Wat faalt er bij e-learnings voor security awareness?

Onnozele medewerkers valt niets te verwijten

Veel bedrijven en organisaties blijken kwetsbaar voor cybercrime omdat ze de medewerkers onvoldoende trainen. Je hoeft maar op een verkeerd linkje te klikken en een heel ziekenhuis, rechtbank of aluminiumfabriek ligt plat. De schade loopt vaak in de honderdduizenden euro’s, soms zelfs in de miljoenen en dat door slechts één verkeerd klikje.

Niet alles is te voorkomen, maar goede interactieve sessies over privacy en cybercrime maken wel indruk op medewerkers die vaak geen idee hebben dat de digitale wereld zo snel verandert. Ze schrikken zich rot door wat er allemaal mogelijk is. Het probleem is dat hun plotselinge alertheid na een tijdje weer wegzakt. Je kunt natuurlijk lezingen blijven organiseren, maar bij veel bedrijven en organisaties is dat omslachtig. Het is ook niet nodig, want er zijn perfecte manieren om kennis up to date te houden, bijvoorbeeld door middel van e-learnings voor security awareness. Ik heb de afgelopen tijd een stuk of dertig demo’s van e-learnings bekeken om ze te vergelijken.

e-learnings security awareness

8 e-learnings voor security awareness

Ik was verbaasd over de grote verschillen, zowel in prijs als in kwaliteit. Je hebt heel praktische security e-learnings van een paar euro per jaar en superslechte voor 55 euro per medewerker per jaar. Wat ik vooral met superslecht bedoel, is vragen naar definities. Daar leren de medewerkers niets van. Wat heb je eraan om te weten wat een botnet is of wat spear phishing is? Je moet zorgen dat je weet wat je moet doen om geen onderdeel te worden van een botnet of dat je een heel gerichte phishingmail (spear phishing) ook kunt herkennen. Maar dat staat dan net niet in de slechte e-learnings. Ik ga ze hier niet opsommen. Het is ook niet mogelijk om alle goede e-learnings op te noemen. Vraag diverse demo’s aan, dan merk je vanzelf welke goed zijn. Een paar goede wil ik wel even uitlichten om vooral de verschillen te laten zien.

1. BeOne Development: praktijkgerichte e-learning

BeOne Development is één van de grote aanbieders van e-learnings en levert in meer dan honderd landen. Ik heb enkele demo’s gedaan en dat waren trainingen met praktische vragen en een goede mix tussen privé en zakelijk. Wat ik in de demo’s miste, waren concrete voorbeelden. Als de medewerkers zien dat bedrijven of overheidsorganisaties op een bepaalde manier echt gehackt zijn, dan maakt dat meer indruk dan als je klikt op een antwoord dat zo’n situatie in theorie mogelijk is. Op andere gebieden loopt Be One Development duidelijk voorop. Zo onderga je een module over phishing niet als mogelijk slachtoffer, maar word je zelf de leerling van een meester-phisher.

2. BeveiligMij: up-to-date

Bij e-learnings op het gebied van cybersecurity is het heel belangrijk dat die constant bijgewerkt worden met nieuwe dreigingen, want de hackers staan niet stil. Een goed voorbeeld van een up-to-date training is die van BeveiligMij. Ze hebben ook elke week een gratis nieuwsbrief waarin de meest recente hacks en datalekken zijn opgenomen. Als je die lange lijst doorneemt, verbaas je je geregeld over de creativiteit van hackers en online fraudeurs, maar ook over de knulligheid waarmee veel medewerkers met vertrouwelijke gegevens van klanten omgaan.

3. Privacy Company en Arda Online: visuele elementen

 De training van Privacy Company is heel visueel, met filmpjes die onderbroken worden door vragen. De video’s van Arda Online zijn nog indrukwekkender. Het bedrijf regelt ook phishingsimulaties, zodat je kunt testen hoeveel procent van de medewerkers in een foute mail trapt. Dat is wat mij betreft een goede manier om de medewerkers wakker te schudden dat ze bij elke mail moeten blijven opletten.

