Net of je mensen gaat straffen omdat ze te dicht bij de afgrond staan. Normaliter zet je er dan een hekje voor. Of dat je ze gaat bestraffen omdat ze met hun vingers te dicht bij (noem een industrieel apparaat) kwamen en nu een vinger moeten missen. Normaliter bouw je zo'n apparaat zo dat je bijvoorbeeld met beide handen een knop moet bedienen voordat het ding zijn ding doet.

Kijk, als toeristen dan toch over hekjes klimmen en werknemers moedwillig de bescherming erafhalen, ja dan. Maar dat is hier nog lang niet het geval. De software zit vol met "hulpvaardigheden" die precies omgekeerd werken en wordt bediend door mensen zonder enige training -- de software wordt verkocht als zou die "intuitief" zijn en dus zouden gebruikers geen training nodig hebben. Dan is het dus niet redelijk om de gebruiker de schuld te geven als al die intuitieve hulpvaardigheid samenspant om infectie en misbruik door derden makkelijk, lucratief, en dus aantrekkelijk te maken.

Zolang de industrie dat niet wil snappen blijven we aanmodderen.

Op zich is het wel logisch dat werknemers die bijlages van malware openen hiervan gevolgen ondervinden op de werkplek. Een stevige reprimande, misschien uitstel van een bepaalde promotie of een slechtere beoordeling. Een kleine, zeer milde straf zou wel kunnen helpen.
Maar je kunt je ook afvragen waarom iedere werkgever nou precies internet-toegang en email nodig heeft. En of die behoefte niet voorzien kan worden door gebruik te maken van systemen die minder gevoelig zijn voor malware. Aangezien er toch steeds meer cloud-toepassingen komen die vanuit de webbrowser werken denk ik dat veel medewerkers met een eenvoudiger, op Linux of FreeBSFgebaseerd systeem een behoorlijk eind kunnen komen. En dan heb ik het over Android, de iPad en de Chrome OS systemen. Vooral Chrome OS is daarbij handig omdat deze is gebouwd op de Linux kernel en vrijwel alleen gebruikt kan worden voor web-toepassingen met een beetje offline mogelijkheden.
Niet iedere medewerker heeft een grote Windows-box nodig met alle toeters en bellen erbij...

Sinds wanneer heeft de werkgever niet meer de plicht om malware- en phishing-filters in te richten?
Natuurlijk moet je als medewerker ook opletten, maar als de bijlage zo slim is gemaakt dat hij die standaard filters kan omzeilen, is het dan ook niet te verwachten dat de medewerker dat ook lastig kan zien?

Het één sluit het ander niet uit.
En een technische check kijkt , in zekere zin, naar heel andere dingen dan een gebruiker. Idealiter vullen die elkaar aan.

Als , laten we zeggen, een bijlage technisch door de check komt, als aanprijzing 'Doutzen helemaal naakt' heeft, en de gebruiker heel veel moeite moet doen om die te openen (bijvoorbeeld rar downloaden, password opzoeken).

Dan is de gebruiker die alle moeite gaat doen om z'n bestand te openen toch wel iets te verwijten.
Niet altijd kan een filter policy gesteld worden waarbij 'alles wat fout _zou_ kunnen zijn' geblokkeerd wordt.

Aan de andere kant, een HR afdeling die een PDF van een 'open sollicitatie' opent is natuurlijk minder te verwijten.

