Social engineering is een vorm van cybercrime om gevoelige informatie te ontfutselen. Criminelen gebruiken psychologische technieken om medewerkers te beïnvloeden. Het is daarom cruciaal om personeel voldoende te trainen en de weerbaarheid te vergroten. Kunnen zij eenvoudig worden overgehaald om ongeoorloofde wijzigingen aan te brengen in informatiesystemen? Of klikken ze wel erg makkelijk op een phishing-link? Studenten van Hogeschool Inholland kunnen zo’n training als mystery guest op zich nemen en zo op een bijzondere manier praktijkervaring opdoen. Leerwerkbedrijf InCollab ondersteunt het project.
Social engineering is vaak het startpunt voor een geavanceerde aanval. Criminelen azen op informatie of inloggegevens die absoluut niet voor de buitenwereld bestemd zijn. Ze melden zich onder valse voorwendselen bij de receptie van een bedrijf, of ze bellen op en zeggen dat ze gegevens zijn verloren, zegt Nita Graafland, docent Recht bij Hogeschool Inholland en projectleider bij InCollab. ‘Iedereen weet nu wel dat cybercrime een bedreiging is, maar er is vooral aandacht voor hacken en phishing. Mensen miskennen vaak andere manieren om op slinkse wijze achter informatie te komen.’
Tien stappen verder
Terwijl iedereen net een beetje gewend is aan het veilig opslaan van passwords en inlognamen, zijn criminelen alweer tien stappen verder, waarschuwt Graafland. ‘Als één route wordt afgesloten, vinden ze wel weer een andere manier. Ze spelen in op de charmes van het menselijk contact. Je zou ze bijna de loverboys binnen het mkb kunnen noemen: ze gebruiken in feite hetzelfde verleidingsmechanisme. Mensen denken vaak: daar trap ik toch niet in, maar in programma’s als Opgelicht zie je dat het toch mis kan gaan.’
Beter bestand
Studenten van de opleiding Integrale Veiligheidskunde van Hogeschool Inholland willen ondernemers graag helpen met de weerbaarheid tegen social engineering, weet Graafland. ‘Onze studenten willen hun kennis over social engineering in de praktijk toepassen. Voor de ondernemer is het een buitenkans om meerdere onderdelen van zijn organisatie door te lichten. Een mysterie guest gaat aan de slag en meldt zich met een specifieke opdracht aan de balie of aan de telefoon. De ondernemer kan die opdracht vooraf in samenspraak met de studenten samenstellen.’
Aan het project gaat nog een enorme voorbereiding vooraf, benadrukt Graafland. ‘De studenten moeten eerst bekijken op welke onderdelen de ondernemer gecheckt wil worden en welke vragen ze daarvoor moeten stellen. We hebben te maken met AVG-technische zaken; ook die worden helemaal gecoverd. Het voortraject begint nog voor de zomervakantie, zodat we in september kunnen starten.’ De checks zullen in principe in ‘real life’ plaatsvinden. Mocht het nodig zijn, dan liggen de scenario’s voor een coronaproof-variant ook klaar.
Aanbod
De resultaten van het mystery guest-bezoek zijn na afloop eenvoudig te vergelijken met andere afdelingen of met voorgaande keren. Een mooi instrument dus om de vooruitgang te meten of te kunnen zien in hoeverre is de ondernemer beschermd of bestand is. ‘Normaal gesproken betaal je heel veel voor securitybedrijven. Het leuke is dat we dit als hogeschool ‘cadeau’ kunnen geven aan ondernemers. Dit is ook geen voor de hand liggende opdracht voor de studenten. Ze benaderen de ondernemers en leggen de resultaten terug bij de docent. Die gaat ermee aan de slag.’
Iedere ondernemer krijgt minstens één contactpersoon toegewezen, afhankelijk van het aantal aanmeldingen. De eerste veertig ondernemers hebben sowieso geluk. Als zich minder ondernemers aanmelden, krijgen ze twee of meer studenten ’tot hun beschikking’. MKB-Rotterdam heeft zich ook aangemeld, vertelt Graafland. In het eindrapport krijgen ondernemers ook een advies over oplossingen, in de vorm van een security awareness-programma of training.
Inmiddels bestaat InCollab uit een team van zo’n 25 gemotiveerde studenten, ondersteund door docenten en deskundigen. De komende tijd nemen we op deze plek onder meer acht oplossingen van InCollab onder de loep. Enkele voorbeelden zijn: Terugverdienen van de NOW-regeling, Zorgen voor vooruitbetalingen, Opzetten van MKB-campagnes en Crowdfunding. Klinkt het bovenstaande u als een goed en relevant aanbod voor uw organisatie, neem dan contact op met nita.graafland@inholland.nl