Tuesday, September 5, 2017

Waarom awareness faalt?!

Dutch transcript of my talk about Security Awareness at 600 Minutes of Cyber Security Strategies by Management Events on September the 5th of 2017 in Spant!

Waarom awareness faalt?!

Requirements voor een auto


In december 2015 ging ik op zoek naar een nieuwe auto. Mijn vorige auto, een Mazda MX-3, had het leven gelaten. Althans, mijn bereidheid voor herstel was vanuit een financieel oogpunt geheel verdwenen. Het was daarom tijd voor een nieuwe auto en in mijn geval had ik gekozen voor privé-lease. Daarmee was ik geen eigenaar meer van de risico’s die gepaard gaan met het in bezit hebben van een auto.

Ik had wel wat zogenoemde constraints. De eerste was dat de maandelijkse incasso niet groter was dan het door mij bedachte maximum, en dat het een auto van een merk van mijn voorkeur was. Mazda of Tesla. Omdat de eerste constraint impact had op de tweede, ging ik maar voor de Mazda.
Na een zorgvuldige selectie had ik mijn keuze gemaakt. De Mazda 2. Niet te duur, en ik koos voor een model met een pittig vermogen, soort van stoere kleur, airco, in-car-entertainment en cruise control. Het contract was getekend en een poosje later kon ik de auto ophalen.

De auto beviel enorm en na wat weken rijden merkte ik op dat er wat features hun werk deden. Denk hierbij aan lane-detection, ABS en het piepje bij het vergeten van de gordel. In de regel allemaal geen probleem natuurlijk, maar wanneer je van een mechanisme auto als MX-3 overstapt naar een nieuwe dan merk je deze veiligheidsmaatregelen gelijk op.

Ik stelde mijzelf de vraag: “Hoe kan in vredesnaam een Security Officer als ik niet stil hebben gestaan bij de veiligheidsmaatregelen van een door mij gekozen auto?”.

Het meest eerlijke antwoord? I just did not care. En die gedachte werd ondersteund door mijn aanname dat veiligheid van de auto in de eerste plaats een verantwoordelijkheid was van Mazda (producent), gesteund door regelgeving vanuit de overheid en toezichthouders (kwaliteitsnormen), de leasemaatschappij (eigenaar), gevolgd door de dealer (onderhoud), en daarna een soort van door mij (gebruiker).

En toen realiseerde ik mij dat het heel goed mogelijk is dat een groot deel van mijn collega’s waarschijnlijk op dezelfde manier naar mijn Technology-afdeling kijkt, als ik naar mijn privé-leaseauto. En hoe kan ik het hen nu kwalijk nemen, als ik het zelf ook doe?

Ligt de verantwoordelijkheid bij de gebruiker?


Is het terecht dat mensen denken dat de veiligheid van het systeem in de eerste plaats niet hun verantwoordelijkheid is? Daar heb ik een poosje over nagedacht en ik vind die gedachtegang terecht. Want ik realiseerde dat er een verschil is tussen de veiligheid van een systeem, en het veilig gebruik van een systeem.

De analogie met de auto past perfect hierin. Ik ben niet verantwoordelijk voor de veiligheid van de auto. De remmen, airbag, gordels en al die andere maatregelen dienen gewoon te werken en goed te zijn. Nu scheelt het dat ik daarbij geen eigenaar ben van de auto, maar zelfs wanneer ik wel eigenaar zou zijn kun je dat in een zekere mate uitbesteden bij de dealer.

Veilig gebruik van de auto is dat ik de gordel om doe, mij aan de verkeersregels houdt, olie ververs, banden controleer, en op gezette tijden of kilometers de auto voor een onderhoudsbeurt naar de dealer breng. Die onderhoudsbeurt is om ervoor te zorgen dat het systeem veilig blijft en de garage is verantwoordelijk voor de uitvoer ervan en de kosten worden weer door de eigenaar gedragen.

En als we het hebben over awareness en het ontwikkelen ervan maken we vaak de denkfout dat veel van de veiligheid bij de gebruiker ligt. En daarmee leunen we echt, onterecht, op de zwakste schakel wanneer we het hebben over de veiligheid van een systeem.

En over de veiligheid van systemen gesproken. Is het jullie opgevallen wat er goed mis is in de foto hierboven? Blowfish? In een auto uit 2015? In 2007 zei de ontwikkelaar van het algoritme, Bruce Schneier, al dat Blowfish niet meer voldoende is, en dat je moet overstappen naar de opvolger Twofish. En tegenwoordig zijn er nog betere alternatieven.

En of ik updates kon krijgen van de software? Dat ‘kon’ en dat kon ik zelf doen. Maar ja, dat betreffen wel alleen de updates van de mappen voor de navigatie. En dat voor een Bluetooth- en Wi-Fi-connected auto.

Security Awareness door ING Bank


Ik ben betrokken geweest bij een panel naar aanleiding van een onderzoek door ING Bank onder leiding van Sander de Bruijn. De innovatieafdeling van ING is altijd op zoek naar nieuwe business mogelijkheden die later al dan niet verzelfstandigd worden. Een van die onderzoeken betreft een onderzoek naar Cyber Security. Na een bezoek aan een groot aantal klanten van ING kregen zij de feedback dat men meer wilt met Security Awareness, maar nog niet goed weet hoe.

ING ging dieper inzoomen op Security Awareness met een tal van onderzoeksmethoden. De meest interessante conclusies die getrokken konden worden zijn als volgt.
  • Training is niet gericht op een individu.
  • Training wordt niet op het juiste moment gegeven.
  • Training wordt niet gekoppeld aan een ervaring.
  • En te vaak ontbreekt het aan voorbeeldgedrag.

Maar waarom kan leunen op awareness gevaarlijk zijn?


In de talk “The security mirage” van Bruce Schneier wordt gesproken over het concept van veilig zijn versus veilig voelen en hoe we daarin de zogenoemde security trade-off maken. In essentie is het risicomanagement. Zijn slot conclusie is dat hoe meer onze gevoelens overeenkomen met de realiteit van veiligheid, des te beter we de security trade-off kunnen maken.

Onderzoek heeft uitgewezen dat we risico’s groter inschatten dan ze daadwerkelijk zijn wanneer het risico een naam heeft, wanneer het een keer van dichtbij is gebeurd of meegemaakt en wanneer we er veel over lezen in bijvoorbeeld het nieuws. En aan de andere kant hebben we de neiging risico’s veel kleiner te maken dan ze werkelijk zijn wanneer het een ver van ons bed show is of lijkt te zijn. We nemen dan meer risico’s en wanneer je niet bekend met de realiteit van de risico’s dan zal de trade-off niet goed ingeschat worden.

Wanneer je dat uitgangspunt meeneemt naar security awareness trainingen, dan zie je dat een one-size-fits-all niet gaat werken. Iedereen heeft een ander gevoel bij veiligheid, heeft een ander beeld van de werkelijkheid en heeft een ander kennisniveau op basis waarvan hij of zij een inschatting kan maken op het gebied van veiligheid.

Leunen op een one-size-fits-all awareness campagne kan dus killing zijn voor je business.

Hoe zit het met Social Engineering?


Kevin Mitnick. Waarschijnlijk een van de meest bekende namen op het gebied van Social Engineering. Ik ben afgelopen juli naar Blackhat in Las Vegas geweest. Daarbij heb ik daar ook de training Advanced Practical Social Engineering van de firma Social-Engineer LLC gevolgd. Hoewel we de klassieke white-hat ophadden tijdens de ‘oefeningen’ op de boulevard, gingen we toch wel stevig in op hack-the-human. En dan besef je ineens echt hoe eenvoudig wij informatie vrijgeven aan wildvreemden.

Zo heb ik zelf zonder blikken en blozen mijzelf voorgesteld met een alias. Altijd was mijn eerste prikkel om mijzelf voor te stellen met mijn echte naam. Maar zelf ervaren om je voor te doen als een ander, om vervolgens de gegevens van een ander boven tafel proberen te krijgen is bizar op zijn minst. Ik voelde het schuren met de Code-of-Ethics van (ISC)2, maar we hebben ons allen keurig gehouden aan de regels dat we niet naar login-credentials mochten vragen, de targets met een goed gevoel hebben achtergelaten en dat zij niet benadeeld worden, op wat voor manier dan ook, naar aanleiding van de ontmoeting.

Maar hoe maak je je collega’s in vredesnaam weerbaar tegen doelbewuste en kwaadwillende acties in het kader van Social Engineering? Is een theoretische training dan wel voldoende?

De juiste focus op Security Awareness


Met het onderzoek van ING, de training Social Engineering, en het verhaal van Bruce Schneier in het achterhoofd houdende, waar zou dan focus moet liggen ten aanzien van Security Awareness? Ik vind dat in de eerste plaats dat je het geven van een awareness training moet proberen te voorkomen. Het klinkt wellicht gek, maar val men echt alleen ‘lastig’ met dingen die ze niet leuk vinden wanneer het echt nodig.

Start dan ook met Technologie. Technologie kan helpen met het verlagen van het risico van het gebruik van een systeem. Denk aan wachtwoord-regels, het piepje bij geen gordel, het uitzetten van onnodige functionaliteiten en het blokkeren van spam en phishing email. En denk eraan, niemand wordt blij van een verschrikkelijke user interface, en zeker security niet!

De volgende stap is die van Proces. Een goed proces kan helpen dat de juiste activiteiten op het juiste moment volgens de juiste voorwaarden gebeuren. Als een grote transactie goed gekeurd moet worden door 2 individuen, dan wordt CEO-fraude al wat lastiger.

De laatste stap is Mens. Wanneer redelijkerwijs alles is gedaan op het gebied van Proces en Technologie, dan kan de Mens voorzien worden van informatie en middelen om het gebruik van het systeem veilig te houden.

En let op, de veiligheid van het systeem mag in den beginne nooit afhangen van de gebruiker!

De juiste kernpunten van goede awareness campagne


Volgens datzelfde onderzoek van ING dient een solide awareness training aan de volgende voorwaarden te voldoen.
  • Rolmodel (het goede voorbeeld) is belangrijk, zo niet het belangrijkste. Het goede voorbeeld geven werkt inspirerend. Wanneer ik de vraag van een collega krijg of ik ook allemaal unieke wachtwoorden gebruik, dan zeg ik: “Ja, voor al mijn 120+ accounts” en dan laat ik vervolgens mijn LastPass score zien.
  • De awareness training is relevant in de context van de situatie of ervaring. Een medewerker krijgt training over het veilig gebruik van wachtwoorden wanneer zijn of haar wachtwoord gaat wijzigen.
  • Personalisatie van de training voor de situatie (context) en kennisniveau van de medewerker. Niet iedereen weet evenveel. Overvraag een medewerker met een lager kennisniveau niet en verveel een medewerker met een hoger kennisniveau niet met reeds bekende informatie.
  • Beloning van goed gedrag en “never waist a good crisis”. Beloon medewerkers voor alert gedrag en de wijze waarop ze daarmee zijn omgegaan. Hierbij kan gamification ook een rol spelen, even als fysieke beloningen zoals medailles.
  • Laagdrempelige toegang tot de informatie. Het moet weinig moeite kosten en, waar mogelijk, gamified om het leuker te maken. Stop awareness niet weg ergens op een intranet-pagina, of een jaarlijkse e-learning training van een week.
Samenvattend. Waarom awareness faalt? Enerzijds omdat we het onderscheid tussen veiligheid van een systeem en het veilig gebruik van een systeem nauwelijks maken. Anderzijds omdat de timing van de ‘les’ zo ontzettend afwijkt bij die van de ervaring.

Ik ben een groot voorstander van Ubiquitous Awareness. Ubiquitous Awareness betekent, vrij vertaald, dat awareness overal in het gebruik van systemen geïntegreerd is. Het gebruik van een systeem is dus zodanig ingericht dat het veilig gebruik ervan vanzelfsprekend is, of dat informatie over het veilig gebruik ervan op het juiste moment van het gebruik zichtbaar of toegankelijk is.

Op de foto hierboven staat mijn zoon Max, met zijn favoriete speelgoed, namelijk de tablet. Hij weet dat mijn vrouw en ik pincodes op onze telefoons en tablets hebben zitten en dat ook op de laptop ingelogd dient te worden. Een klein jaartje geleden pakte ik zijn tablet en stelde een pincode in. Ik vertelde hem wat de pincode was en legde uit waarom het belangrijk is. Hoe vaak denken jullie dat hij de pincode vergeten is? Exact nul keer.

Onderschat de kracht van voorbeeldgedrag, en beloning, bij Security Awareness niet!

Interview @ Management Events

I also partook in an interview on Cyber Security Awareness and a small far-sight into the future about the use of AI and Machine Learning in Cyber Security.

Share:  

0 comments:

Post a Comment