Ik ontving een keer, toen ik nog voor een bank werkte, een e-mail van een extern adres, waarin ik namens HR uitgenodigid werd om op een externe website mee te doen aan een quiz over hoe goed ik het bedrijf kende. Mijn eerste gedachte was dat dat een manier kan zijn om dingen over het bedrijf te weten te komen. Ik heb HR gebeld om te vragen of dit iets was waar ze van wisten, en jawel: ze hadden het georganiseerd. Ik wees erop dat dit verdomd moeilijk van phishing was te onderscheiden omdat het a) niet via interne communicatiekanalen was aangekondigd, b) de uitnodiging niet van een intern adres kwam en c) de quiz-website niet intern gehost was. En ik meldde dat als je je medewerkers verstandig omgaan met IT probeert bij te brengen (er was recent een instructie rondgestuurd over hoe je social engineering kan herkennen en hoe je erop moet reageren) het niet handig is om medewerkers te vragen om iets te vertrouwen op alleen het gegeven dat een externe partij *beweert* voor HR te werken.

Ze snapten niet waar ik me druk om maakte. Zij hadden de partij die ze hadden ingeschakeld zorgvuldig geselecteerd, het contract was goed dichtgetimmerd qua bewaken van de vertrouwelijkheid, dus was er niets aan de hand. "Waar zie je ons voor aan?" zei de toon waarop dat gezegd werd, al werd het niet letterlijk gezegd. Ik heb geprobeerd om uit te leggen dat wat ze bij HR daarover weten onbekend is aan de meeste ontvangers van die e-mail, en dat alleen de bewering van een wildvreemde dat ze voor HR werken niet genoeg is om daarop te kunnen vertrouwen, dat juist dat aspect moeilijk van social engineering te onderscheiden is, en dat je, speciaal als je daar alertheid voor probeert te kweken, er goed aan doet om te zorgen dat alles wat authentiek is ook overduidelijk authentiek te laten zijn. Het kwam niet aan. Werkelijk totaal niet.

Ik heb sindsdien meerdere verhalen gehoord over soortgelijke acties bij andere bedrijven, inclusief andere banken.

Ik stel daarom voor dat we beginnen HR-medewerkers (en natuurlijk ook managers) te straffen voor het afgeven van verkeerde en tegenstrijdige signalen. Pas als ze er blijk van gegeven hebben zelf goed te functioneren in dit opzicht kan overwogen worden ze een rol te geven in het opvoeden van anderen.

Weet wat je moet doen? Mensen straffen als ze op een phishing link hebben geklikt. Het aantal meldingen zal spectaculair dalen en het probleem is opgelost!

Als je simpel bent. Iedereen die een picoseconde langer nadenkt realiseert zich dat niemand meer zal melden en dat er daardoor malware actief blijft. Slim hoor. Ik zou in Florida maar even doorzoeken naar een bedrijf dat wel kan denken.

Het lijkt mij een simpel verhaal. Alle mail die binnen komt in een bedrijf is voor het bedrijf waardoor het bedrijf het recht heeft alles in te zien. Werk is werk, privé is privé. Hierdoor kun je mail afvangen aan de poort en alle mail met een link erin of attachment stoppen. Dan laat je hier eerst een proggie of een Security officer op los en pas als het veilig is dan gaat het door.

Grote bedrijven werken allemaal met postkamers en er zijn veel systemen waar de brieven gescand worden iin de postkamer en digitaal doorgestuurd naar de betreffende medewerker. Hierdoor komt de brief met bijvoorbeeld antrax of pakje met bom bij de postkamer en niet bij de medewerker. De postkamer heeft voorzieningen en procedures hoe ze handelen in deze gevallen.
Simpel bekijken want het wiel hoeft niet opnieuw uitgevonden te worden.
Als er brieven worden geopend en ingescand om digitaal door te sturen hoor je niemand klagen over privacy want het is een geaccepteerd fenomeen. Dit kan met mail ook.

Hier ook een vergelijkbaar iets meegemaakt. Niet van HR, maar een andere afdeling. Toen er klachten over binnen kwamen bij de security afdeling deed de dienstdoende beheerder het enige juiste: blokkeren van de betreffende website.

De volgende dag natuurlijk veel gedoe vanuit management, maar ik heb hem gecomplimenteerd met de goede actie. En management is er nu ook van doordrongen.

Let op: management =/= alle managers

Peter