Zero credulity

Zero credulity

Waar komt onze goedgelovigheid vandaan? Is dat cultureel bepaald of is dat aangeleerd gedrag? Is het 'embedded' in onze marktgerichtheid, in onze klantvriendelijkheid en onze open houding? Maar waar ligt de grens?

De mens wordt in de digitale wereld vaak als zwakste schakel aangewezen. Cybercriminelen, met name social engineers, richten zich juist op de mens door het fysieke contact te zoeken. Op deze wijze worden bepalende factoren opgezocht. Door gebruik te maken van aannemelijke en logische onderwerpen wordt toenadering gezocht. Ze gebruiken o.a. teksten die ertoe doen. Teksten die de mens, als klantvriendelijke schakel, niet één, twee, drie als gevaar of misleiding aan ziet komen. Dat is ook logisch als je van het goede in de mens uitgaat. Het alomvattende credo 'awareness' is daarbij niet voldoende, laat staan dat het niet 24/7 vol te houden is.

De mens is in dit verband niet zwak mits opgeleid, begeleid en getoetst op gedrag, waardoor het een social engineer aanval zou kunnen herkennen. Het lijkt een open deur maar organisaties dienen eerst dat gedrag te benoemen, vast te stellen, uit te dragen en te controleren. Dat vergt een actieve interpretatie van leiding geven aan mensen. Weten wie of wat (actief, creatief, verantwoordelijk bewust etc..) het personeel is. Op basis van gesprekken en frequent personeelscontact een goed beeld krijgen wat de werknemer in zijn/haar mars heeft, maar ook een beeld krijgen van de persoonlijke situatie. Het is al te gemakkelijk een werknemer aan te nemen, hem of haar alle middelen ter beschikking te stellen om er later achter te komen dat ogenschijnlijk erg voor de hand liggende vraagstukken op een voor de werknemer niet adequate wijze worden afgehandeld. Immers ieder mens is anders.

Om het personeel te laten bewegen volgens de richtlijnen van de gewenste bedrijfsidentiteit, zal de werkwijze en de daaraan gekoppelde verwachte uitvoering duidelijk moeten zijn. Bedrijfscultuur tot bloedgroep verheffen, het klinkt ideologisch maar is een stap in de richting van ieders betrokkenheid bij de corebusiness van de organisatie. Zeker in tijden waar inhuurkrachten, ZZP’rs, 0-urencontracters, outsource partijen, etc., mogelijk minder op hebben met de bedrijfscultuur of het bewaken van de kroonjuwelen van de organisatie. Hier loert het gevaar van binnenuit (insiders threat). Betrokkenheid van personeel kan gemotiveerd, geactiveerd en gestimuleerd worden door educatie en duidelijkheid. Kennis hebben van social engineering en hoe aanvallen te herkennen is onontbeerlijk. Het kan onderdeel uitmaken van die educatie. Als personeel kritisch kan zijn op wat ze hoort en ziet en dat kan weerleggen door herkenning, is de opleiding geslaagd en een grote stap naar 'zero credulity' bereikt.

Naar overzicht