4. SEP: didactische kwaliteiten e-learning

 Niet alle e-learnings voldoen als je ze op didactische kwaliteiten toetst. Die van SEP daarentegen is daar heel sterk in, opgebouwd uit ‘casus’, ‘interactieve lesstof’ en ‘kennistoetsen’. Alle vragen zijn voorzien van feedback, ook als je de vraag goed hebt, krijg je feedback. Dat is slim, want veel medewerkers gokken goed, terwijl ze hun antwoord niet goed kunnen uitleggen. Wat ook goed werkt: elke deelnemer kan zijn eigen leervorm kiezen, want de een wil liever lezen, de ander wil liever video’s bekijken en een derde wil vooral van de feedback op de toetsen leren.

Sector specifieke e-learnings

5. Edutrainers voor e-learning security awareness in het onderwijs

Sommige organisaties kiezen voor kleinschaligheid en expertise in een bepaalde sector. Zo richt Edutrainers zich alleen op het onderwijs met e-learnings op het gebied van AVG, digitale geletterdheid en effectief gebruik van bekende software. De vragen zijn heel praktisch. Mag je bijvoorbeeld een WhatsApp groep met alle leerlingen aanmaken of mag je een foto van een schooluitje naar alle leerlingen sturen? Het mooie aan deze e-learning is dat er niet alleen op kennis, maar ook op gedrag getoetst wordt: hoe gebruik je als leraar persoonsgegevens van leerlingen? Er zijn hierbij geen goede en foute antwoorden, je moet gewoon aangeven wat je echt doet. Daarna krijg je uitleg waarom dat wel of niet handig is.

6. Recourse voor e-learning security awareness voor gemeenten

Een andere aanbieder die heel bewust voor een bepaalde sector kiest, is Recourse. Ze hebben de wettelijke richtlijnen voor gemeenten omgezet naar kennis, houding en gedrag. Als je heel goed scoort op alle kennis-vragen, wil dat niet zeggen dat je het in de praktijk toepast. Er zijn veel concrete vragen over houding, bijvoorbeeld over integriteit, wat doe je als een collega iets doet wat niet mag? Hun tool levert een goede analyse op wat er in een gemeente verbeterd moet worden: kennis, houding of gedrag, ook per afdeling.

7. Redgrasp voor e-learning security awareness voor de zorgsector

Redgrasp is een aanbieder die zich op de zorgsector richt. De deelnemers krijgen elke dag een vraag via de e-mail binnen. Voor veel mensen is dat leuker dan 30 minuten achter elkaar vragen beantwoorden. Als je geen tijd hebt, gooi je de mail weg, een andere keer beantwoord je de vraag en dan ga je verder met werken. Als je de vragen interessant maakt, dan willen de medewerkers het antwoord weten en het kost nauwelijks tijd.

8. Janna: e-learning app

Ook de app Janna is een heel andere manier van e-learning. Je chat met Janna over privacy en cybersecurity via de app. Veel antwoorden zijn voorgeprogrammeerd, waardoor je simpel op ja of nee kunt klikken als je verder wilt gaan. Je kunt ook op ‘Ik wil meer weten’ klikken en dan krijg je bijvoorbeeld een filmpje of een artikel met meer uitleg over het onderwerp. Ik denk dat vooral jongere medewerkers deze manier van e-learning heel prettig vinden, maar ook voor ouderen is het een gebruiksvriendelijke app.

Niet interessant?

Het probleem van veel e-learnings is de desinteresse van veel medewerkers in de onderwerpen privacy en informatiebeveiliging. Hoe leg je deze medewerkers op een simpele manier uit wat voor enorme schade hacks en datalekken kunnen aanrichten?

Interesse stimuleren

Onder meer SEP en Recourse stimuleren deze interesse door live presentaties voorafgaand aan de e-learning. Na een ‘inspiratiesessie’ zijn de medewerkers eerder bereid om tijd te besteden aan e-learning.

Belangrijkste kenmerken van een goede e-learning

 Succesvolle security e-learnings zijn:

  • praktisch
  • aangepast aan de doelgroep

De meeste e-learnings missen voorbeelden uit de praktijk. Praktijkvoorbeelden maken meer indruk dan theorie. Voor goede resultaten dient het leerprogramma aangepast te zijn aan de specifieke branche. Zo bestaat er bijvoorbeeld speciale e-learning software waarmee bedrijven zelf aangepaste interactieve educatieve inhoud kunnen creëren.

