Het belangrijkste focusgebied voor een goede cyber security is de menselijke factor. Deze uitspraak heb je misschien al wel eens eerder voorbij horen komen. Het is een uitspraak die verschillende reacties uitlokt. De een knikt wellicht gelijk in erkenning, de ander lacht stiekem in zijn vuistje hoe absurd deze uitspraak is. Herken jij je in een van beiden? Ben je benieuwd wat dit betekent? Dan is deze blog zeker de moeite waard!
De vier belangrijkste pijlers van cyber security
De vier essentiële pijlers van elke organisatie omtrent cyber security bestaan uit de volgende factoren: Technologie, Mensen, Processen, Governance. Je herkent wellicht PPT (People, Processes, Technology) vanuit de risk management van jouw organisatie. In praktijk is het lastig om deze factoren los van elkaar te zien. Bijvoorbeeld: een nieuwe software tool heeft de end user in gedachten (mensen), bestaat uit nieuwe soft- en/of hardware (technologie) en gaat vaak gepaard met nieuwe compliance regelementen (processen) en kan zelfs impact hebben op de manier van samenwerking en bestuur (governance). Het is dus ook lastig om de eerdere uitspraak over de focus op de menselijke factor in een vacuüm te zien. Toch is dit wat er in de praktijk vaak gebeurt. Security wordt gezien als bijvoorbeeld een puur technologisch probleem en de organisatie kan een gespecialiseerde IT manager aanwijzen als eindverantwoordelijke voor alle cyber security problemen. Dit is een probleem op zichzelf, want in werkelijkheid zijn alle factoren belangrijk. Hoe belangrijk elke factor is, verschilt per organisatie en per domein. Maar IT solutions voor een organisatie die problemen heeft in de bedrijfscultuur, kan voor onnodig grote risico’s zorgen die lang blijven sluimeren en behoorlijk wat schade kunnen veroorzaken.
De insider threat
Dus hoe belangrijk is de menselijke factor? Ondanks de vele technologische vorderingen in de wereld op het gebied van cyber security blijven grote incidenten aanhouden. Er zijn verschillende bronnen beschikbaar die ons inzicht geven in het probleem: meer dan de helft tot driekwart van de cyber incidenten alleen al komt voort uit de ‘insider threat’. De insider threat kan worden gezien als een dreiging richting een organisatie die komt vanuit mensen binnen in die organisatie. De dreiging kan vanuit een kwaadwillend of accidenteel oogpunt komen en de mensen binnen de organisatie kunnen worden gezien als bestaande medewerkers, management, aannemers, zakenpartners, voormalig medewerkers die hun credentials behouden, enzovoort. CERT (Computer Emergency Response Team van het Carnegie Mellon University Software Engineering Institute) geeft als definitie:
“The potential for an individual who has or had authorized access to an organization’s assets to use their access, either maliciously or unintentionally, to act in a way that could negatively affect the organization.”
Interessant hier aan is dat er bijvoorbeeld geen rekening gehouden wordt in deze definitie met eventueel meerdere personen, ongeautoriseerde personen die nog steeds een dreiging kunnen vormen, of een combinatie van interne en externe personen.
De mens in ‘hacks’
Als we dus kijken naar de interne dreigingen, hebben we een goed beeld van de ernst van de situatie. Wat als ik vertel dat hier nog een schepje bovenop kan? Er wordt geschat dat maar liefst 85 procent of meer van alle cyber incidenten door ‘human error’ hun oorsprong vinden! Het is belangrijk om te realiseren dat de schattingen die hier gedaan worden, gebaseerd zijn op aparte studies door verschillende internationale cyber advisory groepen, die afhankelijk van hun definities van human error een inschatting maken. Om niet verzeilt te raken in een discussie over wanneer iets als een hack of human error telt, gebruik ik graag het voorbeeld van de Target hack in 2013. De schade van 70 miljoen gestolen persoonlijke gegevens, 40 miljoen gestolen creditcardgegevens en 420 miljoen dollar als kostenplaatje staat als ‘hack’ bekend, maar begon met een simpele phishing truc en is dus eigenlijk te wijten aan human error. Voor degene die een meer recent, maar minder spectaculair voorbeeld willen, onlangs kwam er in het nieuws dat hackers in staat waren om de iPhone X te hacken. Dieper in het artikel blijkt echter dat om de iPhone te ‘hacken’, men eerst verbinding moet maken met een aangepaste wifi router in het bezit van de hackers.
95% kwetsbaar door mensen
Dus wat houdt de menselijke factor nu precies allemaal in? We hebben gezien hoe de insider threat tot wel bijna driekwart van de incidenten kan veroorzaken, en hoe human error tot 85 en zelfs 95 procent geschat wordt als veroorzaker van cyber incidenten. Als we wat dieper kijken naar de insider threat, dan ligt de verdeling rond malicious (kwaadaardig, opzettelijk) en unintentional (accidenteel, per ongeluk) op ongeveer 50/50. Malicious insider threat kan zich bijvoorbeeld uiten als een ontevreden personeelslid die wraak wil nemen op zijn (voormalig) werkgever, maar het kan ook een huidige werknemer zijn die via fraude wat extra bij wil verdienen. Een accidental insider kan bijvoorbeeld iemand zijn die per ongeluk een kop koffie omstoot die op een server beland, maar het kan ook iemand zijn die zonder te weten een hacker helpt toegang te krijgen tot een systeem. Een ander aspect van de menselijke factor is de external threat. Het wordt vaak wel eens vergeten dat een systeem niet alleen kwetsbaar is tegen hackers die via technologie toegang proberen te verkrijgen tot een systeem. Ook binnen de external threat kan er sprake zijn van malicious outsider en unintentional outsider, waarbij de technieken van schade toe richten aan de organisatie kunnen verschillen van brute force hacking tot busjes binnen rijden tijdens het ontwijken van een overstekende hond.
Menselijke motivatie
Er zijn verschillende modellen die de motivatie van zowel de insider als de outsider proberen te verklaren. Een populaire methode is bijvoorbeeld MICE: Money, Ideology, Compromise, en Ego. Een ander model is STRIDE, Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege. Het modelleren van de motivatie van diegene die verantwoordelijk zijn voor de uiteindelijke schade op zich, is een interessant onderwerp en bedraagt een behoorlijke hoeveelheid literatuur. Wat hier vooral belangrijk is, is de realisatie dat verschillende threat agents, zowel insiders als outsiders, verschillende redenen kunnen hebben om schade toe te brengen aan een organisatie en dat die redenen zowel opzettelijk als accidenteel kunnen zijn.
Op nationale schaal
We hebben nu gezien hoe belangrijk de menselijke factor is en hoe deze factor bij kan dragen aan behoorlijk wat risico’s binnen een organisatie. Maar wat kunnen we met deze informatie? Het beeld dat ik net heb geschetst, komt namelijk niet helemaal overeen met bijvoorbeeld de bevindingen van CSBN 2018 (NCTV). Op een schaal van 1 tot 4 blijkt uit dit onderzoek dat de insider threat ‘slechts’ 2 tot 3 scoort. Volgens dit onderzoek is de grootste dreiging (schaal 4) voor de private sector namelijk staten en criminelen die trachten eenorganisatie te verstoren of spionage, sabotage, of systeemmanipulatie te plegen. Wat dan weer niet nader toegelicht wordt, is hoe bijvoorbeeld een staat als threat actor als insider dit probeert voor elkaar te krijgen, of zoals we gezien hebben bij de target hack, de insider gebruiken zonder dat ze het doorhebben, of wellicht een insider benaderen en tezamen een gemeenschappelijk doel nastreven.
Bewustwording van de menselijke factor
Het belangrijkste om je te realiseren is dat, terugkerend naar het focus gebied, organisaties zich meer bewust moeten worden wat de menselijke factor eigenlijk allemaal inhoudt. Vanuit mijn ervaring bij zowel het schrijven van mijn scriptie, waarin ik op bezoek ben geweest bij de meest vooraanstaande organisaties op het gebied van cyber advisory in zowel Nederland als op internationaal niveau, alsmede mijn ervaring bij trainee.nl, blijkt dat nog steeds veel organisaties zich niet realiseren dat cyber security niet slechts een IT/ICT probleem is. Hackers slaan toe op de zwakste schakel. Als dit de mens is, dan is dit je grootste dreiging en moet je adequaat reageren. Je kent vast wel de uitspraak ‘humans are in control of technology, not visa versa’. Hoewel het smartphone gebruik van sommigen anders doet vermoeden, is dit nog steeds zeker waar.
Holistische aanpak
Security is dus een people problem, je kunt een computer niet omkopen, je kunt een computer niet verleiden, je kunt een computer wel gebruiken om jouw doel te bewerkstelligen. De menselijke factor staat aan de grondslag van dit alles. Het is de mens die de beslissing maakt met een onbeveiligd netwerk verbinding te maken, niet de technologie. Het is belangrijk om je te realiseren, dat hoe technologisch hoogstaander onze cyber security wordt, hoe zwakker de mens in de keten wordt en dus hoe waarschijnlijker het is dat hackers de mens gebruiken, of misbruiken, in een succesvolle aanval. Technology, Processes, Governance, deze pijlers zijn erg belangrijk, maar de mens, die staat centraal. In veel organisaties wordt een holistische aanpak, met zicht op alle vier de pijlers vaak vergeten en ligt de focus veel op Technology. Lees je nu deze blog en realiseer je je dat je je hebt verkeken op de impact die de mens kan maken binnen cyber security, of herken je de ongezonde focus op enkel IT, schroom dan niet om contact op te nemen met trainee.nl en dan kunnen we samen kijken naar wat de menselijke factor betekent voor uw organisatie. Of wil je weten hoe ‘cyber veilig’ jij bent? Lees dan deze blog!
