nodig blijkt en de beveiliging moet worden aangepast op elk deel van de keten van gebruikers.

Mensen in plaats van tools

Volgens CISO Joe Duffey van Natixis Global Asset Management moeten CSO's een beveiligingsbewuste cultuur stimuleren. Omdat software en hardware qua beveiliging steeds volwassener en effectiever worden, richten criminelen zich meer op de persoon die er gebruik van maakt.

"We hebben het afgelopen jaar een toename van phishing-aanvallen gezien, samen met meer whaling, en beide methodes worden slimmer", zegt Duffey. Daarom is het alleen maar belangrijker geworden dat personeel deze aanvallen herkent. Als we het aantal inbraken of potentiële datadiefstallen die beginnen met de eindgebruiker kunnen terugdringen, wordt onze hele beveiligingshouding verbeterd."