Onzichtbare dreiging: wil je een vragenlijstje voor me invullen?
In een wereld waar informatie macht is, zijn bedrijven steeds vaker het doelwit van buitenlandse partijen die op zoek zijn naar concurrentiegevoelige of strategische informatie. Wat veel bedrijven zich niet realiseren, is dat deze dreiging zich niet altijd manifesteert in geavanceerde cyberaanvallen of fysieke inbraken. Steeds vaker worden medewerkers subtiel benaderd via sociale netwerken of andere kanalen, met ogenschijnlijk onschuldige verzoeken. Deze indirecte aanpak kan grote gevolgen hebben voor de informatiebeveiliging binnen een organisatie.
Buitenlandse partijen, waaronder inlichtingendiensten en concurrerende bedrijven, maken gebruik van social engineering-technieken om informatie te vergaren. Hierbij worden medewerkers benaderd via platforms zoals LinkedIn, Facebook of zelfs via e-mail en telefoongesprekken. Deze contacten lijken vaak onschuldig, maar zijn zij dat ook?
Subtiele vragen
Iemand doet zich voor als journalist en vraagt om een interview over algemene trends in de branche. Je voelt je gevleid. Tijdens het gesprek worden subtiel vragen gesteld die kunnen leiden tot het onthullen van gevoelige informatie. Herkenbaar? Een zogenaamde recruiter biedt een interessante functie aan in een concurrerend bedrijf en vraagt om details over huidige projecten om de geschiktheid te beoordelen. Of heb je weleens van deze gehoord? Er wordt een voorstel gedaan om tegen betaling mee te werken aan een marktonderzoek of branche-analyse, waarbij ogenschijnlijk onschuldige informatie wordt gevraagd die strategisch waardevol kan zijn.
Makkelijk geld verdienen
Deze methoden zijn effectief omdat medewerkers vaak denken dat zij zelf niet interessant genoeg zijn om doelwit te zijn. Echter, zelfs kleine beetjes informatie kunnen gebruikt worden om een groter beeld te vormen of om via hen toegang te krijgen tot collega’s met gevoelige kennis. En wat te denken van het goede gevoel dat je krijgt? Wow, ik word als expert gezien. De kritische houding die je normaal gesproken hebt, verdwijnt als sneeuw voor de zon. Ook de vergoeding die tegenover het leveren van de -naar het lijkt onschuldige- informatie staat kan aantrekkelijk zijn. Hoe makkelijk is het om een paar honderd euro binnen te harken voor een simpel vragenlijstje of interview? En zeg nou zelf: jou ontfutselen ze echt geen gevoelige informatie. Jij geeft geen bedrijfsgeheimen prijs. Nee, niet direct waarschijnlijk….
Voorbeelden uit de praktijk op een rijtje
Let’s connect op LinkedIn! Een medewerker in de IT-afdeling wordt benaderd door een profiel dat zich voordoet als IT-consultant. Na enkele gesprekken vraagt deze persoon subtiele details over gebruikte software en beveiligingssystemen.
Netwerkevenementen: Tijdens een branche-evenement raakt een medewerker in gesprek met iemand die zich voordoet als onderzoeker. Dit gesprek leidt tot de uitwisseling van contactgegevens en later meer gedetailleerde vragen over interne processen.
Betaalde vragenlijsten/interviews: Een medewerker ontvangt een uitnodiging om tegen een vergoeding een vragenlijst in te vullen of een interview te geven over trends in de sector. De vragen lijken onschuldig, maar gaan -zonder dat je het in de gaten hebt- diep in op interne strategieën en besluitvormingsprocessen.
Al deze situaties zouden de alarmbellen moeten laten rinkelen. Natuurlijk, het kán allemaal volledig legitiem en volslagen ongevaarlijk zijn. Maar, weet je het zeker?
Wat kun je doen als medewerker?
Het is belangrijk dat je je als medewerker bewust bent van deze dreigingen en dat je weet hoe je hiermee om moet gaan. Wees daarom kritisch op contactverzoeken. Accepteer niet zomaar connectieverzoeken van onbekenden op LinkedIn of andere netwerken, vooral als ze vragen om details over je werk. Deel geen bedrijfsinformatie. Ook niet als de vragen onschuldig lijken. Algemene informatie kan gecombineerd worden met andere gegevens om een compleet beeld te vormen. Verifieer de identiteit en controleer bij twijfel de achtergrond van de persoon die contact zoekt. Zoek via betrouwbare bronnen of het profiel echt is. Meld verdachte benaderingen en geef verdachte contacten direct door aan de interne beveiligingsafdeling of je leidinggevende.
Advies aan werkgevers: vergroot de bewustwording
Ook aan werkgeverszijde ligt een schone taak. Werkgevers spelen een cruciale rol in het beschermen van hun organisatie tegen deze subtiele dreigingen. Door het geven van training en voorlichting kan een hoop ellende voorkomen worden. Organiseer bijvoorbeeld regelmatig security awareness-trainingen waarin medewerkers leren hoe social engineering werkt en hoe ze verdachte benaderingen kunnen herkennen. Een stapje verder ga je door dreigingen te simuleren. Voer periodiek social engineering-simulaties uit om medewerkers in de praktijk te laten ervaren hoe ze benaderd kunnen worden.
Aan de basis van al je activiteiten staan beleidsregels voor informatiedeling. Stel duidelijke richtlijnen op over wat medewerkers wel en niet mogen delen, zowel online als offline. Zorg daarnaast voor heldere meldprocedures én zorg als werkgever voor een laagdrempelige manier waarop medewerkers verdachte situaties kunnen melden. Uiteraard zonder angst voor repercussies. Maak tenslotte gebruik van technische oplossingen die helpen verdachte activiteiten te detecteren, zoals monitoring van ongebruikelijke netwerktoegang.
De zwakste schakel
Zonder een doemscenario te willen schetsen en ieder contact direct als bedreigend te willen neerzetten: de dreiging van buitenlandse partijen die via subtiele beïnvloeding informatie proberen te vergaren, is reëel en groeiend. Medewerkers vormen hierbij vaak de zwakste schakel. En ik ben ervan overtuigd dat dit merendeels niet uit onwil, maar uit onwetendheid is. Het vergroten van bewustwording en het implementeren van preventieve maatregelen zijn nodig om bedrijven weerbaar te maken tegen deze stille dreiging. Door proactief te investeren in voorlichting, beleid en technologie kunnen bedrijven voorkomen dat kleine lekken leiden tot grote risico’s. Ik ben benieuwd: wat is jouw mening hierover en hoe staat jouw organisatie hierin?