Security awareness training in 20 minuten?

Dat bewees Fred Byrman afgelopen week (13 juni) tijdens het grote Port Security Seminar 2019 dat SERIS Security had georganiseerd in samenwerking met STC Training & Consultancy. Tijdens het drie uur durende seminar kregen de bezoekers in twintig minuten een doortimmerd en logisch in elkaar overlopend geheel aan feiten opgediend met als rode draad de zwakke schakel in elke beveiligingssetup: de mens.

Als bevlogen spreker die zich al 15 jaar bezig houdt met ISPS (EU verordening 725/2004) wist hij de zaal te boeien en ging van wetgeving, wettelijke verplichtingen en eisen via directiebetrokkenheid (ISPS artikel A/17.3) en screening op basis van risico-inventarisatie met betrekking tot menselijke factoren (ISPS artikel A/15.5 lid 4) naar toetsing van beveiligingsmaatregelen aan de doelstellingen (ISPS artikel A/16.3 met name de leden 1 en 2) en uiteindelijk cyber security (ISPS onder andere B/15.16 lid 5).

Vanuit een ISO gedachte is directiebetrokkenheid niet nieuw. Kwaliteit en alle andere zaken die terug te vinden zijn in de diverse andere normen zijn geen zaken die bij een KAM manager of functionaris worden neergelegd om vervolgens vergeten te kunnen worden. De directie moet betrokkenheid tonen (aantoonbaar) en de nodige ondersteuning bieden ter verwezenlijking van de doelstellingen. Maar wist u dat iets vergelijkbaars te vinden is in de ISPS code? Het verplichte artikel A/17.3 stelt dat de PFSO “de nodige steun dient te krijgen bij de vervulling van de taken en verantwoordelijkheden die krachtens hoofdstuk XI-2 en dit Deel van de Code [A] op hem rusten”.

Het is dan ook begrijpelijk dat als wij een PFSP schrijven dit aanvangt met een beleidsverklaring waarin de directie haar steun toezegt voor de PFSO, de nodige middelen beschikbaar belooft te stellen voor het verwezenlijken van het doel en dit laatste wordt omschreven met het citeren van de functionele eisen uit artikel A/1.3.

Een gemis in de ISPS code is dat nergens expliciet wordt geëist dat bij personen die in aanraking komen met gevoelige informatie, zoals de beveiligingsrisico-inventarisatie en het beveiligingsplan, gescreend moeten worden. Maar dit betekent niet dat het geen onderdeel hoeft te zijn van de risicobeoordeling. In artikel A/15.5, lid 4 van de ISPS code staat namelijk dat de veiligheidsbeoordeling van de havenfaciliteit ten minste (onder andere) dient te omvatten:

Identificatie van zwakke plekken, met inbegrip van menselijke factoren, in de infrastructuur, beleidsmaatregelen en procedures”. Vervolgens haal ik graag een tekst aan uit de havenbrede richtlijn (EU richtlijn 65/2005) die zegt dat “Met dit doel dient de beoordeling minstens betrekking te hebben op: ….. vaststellen welke leden van het havenpersoneel onderworpen moeten worden aan backgroundchecks en/of een veiligheidsonderzoek omdat zij contacten hebben met gebieden met een hoge risicograad.

Gebieden kan hier gelezen worden als zowel fysieke als virtuele gebieden. De PFSO is de persoon die toegang heeft tot veel zeer gevoelige beveiligingsinformatie, dus dat die gescreend wordt is vanzelfsprekend. Daarnaast is het een geruststellende gedachte dat met de inzet van beveiligers van vergunde beveiligingsorganisaties deze screening al is afgedekt voor wat betreft de beveiligingsmedewerkers en in ons geval ook de beveiligingsadviseurs.

Voor wat betreft de verplichtingen die de ISPS code oplegt aan havenfaciliteiten bestaat nog al wat onduidelijkheid. De ISPS code kent twee delen, waarvan deel A wordt aangemerkt als ‘verplicht’ en deel B als bevattende ‘richtlijnen ter invoering van deel A’. In het voorwoord van de code wordt gesteld dat de artikelen B/16.3 en B/16.8 (minimumnormen voor het veiligheidsplan van een havenfaciliteit) gelezen dienen te worden ‘als waren deze dwingend’. Maar vervolgens bevatten veel van de andere artikelen in paragraaf B/16 het woord ‘dienen’. Een voorbeeld hiervan is artikel B/16.18. Hierin staat dat:

Degenen die toegang tot de havenfaciliteit willen verkrijgen, onderworpen dienen te kunnen worden aan het fouilleren of doorzoeken.

