Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Waarom security-awareness verplichte kost moet zijn

Dit artikel delen:

Computable Expert

Henri Koppen
Directeur, THINGKS. Expert van Computable voor de topics Digital Transformation, Cloud Computing en Start-ups.

In mijn vorige blog schreef ik waarom de basisregels van veilig online-gedrag eigenlijk al op de basisschool aangeleerd moeten worden. In deze bijdrage ga ik een stap verder: waarom het volgen van een security-bewustzijnsprogramma voor iedereen verplicht zou moeten zijn.

Veel bedrijven bieden hun medewerkers op basis van vrijwilligheid een cybersecurity-awareness- programma aan. Daar konden medewerkers aan meedoen, maar ook niet. Mijn mening over deze gang van zaken begint te veranderen en ik zal uitleggen waarom.

Pathé

"Twee medewerkers maakten in totaal achttien miljoen euro over naar een buitenlandse rekening in Dubai"

In 2018 werd bioscoopketen Pathé slachtoffer van ceo-fraude. Twee medewerkers maakten in totaal achttien miljoen euro over naar een buitenlandse rekening in Dubai. De medewerkers zijn ontslagen, en deze casus zou geruisloos in de geschiedenisboeken zijn verdwenen als een van de medewerkers zijn ontslag niet had aangevochten. Zo kwam deze oplichting in het nieuws. De medewerker won de rechtszaak en Pathé moest alsnog het salaris doorbetalen. Het argument? De medewerker beriep zich erop dat hij nooit gewaarschuwd was voor ceo-fraude en zijn baas hem nog nooit een cybersecurity-awareness-training had laten volgen.

Bouwterrein

Op een bouwterrein gelden tal van veiligheidsregels. Van iedereen die zich op zo’n terrein bevindt, wordt verwacht dat hij de juiste persoonlijke beschermingsmiddelen draagt en veilig werkt. Doet iemand dat niet? Dan wordt hij erop aangesproken. Dit zorgt er natuurlijk niet voor dat er helemaal nooit meer wat misgaat. Maar het is duidelijk dat er minder incidenten plaatsvinden dan in landen waar de Arbo-regels wat 'soepeler zijn'. Soms lijkt het behalen van een VCA (Veiligheid, gezondheid en milieu checklist aannemers) en het ter plaatse volgen van de veiligheidsinstructies op het zetten van een vinkje. Maar het heeft een positieve impact op de veiligheid. En iedereen vindt het normaal.

Zwakste schakel

"Maar of de systemen ook écht veilig blijven, is mensenwerk"

Vergelijk dit nu eens met de situatie van onze informatieveiligheid en privacy. Hacks en incidenten met gevoelige data zijn dagelijks in het nieuws. Persoonsgegevens die buitgemaakt worden. Ransomware die systemen op slot zetten. Allemaal omdat we wachtwoorden hergebruiken, tweestapsverificatie niet gebruiken of achteloos klikken op linkjes. Grote schade, en in sommige gevallen doet dit zelfs een organisatie de das om. 

In de bouw is de werkgever verantwoordelijk voor het creëren van veilige arbeidsomstandigheden, en stelt hij persoonlijke beschermingsmiddelen beschikbaar. Maar uiteindelijk bepaalt het gedrag van werklieden zelf of er veilig gewerkt wordt. Dit geldt ook voor informatieveiligheid en cybersecurity. Een goed beveiligd it-systeem helpt. En een it-afdeling die alert is op kwetsbaarheden en op tijd de juiste maatregelen neemt ook. Maar of de systemen ook écht veilig blijven, is vooral mensenwerk: menselijk gedrag blijkt vaak de zwakste schakel. 

Impact en accountability

In een eerder artikel schreef ik dat het gek is dat we nergens leren hoe we goed omgaan met onze online-veiligheid. Een volgende stap zou moeten zijn dat we dit leren verplicht stellen. De impact van cybercrime is immers groot. Niet alleen financieel maar ook op de mens zelf. Online-veiligheid is dus noodzaak en hoort erbij. Dan gaan we het vanzelf normaal vinden. Net dat je het gewoon vindt om veiligheidsregels op een bouwplaats op te volgen omdat je weet dat die letsel voorkomen. 

