Ben je verplicht trainingen te volgen om hacks te voorkomen?

Dilemma

De maand oktober is uitgeroepen tot Cybersecuritymaand, om extra aandacht te vragen voor (bewustwording over) veiligheid online. Hacks en aanvallen met ransomware, gijzelsoftware, komen namelijk steeds vaker voor. Volgens het veiligheidsrapport van Microsoft uit 2023 vonden er dat jaar liefst vierduizend aanvallen per seconde plaats op wachtwoorden. Maar bij wie ligt de verantwoordelijkheid om daar maatregelen tegen te nemen? Moeten werkgevers zorgen voor een ondoordringbare verdedigingslinie of kunnen zij werknemers verplichten cybersecuritytrainingen te volgen?

Zorg voor goede ICT-infrastructuur

„Bij maatregelen rondom cybersecurity speelt eigenlijk altijd de afweging tussen veiligheid en gebruiksgemak”, zegt Patrick Smeets. Hij werkt als strategisch adviseur bij Legian, dat bedrijven organisatieadviezen geeft op het gebied van ICT. „Je kunt proberen de ICT helemaal dicht te timmeren, maar dan kunnen werknemers elkaar geen mails meer sturen, dat is niet wenselijk.” Bovendien is het onmogelijk om een systeem écht waterdicht te krijgen, zegt Smeets: „Er hoeft maar één persoon in een organisatie op een verkeerde link te drukken, en dan zijn de hackers binnen.”

Volgens Smeets hebben bedrijven daarom de verantwoordelijkheid een uitgewerkt veiligheidsbeleid op te stellen en een goede ICT-infrastructuur, zodat werknemers in staat zijn veilig te werken. „Je ziet dat veel grote organisaties dit redelijk op orde hebben, en bijvoorbeeld een chief information security officer hebben aangesteld, maar in het midden- en kleinbedrijf is dat vaak heel anders. Zulke ondernemers hebben niemand die verantwoordelijk is voor cybersecurity of hebben een technisch pakket gekocht dat ze maar deels gebruiken.”

Formeel ligt de verantwoordelijkheid voor cyberveiligheid niet bij werknemers, zegt Daniek Regterschot. Ze is advocaat bij Poelmann van den Broek in Nijmegen en houdt zich onder meer bezig met vraagstukken op het gebied van ICT en cyberveiligheid. „Juridisch gezien is een ransomware-aanval bijvoorbeeld het risico van het bedrijf, al kan een organisatie zich beschermen door goede afspraken te maken over back-ups met de IT-diensten die zij inkoopt. De werknemer die op een linkje klikt, kan daar niet verantwoordelijk voor worden gehouden.”

Onder een nieuwe Europese richtlijn, de Network and Information Security directive (NIS2), is die verantwoordelijkheid voor bedrijven verder uitgewerkt. Zo moeten zij bijvoorbeeld een risicobeoordeling uitvoeren en daarna passende maatregelen treffen. Ook moeten zij incidenten binnen 24 uur melden bij de toezichthouder in hun branche. „Niet alle sectoren vallen onder deze richtlijn, maar steeds meer bedrijven komen ermee in aanraking – ofwel direct, ofwel indirect als ze toeleverancier zijn van een partij voor wie NIS2 geldt”, zegt Regterschot. „Daardoor wordt het steeds duidelijker dat bedrijven de plicht hebben om beveiligingsmaatregelen te nemen.”

„Je kunt werknemers met een paar trucs leren phishingmails te herkennen en zo 98 procent van alle schade voorkomen”

Leer werknemers waarop ze moeten letten

Voor veiligheid zorgen kunnen bedrijven niet alleen. „Cyberaanvallen komen van buitenaf, maar hackers moeten op de een of andere manier in de organisatie komen”, zegt Regterschot. „Dat kan via van alles zijn: een makkelijk te kraken wachtwoord, een linkje, noem maar op. Daarom is het belangrijk dat je werknemers traint, zodat ze weten hoe hackers te werk gaan en waar ze op moeten letten.”

Volgens Smeets worden phishingmails bijvoorbeeld steeds beter. „Twee jaar geleden stonden ze nog vol spelfouten, maar dat is al lang niet meer zo. Toch kun je werknemers met een paar trucjes leren hoe je deze mails herkent, en ongeveer 98 procent van de schade voorkomen.” Er bestaan veel saaie en droge trainingen, zegt Smeets, maar dat is helemaal niet nodig. „Wij werken veel met gamification, dat werkt heel goed.”

Los van de training is het ook belangrijk om meer bewustzijn te creëren onder werknemers, zegt Smeets. „Veel bedrijven maken inmiddels gebruik van multi-factor authentication, waarbij je met je telefoon een code moet genereren om ergens in te loggen. Dat vinden veel mensen onhandig. Om te zorgen dat ze het toch gebruiken, moet je stap voor stap, uitleggen waarom het nodig is, zodat ze het belang ervan inzien.” En wat je zakelijk leert, kun je natuurlijk ook gebruiken in je privéleven, zegt Smeets. „Dat is ook goed om te benadrukken.”

Regterschot raadt bedrijven aan om naast het geven van trainingen ook een veiligheidsprotocol te formuleren. „Het is belangrijk dat werknemers weten hoe ze moeten handelen als er sprake is van een hack of als ze dat vermoeden.” Daarbij hoort ook dat organisaties dit onderwerp bespreekbaar maken, zegt Regterschot. „Het kan stom voelen om op een verkeerd linkje te klikken, maar het gebeurt gewoon, dat is een menselijke fout. Een organisatie moet stimuleren dat zo iemand dit meteen durft te bespreken, in plaats van het te verzwijgen en dan maar hopen dat het goedkomt.”

Dus

Actie ondernemen op het gebied van cyberveiligheid is erg belangrijk. De nieuwe Europese NIS2-richtlijn geeft aan dat de verantwoordelijkheid daarvoor vooral bij bedrijven ligt: zij moeten zorgen voor de juiste ICT-infrastructuur en veiligheidsprotocollen. Maar uiteindelijk is een organisatie alleen beschermd tegen ransomware en hacks als ook werknemers weten hoe ze op een veilige manier met hun computers en de software moeten omgaan. Daarom is het essentieel om werknemers te informeren over het belang van cybersecurity en ze te trainen in hoe ze cyberaanvallen kunnen voorkomen en herkennen.