Dat ‘dienen’ wekt de indruk van een verplichting. Hoe zit dat? Met het werkwoord ‘dienen’ grijpt de wetgever terug op het (verplichte) artikel A/16.3, en in dit geval specifiek op lid 1 van dit artikel. Hierin staat dat de havenfaciliteit maatregelen moet nemen

Indien de inhoud van zakken, tassen, dozen en voertuigen niet wordt gecontroleerd, al is het maar steekproefsgewijs als een vorm van afschrikking, kan niet gesteld worden dat maatregelen zijn genomen zoals bedoeld in voornoemd artikel. Een ander voorbeeld is artikel B/16.13. Hierin wordt onder meer gesteld dat allen

Die hun identiteit niet kunnen of willen aantonen en/of bevestigen wat het doel van hun bezoek is geweigerd dienen te worden.

Ook hier grijpt de wetgever met het woord ‘dienen’ terug op artikel A/16.3, en in dit geval specifiek op lid 2 van dat artikel, waarin staat dat de havenfaciliteit maatregelen moet nemen

Om te voorkomen dat onbevoegden toegang krijgen tot de havenfaciliteit, tot in de havenfaciliteit aangemeerde schepen, en tot de verboden terreinen van de havenfaciliteit.

En ook in artikel A/1.3 (functionele eisen) staat voorkomen dient te worden

Dat onbevoegden toegang krijgen tot schepen, havenfaciliteiten en bijbehorende verboden terreinen.

Indien de identiteit van een persoon niet is vastgesteld kan niet met zekerheid gesteld worden dat geen onbevoegde toegang heeft gekregen.

Cyber incidenten zijn een constante dreiging die nog steeds ernstig onderschat wordt. Het is belangrijk om op de hoogte te blijven van dreigingen en actuele ontwikkelingen en de spreker leest veel van de rapporten die op dit gebied met grote regelmaat uit komen. Voor het onderwerp cyber security hebben we cijfers gebruikt onder meer afkomstig uit de meest recente rapporten van Phishlab, Symantec, Verizon en Datto. Wist u dat mensen in 4% van de gevallen op phishing e-mails klikt en dat, naar mate mensen meer hebben geklikt zonder dat dit gevolgen had (bijvoorbeeld door een goede beveiliging van uw netwerk waardoor gevaarlijke links niet worden geopend), de kans dat ze het weer doen toe stijgt naar ruim 20%? Dit zijn beangstigende cijfers.

Phishing is een vorm van digitale oplichting. Phishing gebeurt via e-mail, WhatsApp en sms (smishing), waarbij slachtoffers bijvoorbeeld naar een valse website worden gelokt waar ze vervolgens hun bank- of andere inloggegevens prijsgeven of waar hun PC wordt besmet met malware (kwaadaardige software). Bij spear phishing betreft het een gerichte aanval op een organisatie of een persoon. Maar medewerkers kunnen ook gebeld worden met verhalen die op hun gevoel inspelen zoals hun vertrouwen winnen of angst aanpraten, om ze informatie te ontfutselen of naar webpagina’s te laten gaan en bepaalde links te klikken of software te installeren.

De mens is het meest kwetsbare in de gehele keten, deels door te goed zijn van vertrouwen maar zeker ook door een gebrek aan kennis. Omdat dit gebrek aan kennis zich rechtstreeks laat vertalen in risico’s voor de werkgever (zie grafiek rechtsboven) is het zaak te investeren in training van medewerkers. En uiteindelijk is daar nog de malicious insider, de bekende binnen het bedrijf of zelfs een medewerker, met slechte bedoelingen. Screening zoals eerder besproken is geen garantie om dit tegen te houden, maar een bedrijf kan wel enkele simpele zaken doen om de kans hierop zo klein als mogelijk te maken. Durf de eis tot screening breder toe te passen dan alleen de PFSO. Denk goed na wie toegang hebben tot gevoelige informatie maar ook tot locaties en systemen waar men schade kan doen. Om een besmette USB stick in een systeem te steken zijn tenslotte geen bijzondere rechten op dat systeem nodig. Herhaal met een vaste regelmaat de screening zoals eerder besproken. En zorg dat bij een uitdiensttreding alle stappen worden gezet die nodig zijn om te voorkomen dat pasjes onbedoeld in omloop blijven en toegangscode’s en passwords onnodig actief blijven. Moeilijk? Omslachtig? Duur? Probeer eens een geslaagde (cyber)aanval! Alle reden dus om screening en security awareness van medewerkers op orde te hebben!

Fred Byrman is Senior Security Consultant, Port Security Trainer & Gast docent STC Training & Consultancy, ISPS & ISO 9001:2015 Auditor en Lecturer.