Een ander argument waarom het verplicht stellen van een awareness-programma een steeds beter idee is: accountability. Zie de Pathé-casus. De medewerker kreeg van de rechter gelijk: hij kon aantonen dat hij geen enkele training had gehad op het gebied van cybersecurity. 

Stel dat jouw organisatie veel schade oploopt door een cyberaanval. En stel dat een belanghebbende dan vraagt wat er gedaan is om het te voorkomen, en je hebt dan geen goed verhaal… Dan krijg jij de schuld. Natuurlijk, als jij je medewerkers een cybersecurity awareness-training aanbiedt, en ze deze nauwelijks volgen, dan heb je nog steeds een zwak verhaal.

Leren

Ik was nooit zo’n voorstander van verplicht stellen. Niet alleen wekt zoiets weerstand op, maar mijn angst was ook dat het dan alleen nog maar zou gaan om het zetten van de vinkjes voor de compliance. Ofwel: indekken. Toch kom ik daarvan terug als ik kijk naar bewustzijnstrainingen. Zonder enige druk vanuit de organisatie is het percentage medewerkers dat deze programma's volgt klein, ook na stimulans en met goede ambassadeurs. Wij zien nu voorbeelden van bedrijven die het programma wél verplicht stellen en het meenemen in het jaarlijkse voortgangsgesprek. Niet alleen schiet logischerwijs de deelname omhoog, ook de gemiddelde waardering van medewerkers blijkt prima in orde. Hun weerstand valt mee, en uit de feedback blijkt dat veel mensen toch echt iets geleerd hebben en bereid zijn hun gedrag aan te passen.

Natuurlijk heb je daarvoor wel een aantrekkelijk programma nodig. Daarbij helpt de strategie om mensen te helpen met hun online-veiligheid thuis. Iedereen gebruikt online-diensten en we hebben allemaal een smartphone. Als we leren om daarmee veilig om te gaan, nemen we die kennis mee naar ons werk. Zo wint iedereen: de medewerker beschermt zich beter online, en daarmee ook de organisatie. Zo verlaagt het risico op een succesvolle cyberaanval.

Gebeuren er dan helemaal geen incidenten meer als medewerkers een training volgen? Natuurlijk niet. Maar het helpt - net als bij inbraakbeveiliging - al enorm als je meer doet dan je buurman.

Lessons learned

Tot slot nog een paar take-aways om een cybersecurity awareness-programma in jouw organisatie  te doen slagen:

  • Draagvlak binnen de directie is essentieel. Het werkt extra sterk als zij het belang van cybersecurity zelf actief uitdragen en voorbeeldgedrag laten zien.

  • Het meeste resultaat behaal je als de organisatie er regelmatig aandacht aan besteedt. Organiseer events, of speel eens een serious game over cybersecurity. En herinner medewerkers ook eens aan de basisregels als ze níet achter hun computer zitten. Bijvoorbeeld via posters. 

  • Wil je het risico op een succesvolle cyberaanval in je organisatie echt verlagen? Stel deelname dan verplicht, en neem het mee in de jaarlijkse functioneringsgesprekken. 

Kan jouw organisatie het veroorloven om niets te doen?

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Even een reactie naar mijzelf zodat ik een mail krijg als er een reactie komt.

Henri,
Je hebt weer eens ergens een klok horen luiden maar weet niet waar de klepel hangt want hoewel Edwin S. zich beriep op het feit dat hij nooit gewaarschuwd was voor ceo-fraude ging de rechter daar niet in mee zoals onderstaande uitspraak laat zien:

https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:7881

Oudlid,

Met een training was het waarschijnlijk nooit gebeurd. De zaak kwam in het nieuws door het ontslag op staande voet, dit is aangevochten en zijn salaris is doorbetaald tot het einde van dat jaar. Tja, het is maar wat je klokken en klepels noemt. Dus je deed weer je best om wat te vinden, en dit is het beste waarmee je kon komen?

Henri,
Zoals je zelf al zegt ging het om ontslag op staande voet, dat is dus heel wat anders dan jij suggereert in je opinie. Als het beste is waarmee jij kunt komen halve waarheden en hele leugens zijn dan ga ik graag met je de strijd aan. Want als ik een rechterlijke uitspraak weet te vinden die een ander licht op de zaak geeft dan kun je wat spartelen met de jij-bak maar jij hangt aan de haak. Dingen anders voorstellen dan ze werkelijk zijn om er economisch beter van te worden is namelijk ook een vorm van fraude.

Oudlid, net als op mijn vorige artikel probeer je weer de dialoog te kapen. Bovendien kies je direct voor de persoonlijke aanval door te stellen dat ik geen verstand van zaken heb (klokken, klepels), vervolgens beticht je mij van fraude.

Nu had ik de zin iets anders kunnen opstellen "Het argument?" had kunnen worden "Een belangrijk argument?"
"De medewerker won de rechtszaak" is prima te verdedigen. Het enige wat je daar op af kunt dingen is dat hij voor zijn deel de proceskosten moest betalen. Maar in essentie heeft hij zijn directe ontslag succesvol aangevochten en iedereen snapt dat je na zo'n voorval niet in je functie kan aanblijven.

Als je het dan over de geest van het artikel hebt; security awareness is belangrijk en je zou dit verplicht moeten stellen en als dit bij Pathé was gebeurd dan het voorval waarschijnlijk nooit plaatsgevonden.

Als je nu in je eerste reactie iets had gesteld als "Ik lees iets anders in de uitspraak" en niet met een gestrekt been vooruit, dan wil ik daar best verder op in gaan, maar met de manier waarop je communiceert verleid je mij niet hier nog verder op door te gaan.

Tot slot: In dit stuk gaat het om de inhoud zonder reclame-show en wc-eend, anders was dit artikel nooit geplaatst.

Henri,
Of je erg geloofwaardig bent in je ontkenning over het verkopen van security-awareness programma's laat ik aan de lezers over, ik baseer me enkel op wat in je profiel staat want als het waggelt als eend. En in plaats van janken kun je me ook bedanken want het feiten verslag van de rechtbank geeft een inzicht over hoe e.e.a is gegaan. Omvang van CEO-fraude spreekt tot verbeelding maar Jan Modaal schuift niet eventjes een paar miljoen naar een bank in Dubai. Je had je monoloog over de Pathé-casus kunnen veranderen in een dialoog over whaling, de vriend-in-nood fraude met andere geldezels door de focus een klein beetje te verleggen. Bijvoorbeeld naar de modus operandi van social engineering door te wijzen op allerlei andere vormen van impersonatie fraude in plaats van de gebruikelijke jij-bak met: "Dan krijg jij de schuld."

Ja, ik beken schuld dat ik opzettelijk met gestrekt been erin ben gegaan omdat ik weet hoe je op de 'rode vlag' reageert en ik speel de 'blame game' daarom graag met je mee want verwijten dat ik de dialoog kaap is gewoon een afweermechanisme voor je eigen tekortkoming dat je over het onderwerp niet zoveel te vertellen hebt. Het kost namelijk minder moeite om een ander iets te verwijten dan jezelf te verbeteren. Ik zit tenslotte weken op mijn handen te wachten op deel 2 met talloze voorbeelden over hoe je gefopt kunt worden en dan kom je (weer) met niks. Je komt met een inhoudsloze reclame-show die de redactie alleen maar plaatst in de hoop dat ik reageer zodat het toch nog een leuke polemiek wordt.

"In dit stuk gaat het om de inhoud zonder reclame-show en wc-eend, anders was dit artikel nooit geplaatst."

Mijn reactie is ook een topper anders was die nooit geplaatst.
Ik hoop dat de security checks zelf wat kritischer zijn. Dat ze geen tests overslaan omdat iets claimt dat het al goed getest is.
wc-eend wil vast ook alleen maar schone toilletten en toevallig verkopen ze een product waarmee dat dat kan.
Ze gaan alleen niet zover dat het ze het eigenlijk verplicht willen stellen.

