5 ‘nepincidenten’ waarmee je meer aandacht voor informatieveiligheid creëert

In de blog CISO: van roepende in de woestijn naar verbindende kracht schreven we al dat het lastig kan zijn om als CISO bij iedereen in je organisatie informatieveiligheid onder de aandacht te houden. Het is nu eenmaal een onderwerp dat mensen eerder als ‘een moetje’ dan als ‘leuk’ en noodzakelijk beschouwen. Om deze verantwoordelijkheid van de CISO wat gemakkelijker te maken, helpt het om zo nu en dan een ludieke actie op touw te zetten. In deze blog delen we een paar goede ideeën uit de praktijk.

Datum
5 april 2022
Auteur
Klaas Bolte
Diensten
I&A organisatie op orde
Leestijd
7 min

Confrontatie zorgt voor bewustwording

Informatieveiligheid wordt voor je collega’s waarschijnlijk pas spannend als ze er zelf direct mee geconfronteerd worden. Als ineens hun eigen gegevens zijn gestolen. Of als de hele organisatie een week niet kan werken doordat iemand op een dubieuze link heeft geklikt. Pas als mensen voelen hoe snel een incident ontstaat en hoeveel impact dat heeft, passen ze hun gedrag en houding aan. Met een nep-incident kun je voor die ervaring zorgen zonder dat je organisatie schade oploopt. Dat werkt veel beter dan je collega’s vertellen welke risico’s er zijn.

Terugkerend gesprek in de wandelgangen

De beste nep-incidenten zijn die acties waar je collega’s jaren later nog over spreken. Bij de koffieautomaat of bij het afscheid van de betreffende collega. “Weet je nog die keer dat…”? Dat effect wil je bereiken. Ter inspiratie noem ik een aantal nep-incidenten die ik als CISO met dit doel zelf met collega’s heb voorbereid en uitgevoerd.

Incident 1: in boevenpak

Bij een gemeente werd door het college en de gemeentesecretaris een ‘open-deur-beleid’ gevoerd. De deur van de gang met de kamers van de collegeleden stond altijd open. Ook als er niemand was. Wijzen op deze kwetsbaarheid hielp niet. Tijd dus om de collegeleden dit te laten ervaren. Terwijl ik een presentatie voor 100 collega’s gaf, liep een collega van mij in boevenpak naar de kamer van de gemeentesecretaris. Daar maakte hij een foto van zichzelf met de laptop en sleutels van de gemeentesecretaris. Die foto stuurde hij naar mij zodat ik mijn presentatie kon onderbreken en op groot scherm aan de hele zaal deze foto kon tonen.

Verbouwereerd, gelachen en voorgoed bijgeleerd

De gemeentesecretaris keek erg verbaasd toen ik de foto op groot scherm liet zien. Net als alle andere aanwezigen overigens. Vijf seconden later kwam de collega in boevenpak de zaal binnen en gaf de voorwerpen terug aan de secretaris. Hard gelach vanuit de zaal. Na een kort interview met de verbouwereerde secretaris bleek dat de boodschap bij hem en de andere aanwezigen duidelijk was doorgekomen. In de wandelgangen werd er nog maanden over doorgepraat. En…. de gang naar de kamers van de collegeleden was vanaf dat moment alleen nog betreedbaar met een pasje.

Incident 2: de mystery guest

Zelf heb ik wel eens mystery guest gespeeld. Heel spannend en leuk om te doen. Het lukte me om langs de lange rij bij de receptie te glippen. Bij een automatische deur met dranger wachtte ik totdat een ambtenaar naar buiten kwam. Een moment later stond ik in een beveiligde zone. Daar pakte ik een lekker kopje koffie en liep een beetje rond. Allemaal zonder problemen. Op mijn gemak maakte ik foto’s en een filmpje van de ruimten waar ik allemaal naar binnen kon. Men hield zelfs uit beleefdheid enkele deuren voor me open. Heel erg gastvrij. Misschien een beetje té.

Komt u maar binnen…

In een lunchbijeenkomst heb ik aan de medewerkers de foto’s en video getoond van de rondgang die ik zonder pasje door het gemeentehuis had gemaakt. Het was nogal wat waar ik toegang tot had. Open archiefkasten, P&O klappers, onvergrendelde laptops, open deuren, wachtwoordbriefjes. Reken maar dat deze lunch de medewerkers goed is bijgebleven. Het filmpje dat ik maakte, heeft nog een lange tijd op intranet gestaan. En die ene medewerker die wel aan me vroeg wie ik was en voor wie ik eigenlijk kwam, kreeg de prijs voor de meest alerte ambtenaar.

Incident 3: lekker vissen

Phishing is een van de meest voorkomende manieren om toegang te krijgen tot andermans gegevens of computer. Phishingmails worden steeds geavanceerder en moeilijker te herkennen als phishing. Het is dan ook belangrijk om regelmatig te toetsen hoe medewerkers ermee omgaan. We kennen een gemeente waar ze jaarlijks zelf een phishingmail sturen. Klikken de medewerkers op de link? (Wat ze dus niet zouden moeten doen.) Dan komen ze op een ludieke pagina met tekst en uitleg over de actie.

Waardevolle gesprekken over de afloop

Nóg belangrijker dan die ludieke pagina is het gesprek over de mail na afloop. Hoe had je die kunnen herkennen? Waarom hebben mensen er wel of niet op geklikt? Wie kun je om hulp vragen als je twijfelt? En hoe snel breng je je collega’s op de hoogte om de dreiging in de kiem te smoren? Hele waardevolle gesprekken die echt leiden tot ander gedrag bij de medewerkers.

Incident 4: “Hallo met de helpdesk”

‘Social engineering’ is de term voor het proberen toegang te verkrijgen tot een systeem of netwerk door jezelf voor te doen als een ander. Zelf heb ik eens een collega-CISO van een buurgemeente opdracht gegeven met hulp van een aantal scripts te bellen met onze systeembeheerders, functioneel beheerders en een aantal willekeurige mensen uit de organisatie. Het doel was om inloggegevens los te peuteren, persoonsgegevens te ontfutselen of direct toegang te krijgen tot een systeem of netwerk. En in een aantal gevallen is dit ook gelukt.

Van geleerde lessen naar rollenspel

De gesprekken die zijn gevoerd, zijn opgenomen met als enige doel het leereffect voor de organisatie. Door deze gesprekken terug te luisteren met de betreffende personen uit de organisatie, werd heel erg voelbaar waar we beter en scherper kunnen zijn in het stellen van de juiste checkvragen. Confronterend, maar heel waardevol om te doen. De geleerde lessen zijn door de medewerkers zelf weer doorgegeven aan de organisatie door in een rollenspel de gesprekken na te spelen.

Incident 5: de zondebok

Tot slot een echt incident uit mijn eigen ervaring als CISO. Als op dinsdagmiddag 17:30 uur een collega je kamer binnenkomt met de mededeling “ik zie allerlei rare bestanden in een map die ik niet kan openen”, dan weet je één ding zeker: om 18.00 uur thuis eten ga je niet halen. In dit geval bleek dat de medewerker op zijn werk-PC zijn privé-mail had bekeken en op een ‘foute’ link had geklikt. Het gevolg was dat we met een cryptolocker te maken hadden. Gelukkig lukte het ons om de besmette PC te isoleren van het netwerk en daarmee de versleuteling te stoppen. En doordat we een back-up konden terugplaatsen van een dag ervoor was de schade beperkt tot één dag werk.

Delen van de ervaring

Het mooie aan dit incident was dat de medewerker die op de verkeerde link had geklikt, bereid was hierover te vertellen aan zijn collega’s. Die konden zich allemaal goed in hem verplaatsen en dat maakte dat het verhaal goed aankwam. Het kan iedereen zomaar overkomen als je niet alert bent op dit soort zaken. Het checken van privé-mail op een werk-PC is daarna niet meer voorgekomen.

Ervaren is beter dan vertellen

Alle bovenstaande acties hebben één ding met elkaar gemeen: je zoekt de confrontatie op. Je maakt voelbaar wat er fout kan gaan, maar wel in een veilige omgeving. En net zo belangrijk als het nep-incident zelf is de uitgebreide gezamenlijke evaluatie na afloop. Dan kunnen collega’s hun ervaringen delen. Verder is het belangrijk terug te koppelen waarom je zo’n actie uitvoert, wat het effect is en hoe je medewerkers ermee wil helpen. Uiteindelijk kun je als CISO niet in je eentje zorgen voor een informatieveilige gemeente. Dat moet je samen doen.

Inspiratie nodig?

Wil je aan de slag met het op touw zetten van een nep-incident? Klaas denkt graag met je mee.

Consultant
Klaas Bolte
Mijn kracht ligt op het gebied van informatiebeleid, projectportfolio, projectmanagement en het initiëren van nieuwe samenwerkingsvormen. Ik weet mensen mee te krijgen in een verandering en gezamenlijke belangen te behartigen. Ook heb ik gevoel voor het samenspel tussen bedrijfsvoering en politieke belangen.
Pagina delen: