Wilt gij ne keer op 't knopski duwski?
Een grote retailer stuurde onlangs een testmail aan alle medewerkers. Het e-mailbericht was zogezegd afkomstig van de algemeen directeur, maar zowel in haar naam, e-mailadres als handtekening stonden opvallende fouten. Ook de tekst zelf was bewust knullig en vol fouten geschreven. In de mail stond dat de ontvanger alleen even op het rode knopje hoefde te duwen om extra vakantiedagen te krijgen. Wie zou daarin trappen?
De zwakste schakel
Alle elementen waren aanwezig om het zo ongeloofwaardig mogelijk te maken, inclusief een zeer verdachte URL onder de doorklikknop, maar wat had je gedacht? Honderden mensen konden het niet laten om toch even te klikken, je weet blijkbaar maar nooit. Extra vakantiedagen zijn zo aantrekkelijk.
Natuurlijk hebben ook duizenden personeelsleden niet geklikt op het zogezegde knopski uit de e-mail, maar dat heeft helaas geen belang. Veiligheid is maar zo sterk als de zwakste schakel.
Vlotjes de IT-ruimte binnendringen
Bij een andere retailer probeerde men tijdens een fysieke penetration test om in de IT-room van de lokale vestigingen binnen te raken. Gewoon een telefoontje vooraf om te melden dat de dag nadien een technicus ging langskomen, bleek voldoende om zowat overal met open armen ontvangen te worden. Door bij aankomst even te zwaaien met een slecht nagemaakte personeelsbadge stond de indringer drie minuten later al alleen in de IT-room.
Hackers zijn steeds sluwer
Deze naïeve mentaliteit van de doorsnee medewerker vereist draconische beveiligingsmaatregelen, want de deur staat open voor al wie slechte bedoelingen heeft. Een andere weg is er nauwelijks. Tijdens verschillende rondetafels op ons evenement Co-Thinking about the Future kwam naar boven dat de eigen medewerkers maar al te vaak het twijfelachtige onderdeel van de beveiligingsketen zijn. Ook na gerichte opleidingen verandert de bewustwording maar tijdelijk. Hackers worden bovendien steeds bedrevener om onze psychologische valkuilen uit te buiten.
Denk na over de impact
Iedereen heeft wellicht al Hollywoodfilms met Russische hackers gezien, en blijkbaar denken we daardoor dat die in het echt niet bestaan. Natuurlijk is de dreiging niet van Hollywoodiaanse aard, de wereld zal niet vergaan wanneer een Belgische winkelketen gehackt wordt. Is men daardoor onvoorzichtig? De hacker zelf maakt zich alvast geen zorgen over de impact. Om ergens 500 euro te kunnen afpersen, mag er gerust een miljoen aan productiviteitsverlies gecreëerd worden, die kosten zijn toch voor een ander. Of mogen klantengegevens op straat liggen, een eventuele GDPR-boete zal niet bij de hacker geïnd worden. Denk dus goed na over de impact van een beveiligingslek, houd rekening met onvoorzichtige eindgebruikers en maak uw beveiliging ijzersterk.