Draagt HR verantwoordelijkheid bij het tegengaan van ceo-fraude?
Door Jelle Wieringa, security awareness advocate bij KnowBe4
Plaats jezelf eens in de positie van een ietwat gemakzuchtige internetcrimineel. Je hebt geld nodig, maar weinig tijd. Je weet hoe je mensen online kan bedriegen, maar een doorgewinterde hacker ben je niet. Op welke manier kun je dan succesvol een organisatie aanvallen?
Grote kans dat je voor Business Email Compromise (BEC) – ook bekend als ceo-fraude – zou kiezen. Het is een relatief makkelijke manier om slachtoffers te maken. Je hoeft alleen te weten wie de directeur van een organisatie is, met welke klanten de organisatie zakendoet en hoeveel geld je redelijkerwijs kunt vragen. Met een eenvoudig technisch trucje, het spoofen van het e-mailadres van de directeur, kun je een medewerker in een mailtje overtuigen om geld over te maken naar jou in plaats van een legitieme ontvanger.
Waarom vertel ik dit? Omdat het goed is om je te realiseren hoe gemakkelijk cybercriminaliteit soms kan zijn. En omdat Nederlandse organisaties beter moeten nadenken over hoe ze zichzelf beschermen tegen dit type fraude. Want wie is binnen de organisatie eigenlijk verantwoordelijk voor het tegengaan van BEC?
Weinig met technologie te maken
In de praktijk zie ik vaak dat het tegengaan van ceo-fraude op het bordje van de IT-afdeling ligt, net als de beveiliging tegen vrijwel alle andere vormen van cybercriminaliteit. In het geval van BEC is dat een probleem. IT-afdelingen proberen zich met technologie tegen de dreiging te beschermen. Maar BEC heeft weinig met technologie te maken. De e-mail die een internetcrimineel stuurt, is in dit geval een ‘gewoon’ mailtje. Er zit geen virus aan vastgeplakt dat de alarmbellen doet afgaan bij spamfilter of firewall. Het enige dat de technologie zou kunnen oppikken is het nagemaakte e-mailadres, maar software die in staat is de gebruiker daarvoor te waarschuwen is zeldzaam en zeer kostbaar.
Het verhinderen van BEC bij de IT-afdeling neerleggen is niet genoeg. Verschillende onderdelen van een organisatie zullen moeten samenwerken om het gevaar af te wenden. Grote bedrijven betrekken de HR-afdeling heel actief. Bij BEC is het namelijk de mens die wordt misleidt, niet zozeer de technologie. HR kan een sturende rol vervullen bij het opzetten van controleprocessen en risicomanagement. Bovenal heeft HR de mogelijkheid en ervaring om bewustzijn over BEC te creëren bij medewerkers. Met het aanbieden van training die actuele voorbeelden toont, en medewerkers in een veilige omgeving met die voorbeelden laat omgaan, kan de kans op een geslaagde aanval sterk worden verkleind.
Dat betekent niet dat HR het alleen hoeft te doen. Nog veiliger is het als ook de andere afdelingen meewerken aan het verminderen van de risico’s van de BEC. Als veiligheidsprocessen zoals het vierogenprincipe op iedere afdeling worden nageleefd en er daarnaast effectieve sociale controle is, zal er minder snel geld overgemaakt worden naar louche figuren. Dat een medewerker hulp zoekt op het moment dat hij een verdachte e-mail ontvangt, moet ingebakken zijn in de bedrijfscultuur én de cultuur op de afdeling.
Holistische aanpak
Het afwenden van ceo-fraude vraagt dus om een holistische aanpak, waarbij mens, proces en technologie aandacht krijgen. IT’ers kunnen het gevaar in kaart brengen en het e-mailverkeer monitoren, HR-professionals kunnen zich richten op het bewustzijn en de leercurve van personeelsleden, de afzonderlijke afdelingen kunnen zorgdragen voor een veilige manier van werken.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee