Organisaties en mkb-bedrijven denken niet snel slachtoffer te worden van cybercrime. Maar is dat wel zo? En in hoeverre is een organisatiecultuur juist een zwakke plek in de verdediging tegen cybercriminelen? Negentien groepjes studenten van de opleiding HBO ICT gingen in de aanval. Ze brachten daarmee zekerheden bij organisaties aan het wankelen. Hoe ervaren organisaties dit?

Via een ladder binnendringen in een organisatie. Met een taart in de hand achter iemand aan een veiligheidspoortje door. Stiekem foto’s maken van informatie op openstaande beeldschermen. Inloggegevens proberen te ontfutselen. De studenten waren er maar druk mee. Minstens tachtig keer stelden zij de cyberveiligheid van organisaties op de proef. Op verzoek van die organisaties zelf.

Dit studentenproject van de opleiding HBO ICT beleefde in 2019 de tiende editie. Een van de initiatiefnemers is Michelle Ancher. Zij is docent Information Security Management bij deze opleiding en onderzoeker bij het lectoraat ‘Cybersecurity in het MKB’. Als sociaal psycholoog focust zij op de menselijke factor van de informatieveiligheid. Criminelen weten dat daar vaak een zwakke plek ligt die zij volledig uitbuiten. Met een mooi woord heet dat social engineering.

Vier keer een winsituatie

Michelle vindt het studentenproject een prachtig voorbeeld van een win-winsituatie. “Voor de studenten is het leuk om hieraan mee te werken. Door te ervaren hoe makkelijk gedrag te beïnvloeden is, kunnen ze zich later als professional hier beter tegen beschermen.”

“De opleiding verwerkt die ervaringen in het onderwijs. Het lectoraat gebruikt ze om kennis op te bouwen en voor vervolgonderzoek, bijvoorbeeld voor het opzetten van cyberinterventies. De deelnemende bedrijven kunnen op een veilige manier hun cybersecurity testen en krijgen meer inzicht in waar hun kwetsbare plekken liggen.”

Dat laatste wilde Eric Dittmar ook weten. Hij deed voor de derde keer mee aan het studentenproject. Als systeembeheerder bij een overheidsinstelling is hij onder meer verantwoordelijk voor de operational security. “Wij zijn wettelijk verplicht onze cyberbeveiliging ieder jaar te testen, waarbij we minstens de landelijke norm moeten halen. Dit studentenproject is voor ons interessant, omdat studenten – meer dan commerciële onderzoekers – op onconventionele manieren te werk gaan.”

Met een ladder

Zo wisten studenten via een ladder de organisatie van Eric Dittmar binnen te komen. Eric: “Met zo’n scenario houd je geen rekening als je veiligheidsplannen opstelt.”

Een ander groepje studenten slaagde erin om een paar uur door de organisatie te lopen, nadat zij het pand binnen waren gekomen door achter iemand aan te wandelen door de veiligheidspoortjes. Ongemerkt konden ze foto’s maken van onbemande bureaus waarop beeldschermen aan stonden.

Ook stuurden de studenten uit naam van een respectabel persoon een phishing-mail aan een kleine groep medewerkers. Eric: “Iemand klikte op een link waar hij niet op had mogen klikken.”

Verleidingstactieken

De organisatie van Eric presteerde daarmee niet beduidend slechter dan andere bedrijven. Michelle: “De studenten hebben gebruikgemaakt van verleidingstactieken die ook cybercriminelen toepassen. Bijvoorbeeld door kuddegedrag van medewerkers te benutten: wat anderen doen, mag ik ook doen. Of autoriteitsgedrag: als ik een e-mail van een hoge baas krijg, is het goed.”

“Wie om vijf voor vijf ’s middags vriendelijk maar dringend wordt gevraagd ‘vanuit bedrijfsbelang’ zijn wachtwoord opnieuw op te geven, maakt daar haast mee. Want het is blijkbaar belangrijk en hij wil naar huis.”

Organisatiecultuur

Michelle vertelt dat ze dit jaar in het bijzonder hebben gekeken wat de organisatiecultuur met cybersecurity doet. “In hoeverre heeft de manier waarop mensen met elkaar omgaan (de sociale norm) of een bepaald type leiderschap invloed op de veiligheid binnen een organisatie? Cybercriminelen verdiepen zich eerst goed in de organisatie voordat zij toeslaan. Zij ontdekken zo de zwakke plekken in de organisatiecultuur.”

Zij merkt op dat in het mbk een verkeerde risicoperceptie heerst. Michelle: “Bedrijven denken dat ze  cybersecure zijn wanneer ze veiligheidsmaatregelen hebben genomen en medewerkers daar positief tegenover staan. Inmiddels is wel duidelijk dat menselijke fouten vaak zorgen voor cyberrisico’s. Denk aan het per ongeluk klikken op een link van een phishing-mail.”

“Ook al is het beleid goed vertaald in maatregelen, dan nog loopt een bedrijf risico. Niet alleen omdat er iets te halen valt in het midden- of kleinbedrijf zoals klantgegevens. Ook in het mkb komt het voor dat criminelen computers hacken om die als botnet te gebruiken, waarbij zij jouw ‘veilige’ computer inzetten voor criminele doeleinden.”

Neus op de feiten

De studenten drukten Eric Dittmar en veel andere beheerders met de neus op niet verwachte feiten. Hij bekijkt het vooral positief. “Al met al worden we ieder jaar verrast door de uitkomsten van dit project. Met veel plezier doen we volgend jaar weer mee.”

Michelle: “We denken eraan om op De Haagse Hogeschool een zogenoemd ‘human security behaviour lab’ op te starten. Daar kunnen we met studenten en het werkveld experimenten opzetten om zo onveilig gedrag te meten en interventies te ontwerpen en te testen.”

Dergelijke experimenten passen helemaal bij het doel en de missie van het lectoraat Cybersecurity in het MKB: “We willen die bedrijven op een praktische wijze helpen om meer digitaal veilig te worden, vooral door aandacht te hebben voor de menselijke factor. Het studentenproject helpt hier enorm bij. Zij maken duidelijk wie op welke manier beïnvloedbaar is en ze adviseren bedrijven hoe ze die zwakke plekken kunnen verstevigen.”


Bron: https://nieuws.hhs.nl/uitgelicht-nl/cybercrime-en-de-cultuur-van-organisaties