Afgelopen weekend vierde Data Protection Day zijn zeventiende verjaardag. Een mooi moment, maar deze dag wordt niet voor niets ‘gevierd’: persoonlijke data blijven namelijk torenhoog op de agenda van cybercriminelen staan. En het blijft voor hen net zo makkelijk om aan deze data te komen als een paar jaar geleden: er gaat geen dag voorbij dat er niet ergens ter wereld een bedrijf wordt gehackt, gevoelige (persoonlijke) data op straat komt te liggen of ziekenhuizen worden gedupeerd wanneer talloze patiëntendossiers onbeschermd op internet verschijnen.
Upguard heeft enkele van de grootste datalekken op zijn blog vermeld: in totaal zijn sinds 2011 alleen al in de Verenigde Staten meer dan 38 miljoen gegevens gestolen bij datadiefstallen van ziekenhuizen. Ook Duitsland kreeg te maken met vergelijkbare incidenten, zoals recent in Lippe. Ondanks de sterk toenemende eisen voor gegevensbescherming en -beveiliging slaagt de security community er niet in gevoelige informatie te beschermen.
Michael Heering, Marketing Director Global Field Marketing van SANS Institute, licht toe: “Het probleem is niet zozeer een gebrek aan implementatie van regelgeving, maar meer een gebrek aan het beveiligingsbewustzijn bij medewerkers van IT-beveiligingsprofessionals. Zij moeten namelijk steeds meer systemen en applicaties beheren en beveiligen. In het SANS 2022 Security Awareness Report merkt Lance Spitzner op dat voor cyberaanvallers over de hele wereld mensen de belangrijkste aanvalsvector zijn geworden. Volgens het rapport vormen niet langer technologie maar individuen het grootste risico voor organisaties. Awarenessprogramma’s (en de professionals die deze beheren) zijn essentieel voor het beheersen van de human risk-factor. Awarenessprogramma’s stellen beveiligingsteams in staat om menselijke risico’s effectief te beheren door de manier waarop medewerkers denken over cyberbeveiliging te veranderen en hen te helpen veilig gedrag te vertonen. Niet alleen op de werkvloer, maar ook achter de notenhouten tafel van de directiekamer.”
Volgens Heering kunnen de volgende drie tips securitymanagers helpen:
De toegenomen digitale verbondenheid heeft geleid tot een grotere kwetsbaarheid voor dit soort hacktechnieken. Trainers op het gebied van security awareness dienen trainingen te geven over het herkennen van phishing (zeker in tijden waarin AI en chatprogramma’s cybercriminelen onbedoeld in het zadel helpen).
Bij gemiddeld 40% van de mensen is de digitale identiteit wel eens gestolen, zijn wachtwoorden misbruikt of is vertrouwelijke informatie openbaar gemaakt. De reden: het gebruik van dubbele of zwakke wachtwoorden. Het trainen van een adequate ‘wachtwoordhygiëne’ moet een integraal onderdeel zijn van elke security awarenesstraining.
Smartphones en tablets zijn een belangrijk onderdeel van ons dagelijks leven, maar hiermee hebben we wel meer aanvalspunten voor kwaadwillenden gecreëerd. Als gebruikers hun apparaten versleutelen en software up-to-date houden, wordt het voor aanvallers moeilijker om deze apparaten binnen te dringen.
[Fotocredits – Thaut Images © Adobe Stock]