Heb jij een e-learning nodig?

Om het digitale kennisniveau van je medewerkers te testen bestaat er bijvoorbeeld een cyberquiz per sector. Deze quiz is heel praktisch, met situaties die iedereen herkent en met voorbeelden van hacks en datalekken uit verschillende branches. Dan kan geen enkele medewerker zeggen dat het meevalt.

Er is ook een kinderversie van de cyberquiz beschikbaar die verassend genoeg door veel volwassenen al te moeilijk wordt gevonden.

Dan weet je dus dat je een e-learning nodig hebt, om het digitale kennisniveau van de medewerkers stukje bij beetje op te krikken. De cyberquiz is een aardig startpunt voor organisaties die geen of te weinig budget hebben voor e-learning, maar mijn advies is om niet alleen naar het geld te kijken. Als je een e-learning kiest die goed bij je organisatie past, kun je zo veel digitale ellende besparen dat het uiteindelijk veel meer oplevert dan het kost.

E-learning software aanbieders die ook op de site van Capterra willen staan kunnen hier een gratis listing aanvragen.


Maria Genova (1973) is onderzoekjournaliste en schrijfster van het boek ‘Komt een vrouw bij de h@cker’ en het kinderboek ‘What the h@ck!’. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Het idee voor Communisme, Sex en Leugens. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learnings en cyberquizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van privacy en informatiebeveiliging. Meer over Maria Genova op haar website of op Twitter: @genova2

 

5 tips om je organisatie te beschermen tegen hackers

Bedrijven kunnen op veel manieren gehackt worden en dat gebeurt ook dagelijks. Ondanks ruim bezette IT-afdelingen en het gebruik van cybersecuritytools blijven bedrijven kwetsbaar. Aan de hand van concrete voorbeelden bekijken we waarom veel bedrijven zo simpel te hacken zijn en hoe organisaties zich beter kunnen beschermen tegen hackers.

beschermen tegen hackers

Vraag aan de ICT-afdeling hoeveel kwetsbaarheden nog niet opgelost zijn

De ICT-afdelingen van veel bedrijven weten dat er kwetsbaarheden zijn in de gebruikte software, maar voeren de updates niet uit. Dat is waarom er momenteel zo veel ondernemingen gehackt worden. De mensen die thuis braaf de nieuwste updates op hun computers en telefoons installeren, snappen er niets van: als ze het zelf zonder al te veel moeite doen, waarom doen de ervaren ict’ers dat dan niet?

De verklaring is vrij simpel: thuis werken de updates meestal zonder problemen, maar niet op de ingewikkelde computersystemen van bedrijven. Daar moet eerst alles uitgebreid getest worden zodat systemen niet uitvallen. Al die tijd zijn de systemen kwetsbaar, omdat ze niet voorzien zijn van de broodnodige updates.

De ene keer is het gebrek aan tijd door onderbezetting, een andere keer slordig gedrag van de ict’ers.

Een mooi voorbeeld is de grote hack van kredietbureau Equifax. De persoonlijke gegevens van zo’n 143 miljoen klanten werden daarbij gestolen. Katie van Fleet kreeg na de hack vijftien verschillende kredietaanvragen op haar naam en was maandenlang bezig met het herstellen van haar kredietreputatie. Equifax werd gehackt door het niet oplossen van een kwetsbaarheid die volgens het interne beleid binnen 48 uur gedicht moest worden. Soms is het gebrek aan capaciteit, maar de ICT-afdeling was best ruim bezet met 255 IT-specialisten in dienst.

Bedenk welke gegevens interessant zouden kunnen zijn voor hackers

Bedrijven en organisaties denken vaak dat ze niet interessant genoeg zijn om gehackt te worden. Het Interprovinciaal Overleg (IPO) meldde onlangs een datalek bij de Autoriteit Persoonsgegevens: een medewerker had op een phishinglink geklikt, accountgegevens ingevoerd en vervolgens werden vanaf haar mailadres valse mails verzonden.

Zo’n hack is niet opmerkelijk, wel de reactie van een woordvoerder van het Interprovinciaal Overleg in de media. Hij zei desgevraagd dat IPO-medewerkers niet worden getraind om phishing-mails te herkennen. De reden? ‘Wij zijn slechts een kleine organisatie met ongeveer 30 medewerkers. Vooral de ICT-afdeling houdt zich bezig met dit soort zaken.’

Deze woordvoerder snapt blijkbaar niet dat de ICT-afdeling niet kan voorkomen dat de medewerkers op phishingmails klikken en hun accountgegevens invoeren. En dat als de ICT-afdeling dat niet kan voorkomen, hun computers gehackt worden. Een kleine organisatie is natuurlijk een slap excuus om de medewerkers niet op te leiden op digitaal gebied. Dezelfde medewerkers volgen vast tal van andere verplichte cursussen. Want bij elke organisatie valt er wat te halen.

Bij IPO is vooral het netwerk van hun partners interessant. Als je zo’n kleine organisatie hackt en namens hun een phishingmail stuurt naar de partners, dan trappen die er waarschijnlijk wel in. Wie de partners zijn staat op hun site. Het Interprovinciaal Overleg behartigt de gezamenlijke belangen van de provincies en deelt veel kennis met andere organisaties. ‘Het IPO beschikt hiertoe over een uitgebreid netwerk en onderhoudt contact met onder andere het kabinet, het parlement, de ministeries, de Europese Unie en maatschappelijke organisaties.’ Nou, dat zijn nogal wat interessante doelen!

beschermen tegen hackers

Beperk de rechten van de medewerkers

Ik kom bij steeds meer bedrijven waar programma’s automatisch geblokkeerd worden op het bedrijfsnetwerk. Bij een gemeente wilde ik een leerzaam YouTube-filmpje tijdens een lezing over cybersecurity laten zien, maar dat kon niet, want niemand mocht op YouTube. Ook veel andere bekende sites waren uit voorzorg geblokkeerd.

‘Als iemand privé berichten op Facebook wil checken of YouTube filmpjes wil bekijken, dan doet-ie dat maar thuis. Ik heb geen zin in virussen, omdat de medewerkers op elk linkje op social media klikken,’ kreeg ik van de ict’er te horen.

Als dat goed uitgelegd wordt, schijnen de medewerkers het zonder problemen te accepteren. En mocht het een keer misgaan: goede back-up software maakt vaak het verschil tussen weinig data verliezen of alles kwijtraken.

Bescherm jezelf tegen je leveranciers

Het begint een trend te worden dat grote en goed beveiligde bedrijven via kleine leveranciers worden gehackt. Dat is relatief gemakkelijk, want leveranciers hebben vaak toegang tot een gedeelte van het computernetwerk. Als hackers op deze manier binnenkomen, krijgen ze het vaak voor elkaar om ook toegang tot de rest van het netwerk te verkrijgen.

De afgelopen tijd zijn nogal wat bekende bedrijven via hun leveranciers gehackt. Ticketmaster bijvoorbeeld, die had het ook nog lange tijd niet door.

Train de digibete medewerkers om de digitale gevaren te herkennen

Toen ik research deed voor mijn boek ‘Komt een vrouw bij de h@cker’ vroeg ik aan diverse hackers wat de makkelijkste manier was om binnen te komen. ‘De medewerkers,’ zeiden ze. ‘Bedrijven verzinnen allerlei tools om het computersysteem veilig te houden, maar a fool with a tool is still a fool.’ 

Security-oplossingen helpen natuurlijk wel, maar hoe komt het dat de medewerkers volgens de hackers zulke ‘fools’ zijn? Vaak heeft niemand de moeite genomen om ze op een simpele manier uit te leggen hoe ze zichzelf en het bedrijf kunnen beschermen tegen hackers en dan moeten zij dat eventjes doen?

Op het werk van mijn man strooit de ICT-afdeling met waarschuwingsberichten op het intranet, maar die worden nauwelijks gelezen. Bovendien zijn ze ook nog onduidelijk voor de gemiddelde digibeet. En dan denkt zo’n bedrijf dat ze op deze manier de medewerkers goed hebben voorgelicht.

Hij werkt bij een groot industrieel bedrijf. Ik vrees dat daar hetzelfde zou kunnen gebeuren als in Noorwegen, waar aluminiumproducent Norks Hydro werd gehackt, allerlei fabrieken stil kwamen te staan en de schade tot meer dan dertig miljoen euro opliep. Dat kan tegenwoordig door op een simpele phishingmail te klikken, die het computersysteem gijzelt. Investeren in awareness hoeft helemaal niet duur te zijn en het kan een miljoenenschade en ook reputatieschade voorkomen.

Ben je op zoek naar cybersecurity tools? Op vergelijkingssite Capterra vind je veel aanbieders; je kunt bovendien filteren op functionaliteiten en honderden geverifieerde reviews van gebruikers lezen.

Over de auteur:

Maria Genova (1973) is journaliste en schrijfster. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Communisme, sex en leugens. Na haar debuut schreef ze nog vele andere boeken waaronder meerdere bestsellers zoals Komt een vrouw bij de h@cker, een eye-opener over digitale gevaren. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learning cursussen en quizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van identiteitsfraude, privacy en informatiebeveiliging. Meer over Maria Genova op haar website, op LinkedIn of Twitter: @genova2

6 alternative ways to promote cyber security

cyber security

The biggest gap in corporate security is usually between the desk and the keyboard. And most people go for convenience and not for safety. “A lot of people are absolutely unaware of the risks of links and attachments in emails” states an IT specialist on an online forum. “Recently we had a phishing test carried out at our office. And no less than 25% of all employees casually entered their login details on the phishing site.”

cyber security

There have been many studies trying to understand what does and does not work in the area of ​​awareness to cyber security. Posters with warnings about cyber security hardly seem to have any effect. Interactive lectures score very high, but as a small company you can’t just invite a speaker for six people. And with the large companies you can’t reach everyone with presentations. So let’s list a few alternatives:

Organise a cyber treasure hunt

You hide at least 10 cyber security threats and let everyone search. A USB stick with a possible virus, a mobile phone with security code 0000, a file with personal data lying around on a desk, a forgotten document in the printer, a non-locked computer screen, etc. The result is that usually employees find more dangers than the ones that you have originally hidden.

Explain the cyber risks in normal human language

IT specialists often forget that ordinary employees do not have enough digital knowledge. Employees don’t understand the scope of clicking on a phishing email or using a weak password. Research by the British internet provider Beaming showed that 31% don’t want to work with a supplier who has become a victim of cyber crime due to negligence.

Hackers are increasingly trying to get into small companies as a handy stepping stone to attack large companies. The use of specially developed software for information security can do a lot against this, but employees have to cooperate.

Reward reporting data breaches

Should you reward an employee that has caused a data breach? A director decided to do that because she knew that many employees withheld data breaches, such as sending an email with personal data to the wrong person. 

When a few people received a small gift because they had quickly reported a data breach, suddenly everyone was talking about how important it is not to withhold data breaches and that you will not be punished if it happens to you. In fact, you even received a gift because you tried to limit the consequences. Sometimes companies discover after six months that they have been hacked, because an employee has clicked on a phishing email and didn’t find it necessary to point it out to the IT department.

Abuse computers that are not locked (for a good cause)

From all computers that employees leave  unattended, send an email to a non-existent email address: “I hereby offer my resignation.” When they return, they are shocked by the email that they have sent from their computer.

Explain clearly to employees what the dangers of not locking your computer are, how they can recognise phishing emails and how they can remember hundreds of complicated passwords. This is possible through a presentation or an e-learning course. Even a cyber quiz can greatly increase their level of knowledge.

Choose practical and easier solutions

Many employees forget to change their password very often. Studies show that this primarily results in false safety. University College London (UCL) wanted to encourage staff and students to choose stronger passwords. Longer passwords had to be replaced less often than short and weak passwords. For words from the dictionary the employees received penalty points (these are cracked very quickly by automatic hacking programs).

The new policy proved to be a success. In the long run most employees opted for stronger passwords in exchange for a longer lifespan. Show employees how simple is to come up with hackable passwords, just a new sentence every time. For example, in January the sentence: Ik_wil_3_kilo_afvallen! And in February the sentence: Ik_ga_op_wintersport02! Or even easier: enter a password manager as a solution against all password frustrations.

Think of playful ways to raise awareness

Spending money on expensive IT tools is throwing money away if employees don’t understand how hackers work.  An example is someone who happened to be on vacation during a phishing email test. The holiday maker saw the phishing email too late and emailed back: “I was not present last week, you can send the link again, because it no longer works.”

Use simple ways to train the less alert employees. When a colleague has not touched his computer for a while, a screen saver with prevention tips pops up automatically. The company app also occasionally shows a prevention tip about opening suspicious emails, sharing confidential information or making fake payments. Create engaging educational videos about privacy and cyber crime on the intranet.

About the author:

Maria Genova (1973) is a journalist and writer. She received the Looijer Debutantenprijs for her debut in 2007 for her book The Idea for Communism, Sex and Lies . After her debut, she wrote many other books including several bestsellers such as Will a woman come to the h @ cker , an eye-opener about digital dangers. In 2014 she was named Writer of the Year. Maria works for various newspapers and magazines. She develops e-learning courses and quizzes and is one of the most requested speakers in the Netherlands in the field of identity fraud, privacy and information security. More about Maria Genova on her website or on Twitter: @ genova2

Waarom je een datalek moet belonen: de 6 leukste manieren om informatiebeveiliging onder de aandacht te brengen

Het grootste gat in de informatiebeveiliging zit meestal tussen de bureaustoel en het toetsenbord. De meeste mensen gaan voor het gemak en niet voor de veiligheid. “Heel veel mensen zijn zich absoluut niet bewust van de risico’s van linkjes en bijlagen in e-mails”, klaagt een ict-er op een online forum. “Pas geleden bij ons op kantoor een phishingtest laten uitvoeren. Maar liefst 25% van alle medewerkers heeft doodleuk zijn inloggegevens ingevuld op de phishing site.”

Een andere ict-er reageert dat dit soort mensen een reprimande van de baas moeten krijgen. Een reprimande van de baas? Vaak is die de eerste die op de phishingmail klikt.

informatiebeveiliging
Bron André Versteeg

Er zijn onderzoeken gedaan naar wat wél en niet werkt op het gebied van bewustwording naar informatiebeveiliging. Posters met waarschuwingen over cybersecurity blijken nauwelijks effect te hebben. Interactieve lezingen scoren heel hoog, maar als klein bedrijfje kun je niet even een spreker voor zes man uitnodigen. En bij de grote bedrijven kun je ook niet iedereen met presentaties bereiken. Laten we dus een paar alternatieven op een rijtje zetten:

1. Organiseer een cyber-speurtocht

Je verstopt minstens 10 cybersecurity gevaren en laat iedereen zoeken. Een usb-stick waar mogelijk een virus op zit, een mobiele telefoon met beveiligingscode 0000, een dossier met persoonlijke gegevens dat ergens op een bureau rondslingert, een vergeten document in de printer, een niet gelockt computerscherm, etc. Meestal vinden de medewerkers veel meer gevaren dan je verstopt hebt.

2. Leg in gewone mensentaal uit wat de cyberrisico’s inhouden

Ict-ers vergeten vaak dat gewone medewerkers niet genoeg digitale kennis hebben. Medewerkers begrijpen niet precies hoe groot de gevolgen kunnen zijn van het klikken op een phishingmail of het gebruiken van een zwak wachtwoord. Leg ze uit waarom de ict-afdeling niet alles kan tegenhouden en wat er in het ergste geval kan gebeuren. Uit onderzoek van de Britse internetprovider Beaming bleek dat 31 procent niet met een leverancier wil werken die door onachtzaamheid slachtoffer is geworden van cybercriminaliteit.

Hackers proberen steeds vaker binnen te komen bij kleine bedrijven als handig opstapje om grote bedrijven aan te vallen. Het gebruik van speciaal ontwikkelde software voor informatiebeveiliging kan hier veel tegen doen, maar werknemers moeten wel meewerken.

3. Beloon het melden van datalekken

Moet je een medewerker belonen als hij een datalek heeft veroorzaakt? Een directeur besloot dat te doen, omdat ze wist dat veel medewerkers datalekken verzwijgen, zoals een e-mail met persoonlijke gegevens versturen naar de verkeerde. Vaak weten de medewerkers niet eens dat dit onder een datalek valt en dat dit de wet bescherming persoonsgegevens overtreedt en dus binnen 72 uur gemeld moet worden bij de Autoriteit Persoonsgegevens.

Toen enkele mensen een klein cadeautje kregen, omdat ze snel een datalek hadden gemeld, had opeens iedereen het over hoe belangrijk het is om datalekken niet te verzwijgen en dat je niet wordt bestraft als het je overkomt. Sterker nog: je kreeg zelfs een cadeau omdat je de gevolgen probeerde te beperken. Soms ontdekken bedrijven pas na een half jaar dat ze gehackt zijn, omdat een medewerker op een phishingmail heeft geklikt en het ook niet nodig vond om de ict-afdeling erop te wijzen.

4. Misbruik computers die niet gelockt zijn (voor een goed doel)

Stuur vanuit alle computers die medewerkers onbeheerd laten staan een e-mail naar een niet-bestaand e-mailadres: ‘Bij deze bied ik mijn ontslag aan.’ Als ze terugkomen, schrikken ze van het teruggekaatste mailtje.

Leg de medewerkers op een duidelijke manier uit wat de gevaren zijn van het niet locken van je computer, hoe ze phishingmails kunnen herkennen en hoe ze honderden ingewikkelde wachtwoorden kunnen onthouden. Dat kan door middel van een presentatie of een e-learning cursus. Zelfs een cyberquiz kan hun kennisniveau enorm vergroten.

5. Kies voor praktische en gemakkelijkere oplossingen

Veel medewerkers vinden het een ramp om heel vaak hun wachtwoord te wijzigen. Uit onderzoeken blijkt dat dit vooral valse veiligheid oplevert. University College London wilde het personeel en de studenten aanmoedigen om sterkere wachtwoorden te kiezen. Langere wachtwoorden hoefden voortaan minder vaak vervangen te worden dan korte en zwakke wachtwoorden. Voor woorden uit het woordenboek kregen de medewerkers strafpunten (deze worden heel snel gekraakt door automatische hack-programma’s).

Het nieuwe beleid bleek een succes. De meeste medewerkers kozen op den duur voor sterkere wachtwoorden in ruil voor een langere levensduur. Leg de medewerkers uit hoe simpel het is om onhackbare wachtwoorden te verzinnen, gewoon elke keer een nieuwe zin als wachwoord. In januari bijvoorbeeld de zin: Ik_wil_3_kilo_afvallen! En in  februari de zin: Ik_ga_op_wintersport02! Of nog gemakkelijker: voer een wachtwoordmanager in als oplossing tegen alle wachtwoordfrustraties.

6. Bedenk ludieke manieren om de bewustwording te vergroten

Geld spenderen aan dure ict-tools is geld over de balk gooien als de medewerkers niet begrijpen hoe de hackers werken. Of zoals een bevriende ethische hacker ooit zei: “A fool with a tool is still a tool”.

Een voorbeeld is iemand die toevallig op vakantie was tijdens een phishingmail-test. De vakantieganger zag de phishingmail te laat en mailde terug: ‘Ik was de afgelopen week niet aanwezig, kun je de link nog een keer sturen, want die werkt niet meer.’

Gebruik simpele manieren om de minder alerte medewerkers te trainen. Wanneer een collega zijn computer een tijdje niet heeft aangeraakt, springt een screensaver met preventietips automatisch op. Een ook de bedrijfsapp laat af en toe een preventietip zien over openen van verdachte e-mails, het delen van vertrouwelijke informatie of het maken van valse betalingen. Deel leuke filmpjes over privacy en cybercrime op intranet.

Helaas zijn de ze maatregelen tegenwoordig geen overbodige luxe, gezien al die hacks en datalekken van de afgelopen tijd!

Tip: Verzin voor elke week een ‘Tip van de Week’. Zo zorg je dat de medewerkers continu op hun hoede zijn voor online gevaren.

Over de auteur:

cybersecurity deskundige Maria Genova

Maria Genova (1973) is journaliste en schrijfster. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Het idee voor Communisme, Sex en Leugens. Na haar debuut schreef ze nog vele andere boeken waaronder meerdere bestsellers zoals Komt een vrouw bij de h@cker, een eye-opener over digitale gevaren. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learning cursussen en quizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van identiteitsfraude, privacy en informatiebeveiliging. Meer over Maria Genova op haar website of op Twitter: @genova2