6 februari 2023 -
Ondanks de zeventiende verjaardag van Data Protection Day (én 42 jaar Data Protection Convention) blijft persoonlijke data torenhoog op de agenda van cybercriminelen staan. En het blijft voor hen net zo makkelijk om aan deze data te komen als een paar jaar geleden: er gaat geen dag voorbij dat er niet ergens ter wereld een bedrijf wordt gehackt, gevoelige (persoonlijke) data op straat komt te liggen of ziekenhuizen worden gedupeerd wanneer talloze patiëntendossiers onbeschermd op internet verschijnen.
"Upguard heeft enkele van de grootste datalekken op zijn blog vermeld: in totaal zijn sinds 2011 alleen al in de Verenigde Staten meer dan 38 miljoen gegevens gestolen bij datadiefstallen van ziekenhuizen," stelt Michael Heering, Marketing Director Global Field Marketing van SANS Institute. "Ook Duitsland kreeg te maken met vergelijkbare incidenten, zoals recentelijk in Lippe. Ondanks de sterk toenemende eisen voor gegevensbescherming en -beveiliging slaagt de security community er niet in gevoelige informatie te beschermen."
Human risk factor
Het probleem is niet zozeer een gebrek aan implementatie van regelgeving, maar meer een gebrek aan het beveiligingsbewustzijn bij medewerkers van IT-beveiligingsprofessionals. Zij moeten namelijk steeds meer systemen en applicaties beheren en beveiligen. Heering: "In het SANS 2022 Security Awareness Report merkt mijn collega Lance Spitzner op dat voor cyberaanvallers over de hele wereld mensen de belangrijkste aanvalsvector zijn geworden. Volgens het rapport vormen niet langer technologie maar individuen het grootste risico voor organisaties. Awarenessprogramma’s en de professionals die deze beheren zijn essentieel voor het beheersen van de human risk-factor."
Bewustwordingsprogramma’s stellen securityteams in staat om menselijke risico's effectief te beheren door de manier waarop medewerkers denken over cyberbeveiliging te veranderen en hen te helpen veilig gedrag te vertonen. Niet alleen op de werkvloer, maar ook achter de notenhouten tafel van de directiekamer.
Drie tips
SANS heeft drie tips voor securitymanagers Als eerste moet er meer weerstand tegen phishing komen. "De toegenomen digitale verbondenheid heeft geleid tot een grotere kwetsbaarheid voor dit soort hacktechnieken. Trainers op het gebied van security awareness dienen trainingen te geven over het herkennen van phishing. En zeker in tijden waarin AI en chatprogramma’s cybercriminelen onbedoeld in het zadel helpen."
De tweede is een goede wachtwoordhygiëne: bij gemiddeld 40 procent van de mensen is de digitale identiteit wel eens gestolen, zijn wachtwoorden misbruikt of is vertrouwelijke informatie openbaar gemaakt. "De reden laat zich raden: het gebruik van dubbele of zwakke wachtwoorden komt te vaak voor. Het trainen van een adequate ‘wachtwoordhygiëne’ moet een integraal onderdeel zijn van elke security awarenesstraining."
Heering besluit zijn verhaal met encryptie als derde tip. "Smartphones en tablets zijn een belangrijk onderdeel van ons dagelijks leven, maar hiermee hebben we wel meer aanvalspunten voor kwaadwillenden gecreëerd. Als gebruikers hun apparaten versleutelen en software up-to-date houden, wordt het voor aanvallers moeilijker om deze apparaten binnen te dringen."
