RZCC

Cybersecurity: mensen vormen de belangrijkste schakel

Blog 2

Onze digitale veiligheid is belangrijker dan ooit. Op scholen onderwijzen we de nieuwe generatie in digitale weerbaarheid als derde pijler naast fysieke en mentale weerbaarheid. De risico’s van de digitalisering van de samenleving nemen ieder jaar exponentieel toe en cybercriminaliteit wordt geraffineerder, veelzijdiger en kent geen erecode.

We spreken specifiek over weerbaarheid en niet over veiligheid of bescherming. Het is onvermijdelijk dat we persoonlijk of beroepsmatig te maken krijgen met bewuste of onbewuste aantasting van (digitale) systemen. Denk hier niet alleen aan vormen van cybercriminaliteit, maar ook aan handelingen die per ongeluk plaatsvinden of simpelweg systeemtechnische fouten die een domino-effect inleiden. De gevolgen zijn soms groot, zoals bij uitval van zorgalarmering, beperkte toegang tot zorgsystemen, diefstal en misbruik van gevoelige patiëntdata en het niet beschikbaar zijn van een eerste hulpafdeling of operatiekamer. Het is belangrijk om de gevaren te herkennen, je er bewust van te zijn en te weten hoe je moet handelen bij een incident. Met andere woorden: weerbaar zijn.

Security & privacy awareness
Hoewel je jouw omgeving kunt beschermen met allerlei technische maatregelen, zoals firewalls, e-mailsecurity en multifactor authenticatie, is maar liefst 95 procent van de cybersecuritydreigingen te herleiden naar een menselijke factor (Global Risks Report). We zien sinds enkele jaren dat de ‘zachte kant van IT’ – bijvoorbeeld beleid, risicoafweging en procesmatig en veilig werken – minimaal zo belangrijk zijn om tot een toekomstvaste en veilige manier van werken te komen.

Vanuit die zachte kant wordt vaak gesproken over security & privacy awareness. Het doel is een hoger bewustzijn en grotere kennis van medewerkers over cybersecurity en gegevensbescherming. Het eigen personeel is de vaak onderschatte maar belangrijkste schakel in de keten. Want hoe goed de technologie, organisatiestructuur en processen ook zijn, zonder professionaliteit ben je nergens. Een verkeerde klik in een e-mail, verloren USB-stick of beheerdersfout leiden soms tot organisatorische rampen. Dus is het nodig om aandacht te besteden aan de ontwikkeling van een zogenoemde menselijke firewall. Actief werken aan dit aspect betekent dat je jouw personeel transformeert van onbewust onbekwaam naar bewust onbekwaam en uiteindelijk naar (on)bewust bekwaam.

Menselijke firewall
Ontwikkel een ‘human firewall’ door aandacht te besteden aan deze drie kernpunten:

  • Waarom: maak medewerkers bewust van de risico’s die alle informatiesystemen met zich meebrengen. Hierdoor zijn ze alerter op het herkennen van verdachte activiteiten in e-mails, appberichten, telefoongesprekken en hun gedrag.
  • Hoe: toon en laat medewerkers de potentiële gevaren ervaren. Houd deze kennis bij door herhaling en het delen van actuele informatie. Kies methoden die aansluiten bij de cultuur en de capaciteit van je organisatie, zoals een e-learningplatform of onaangekondigde praktijkoefeningen (zoals een mystery guest of simulaties).
  • Wat: stel een bewustwordingsplan op met de gekozen middelen en behaalde resultaten. Straf fouten niet af, maar moedig leren aan en uit waardering naar medewerkers die juist handelen. Stel daarnaast een procedure op voor de reactie op beveiligingsincidenten, zodat medewerkers weten waar ze incidenten kunnen melden en de organisatie weet hoe te reageren.

Voldoen aan de NIS2-richtlijn
Het werken aan cybersecuritybewustzijn is niet alleen gunstig voor de veiligheid van je organisatie, maar wordt ook een vereiste vanuit de wet- en regelgeving. De NIS2-richtlijn die volgend jaar leidt tot nieuwe nationale wetgeving verplicht zorginstellingen om het bewustzijn van informatieveiligheid onder medewerkers actief te bevorderen. Door de juiste training en opleiding aan te bieden zorgen organisaties ervoor dat het cyberbewustzijn van hun medewerkers voor de lange termijn is gewaarborgd. Het Nationaal Cyber Security Centrum biedt inzicht in de veranderingen die de NIS2 teweeg zal brengen en geeft organisaties praktische tips voor de beste voorbereiding hierop.