Social Engineering: nog steeds dodelijk effectief

beurs-drukte630375Deze week zijn er in Nederland tal van activiteiten waarbij het draait om veiligheid. Je kunt naar Utrecht gaan voor de bekende security beurs of naar een van de talloze kleinschaligere bijeenkomsten die leveranciers organiseren. Hoe verschillend de activiteiten ook zullen zijn, iedereen zal er te horen krijgen dat het met veiligheid in het algemeen, en online veiligheid in het bijzonder, nog steeds niet goed is gesteld.

Op dat punt kan er een sales verhaal worden gestart, maar evenzo is het mogelijk de aanname over onveiligheid te gebruiken als startpunt voor een gesprek over de zwakste schakel in de keten: de mens. Of het leuk vinden of niet, het aantal datalekken, servercrashes en andere incidenten waarbij iets tijdelijk of blijvend verloren gaat waarbij human error kan worden aangeduid als voornaamste oorzaak blijft gewoon erg groot. Die error wordt veelal ingegeven door onwetendheid of onoplettendheid. Boze opzet kan hier ook een rol spelen (“wraak nemen op de werkgever”) maar is vooral een andere categorie. Wat betreft onoplettendheid: het gaat hier niet uitsluitend om het per ongeluk open laten staan van poorten of een configuratie ongetest opleveren. Een veel groter gevaar is nog steeds social engineering. De term is bekend, wat er onder valt zal ook wel duidelijk zijn en toch blijkt dat nog steeds een van de meest effectieve manieren te zijn om toegang te verkrijgen tot systemen en/of data.

Wie nu roept: “ja maar dat zal mij niet overkomen want …..” zal verbaasd zijn over het aantal Amerikaanse organisaties waarbij awareness trainingen zijn gegeven, nummer herkenning verplicht is en het toch fout ging. Dat werd maandag nog eens alle aanwezigen op het NCSRA symposium (Nationale Cyber Security Research Agenda) uitgelegd. Als hoster, provider moet je je zelf wapenen tegen de dodelijk valkuil die social engineering heet door in ieder geval kritisch te kijken naar de procedures die je hebt voor het verstrekken van zaken als inloggegevens. Tegelijkertijd is het helemaal niet zo raar daar ook vaker met de klanten over te communiceren. Wel bij voorkeur op een andere manier dan de banken het doen, want die boodschap is een grijs gedraaide plaat die niet meer opvalt. Als je trouwens niet weet hoe je die boodschap helder en ondubbelzinnig overbrengt heb je al een indicatie dat je communicatietraject ruimte laat voor lieden die bedreven zijn in social engineering.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen