Werk aan de winkel voor Nederlandse CISO’s

Onlangs presenteerde Proofpoint, een Amerikaanse cyberbeveiliger, onderzoek naar cyberaanvallen in Nederland. Voor het onderzoek zijn honderdvijftig CISO’s en CSO’s bij organisaties in Nederland met tweehonderd of meer werknemers ondervraagd. Reden voor ons om in gesprek te gaan met Jim Cox, Area Vice President voor de Benelux bij Proofpoint. 

Jim Cox

Jim Cox werkt inmiddels achttien maanden in Nederland en ziet duidelijk een verschuiving plaatsvinden binnen het cyberlandschap: “De grote meerderheid van de Nederlandse organisaties (72%) had de afgelopen twaalf maanden te maken met minstens één cyberaanval. Opvallend is dat van de zeven meest gerapporteerde soorten cyberaanvallen, de top zes allemaal betrekking had op mensen. Een aantal jaren geleden was dit anders. Cybercriminelen richten zich steeds meer op personen in plaats van op de infrastructuur.” 

De meestvoorkomende cyberaanvallen zijn insider threats (38%), gevolgd door aanvallen op cloud-accounts zoals Office 365 of G Suite (32%). Daarom is het volgens Cox extra pijnlijk dat CISO’s zich niet helemaal bewust zijn van de risico’s die hun medewerkers lopen: “Waar ik mij het meest over heb verbaasd, is dat 50% van de ondervraagde CISO’s denkt dat hun medewerkers hun organisaties niet kwetsbaar maken. Maar praktisch alle cyberaanvallen zijn op mensen gericht, hoe kunnen je medewerkers je organisatie dan niet kwetsbaar maken?” De reden hiervoor heeft te maken met een gebrek aan educatie op het gebied van cybersecurity, stelt Cox: “De functie CISO is relatief nieuw en er zijn nog niet genoeg cursussen en opleidingen om mensen goed voor te bereiden op deze verantwoordelijkheid. De meeste huidige CISO’s zijn in deze positie gegroeid en hadden deze functie vijftien jaar geleden niet voor ogen.” 

Proofpoint1

Maar niet alleen CISO’s ontbreekt het aan de juiste opleiding en training. Uit het onderzoek komt naar voren dat slechts 11% van de werknemers drie keer of vaker per jaar wordt getraind. Bij Proofpoint staat het trainen van werknemers hoog in het vaandel. De manier van training is echter cruciaal, zegt Cox: “De focus van de training moet liggen op het menselijk aspect, wij noemen dat de mensgerichte aanpak van cybersecurity. Veel bedrijven denken dat cybercriminelen zich richten op het hoger management, de VIPs. In werkelijkheid concentreren zij zich op relatief kwetsbare mensen die toegang hebben tot gevoelige gegevens of geld. We noemen hen de VAPs (Very Attacked People). Deze mensen moet je heel gericht trainen om ze te leren hoe zij zich tegen aanvallen kunnen weren. Zij zullen ook vaker training nodig hebben dan andere werknemers.” 

Proofpoint heeft vergelijkbaar onderzoek gedaan in Zweden en de Verenigde Arabische Emiraten (VAE). Gevraagd naar de verschillen merkt Cox op dat “de resultaten sterk verschillen”. Zo blijken er in Zweden minder organisaties het slachtoffer geweest te zijn van minstens één cyberaanval (59%), terwijl dit percentage in de VAE juist weer iets hoger ligt (82%). Ook passen cybercriminelen volgens onderzoek hun aanvallen aan, afhankelijk van het land waarin zij opereren. Cox bevestigt dit: “Absoluut, in Zweden en de VAE heb je andere onderwerpen die het nieuws domineren dan hier in Nederland. Ik geef je twee voorbeelden. Het Rijksmuseum Twente werd opgelicht doordat deze instelling zijn beveiliging niet op orde had. Cybercriminelen konden het domein vervalsen en wisten zo 2,66 miljoen euro buit te maken. Andere organisaties in Nederland zijn hiervoor ook vatbaar. Uit een check bij dertien bedrijven uit de AEX bleek dat slechts vijf van hen zich beschermd hadden tegen dit soort spoofing.” 

Proofpoint2

Er is dus genoeg werk aan de winkel voor Nederlandse CISO’s. “Gelukkig weten CISO’s dit en zijn ze gemotiveerd om hier iets aan te doen”, aldus Cox. “De problemen liggen bij de raad van bestuur, de leden daarvan moeten meer overtuigd raken van het belang van cybersecurity. Als ik één boodschap kan meegeven aan organisaties in Nederland, is het dat cybersecurity een bestuurskwestie is. Als dit niet verandert, zullen de resultaten zich op een negatieve manier ontwikkelen. Cybercriminelen ontwikkelen zich continu en zullen echt niet op het bestuur wachten om aan te vallen.”