In een serie interviews over cyberveiligheid gaat het Verbond van Verzekeraars in gesprek met experts uit de (financiële) sector. Welke vormen van cyberaanvallen vormen de grootste risico’s en hoe wapenen verzekeraars zich hier tegen? In dit interview legt Nick Ebels uit hoe NN Group omgaat met phishing. Hij is als CISO verantwoordelijk voor informatiebeveiliging. Zijn teams helpen de IT-teams van bedrijven die onder NN Group vallen bij de implementatie van het beveiligen, toetsen en de uitvoering daarvan.
Waar maak jij je zorgen om als het gaat om cyberveiligheid?
“Het zal niemand ontgaan dat de wereld van cyber security zich razendsnel ontwikkelt. Mijn werk staat tegenwoordig echt in de spotlights en geeft daarom voldoening. Tegelijkertijd is het een uitdaging om alle ontwikkelingen bij te benen. Zowel privé als zakelijk neemt de dreiging van cyberaanvallen toe. Zo’n zes jaar geleden hadden we nauwelijks met phishing te maken en nu worden we er dagelijks mee geconfronteerd. Phishing is in volume ruimschoots het grootste cyberrisico.”
Waarom kiezen cyberaanvallers voor phishing?
“Laat ik eerst een tegenvraag stellen. Stel dat een hacker een professionele phishing e-mail stuurt naar een bedrijf met honderd medewerkers met daarin het verzoek om op een externe site in te loggen. Hoeveel medewerkers zullen hun gegevens invullen?”
Ik denk 3…
“Uit onderzoek blijkt dat bij een goede phishing e-mail bijna 20 procent van niet-getrainde medewerkers hun wachtwoord geeft. Laat ik hierbij benadrukken dat veel bedrijven de beveiliging van hun netwerken en portals meestal wel op orde hebben, maar hun personeel niet voldoende traint op phishing. Dit wetende is het antwoord op jouw vraag makkelijker. Hackers kunnen heel ingewikkeld doen door geavanceerde aanvallen uit te voeren op beveiligde netwerken en portals, maar een goede phishing mail kost minder moeite en levert vaak meer op. Het is voor ons als IT-security specialisten lastig om grip te houden op phishing. Daarom ligt bij NN grote nadruk op training en voorlichting.”
Nick Ebels, NN Group
Wat gebeurt er als een medewerker in een phishing e-mail trapt?
“Door automatische filters wordt de stroom aan phishing e-mails aan medewerkers al tegengehouden. Soms belandt er toch eentje in hun inbox en dat kun je eigenlijk zien als het begin van een cyberaanval. Als iemand in een zo’n e-mail trapt, komt de hacker binnen op één computer. Daarna probeert hij dieper het bedrijfsnetwerk binnen te dringen, op zoek naar interessante data of bijvoorbeeld gegevens van een directielid. Dit kost tijd, en gelukkig hebben grote organisaties zoals NN meestal uitgebreide Security Operation Centers waar alle ontwikkelingen minutieus gevolgd kunnen worden. Er wordt dan geacteerd op eventuele dreigingen, maar voorkomen is altijd beter dan genezen. En daarom is het zo belangrijk om medewerkers phishing proof te maken.”
Hoe doen jullie dat?
“Ten eerste is veilig online werken een onderdeel van ons inwerktraject voor nieuwe medewerkers. Maar ik kan me goed voorstellen dat een presentatie of praatje over cyberrisico’s na een tijdje wegzakt waardoor mensen hun alertheid verliezen. Om onze medewerkers continu scherp te houden, oefenen we het hele jaar door met phishing.”
Oefenen met phishing. Wat moet ik me daarbij voorstellen?
“Medewerkers ontvangen een aantal keer per maand gesimuleerde phishing e-mails die variëren van simpele tot hele geniepige berichten. Zo kregen medewerkers in de eerste maanden van de coronacrisis een bericht dat zogenaamd afkomstig was van een interne afzender en waarin stond: ‘We hebben gedetecteerd dat je een langere periode wel was ingelogd, maar je muis niet bewoog. Log hier in om het verslag te bekijken.’ Je kunt je wel voorstellen dat sommigen hier geïrriteerd op kunnen reageren en in een opwelling klikken. En dat is precies wat hackers doen. Met een prikkelende e-mail die afkomstig lijkt van een betrouwbare afzender, proberen ze jouw interesse te wekken of je uit de tent te lokken. Gelukkig worden onze medewerkers door de continue trainingen steeds alerter hierop.”
Is deze vorm van trainen succesvol?
“Phishing training vind ik één van de beste investeringen als het gaat om het vergroten van awareness voor cyberrisico’s. Het is eigenlijk heel simpel. Als medewerkers niet in zo’n trainingsmail trappen en deze op de juiste manier aan ons rapporteren, krijgen ze complimentjes, tips en punten. We werken dus met gamification. Rapporteren ze een echte phishing e-mail die ons security systeem niet heeft onderschept? Dan komt dat bericht terecht bij een speciaal phishing team. Daar zijn we natuurlijk blij mee, want vervolgens kan dat team die foute e-mail bij anderen uit de inbox vissen.”
Doen bestuurders en directieleden ook mee aan deze training?
“Alle medewerkers van NN Group doen mee. En, deze training is juist belangrijk voor bestuurders, directieleden en hun secretariële ondersteuning, want zij zijn relatief vaak het doelwit van cybercriminelen. Om een voorbeeld te geven werd de top van Pathé eind 2018 het slachtoffer van CEO-fraude. De Nederlandse directie werd via een phishing e-mail, die afkomstig leek van de Franse CEO, benaderd om een flink geldbedrag over te maken voor een geheime overname. Na de transactie bleek het te gaan om een vals verzoek. Door regelmatig te oefenen, proberen we dit risico binnen NN Group zo klein mogelijk te maken.”
Tot slot, wat wil jij andere verzekeraars meegeven?
“Train medewerkers op phishing. Niet eenmalig, niet jaarlijks maar maandelijks of wekelijks. Niet duur, wel effectief!”
Lees ook de andere delen uit deze interviewreeks:
Simon Greve (VIVAT): Hoe goed zit onze digitale voordeur op slot?
Enriko Groen (Achmea): Verzekeraar kan ontwikkelingen niet in z’n eentje bijbenen
Jacco Jacobs en Rogier Besemer (DNB): Bestuur verzekeraar kan IT-security kennis versterken