Henri, je hebt gelijk, een security awareness cursus is inderdaad van groot belang. En niet alleen voor werknemers.
Aansluitend bij je voorbeeld van Pathé. Een cursus security awareness zou ook gevolgd moeten worden door de CEO en andere directieleden. CEO-fraude is vooral mogelijk in een cultuur waar de CEO zelf zit te rommelen. Een afwijkend en risicovol verzoek van een valse CEO komt in zo’n cultuur niet vreemd over. Als de CEO ook nog eens slecht toegankelijk is voor “gezeur” over betalingsverzoeken, dan is het vragen om moeilijkheden. De directeuren van Pathé Nederland die in CEO-fraude zijn getrapt, kwamen beide uit bedrijven waar ze veel ritselen zijn tegengekomen. De managing director kwam bij het Havenbedrijf Rotterdam vandaan, de CFO was oud KPMG accountant. Daardoor waren zij wellicht minder alert op fraude en hadden de verkenners hun puppets goed uitgekozen. De fraude e-mails die Pathé heeft gekregen zijn voor een deel gepubliceerd. Ze vertonen de fraudestijl van London Blue-hackers uit Nigeria. “The transaction must remain strictly confidential. No one else must be made aware of it for now in order to give us an advantage over our competitors. I and I alone will notify the affected parties in due time “ Het moest heel snel gebeuren (weinig tijd om na te denken), het moest van de hoogste baas (legt extra druk), het moest geheim blijven (geen collega om mee te sparren), het geld moest via een vreemde manier geleverd worden (past bij het kletsverhaal over concurrentie). De gebruikte e-mail adressen van de “CEO” kwamen van een domeinnaam eindigend op pathe.com, maar niet van Pathé. Dat viel niet op, net als wel meer details.
De eerste fraudebetalingen bij Pathé Nederland zijn grotendeels door de managing director afgehandeld. De CFO, heeft daarna nog eens 2 grote fraudebetalingen uitgevoerd. De hackers hadden de smaak te pakken. Het hoofdkantoor van Pathé in Frankrijk heeft daarvoor voortvarend grote bedragen uit de gezamenlijke cash-pool ter beschikking gesteld. Het hoofdkantoor heeft dus ook ‘red flags’ gemist. De MD en CFO onderhielden tot maart 2018 geen rechtstreeks contact met de twee CEO’s van Les Cinémas Pathé Gaumont, en toen was het te laat. De ontslagen CFO zegt nu “Jouw bedrijfscultuur vormt het grootste gevaar.”


Even kijken waar de klepels hangen. De CFO is in eerste instantie op staande voet ontslagen. De CFO vond dat hij ten onrechte was ontslagen. De CFO zou door gebrek aan kennis van CEO-fraude ongemerkt en ongewild meegewerkt hebben aan de CEO-fraudebetalingen. (Overigens, op 11 juli 2015 werd op www.fraudehelpdesk.nl al gewaarschuwd voor zogenoemde CEO-fraude.) De CFO eiste wedertewerkstelling. Daar ging de rechtbank deels in mee. De rechtbank vond dat Pathé geen (dringende) reden heeft gehad voor ontslag op staande voet (wellicht omdat het hoofdkantoor ook enorme fouten heeft gemaakt). Het ontslag op staande voet is daarom vernietigd. Maar de rechtbank oordeelde op de tegenvordering dat de CFO wel alsnog gewoon ontslagen mocht worden vanwege de laatste 2 CEO-fraudebetalingen (te veel ‘red flags’ gemist voor een financieel verantwoordelijke oud accountant). De CFO kreeg met terugwerkende kracht een half jaar loon plus de wettelijke rente, maar geen ontslagvergoeding. Ook moest iedere partij de eigen juridische kosten dragen.

Bedankt Jaap voor je uitgebreide reactie. CFO van Pathé heeft inderdaad o.a. een whitepaper geschreven over dit onderwerp. Cultuur is van belang bij het risico op CEO fraude.

Wat als Pathé wel iets van training op dit onderwerp had aangeboden? Als de training niet was doorlopen had Pathé een sterke case gehad, als de training wel was doorlopen was er waarschijnlijk nooit een rechtszaak geweest, want dan had het voorval waarschijnlijk nooit plaatsgevonden.

Maar de CEO fraude dingetje is natuurlijk maar een onderdeel van het geheel. De meeste organisaties zijn kwetsbaar doordat de basis van veiligheid gedrag domweg niet wordt toegepast. Hiervan is keiharde data veelvuldig aanwezig. Het is tijd dat de vrijblijvendheid snel verdwijnt. Met alle dagelijkse voorbeelden in het nieuws kan de directie niet meer met droge ogen beweren dat ze van niets wisten als het toch gebeurde. Natuurlijk wordt er gehackt (Hof van Twente) en kwetsbaarheden soms te laat gepatched (Exchange), maar in praktisch alle gevallen is de mens de root-cause en niet de techniek zelf. Een digitaal programma lost dit probleem natuurlijk niet op, maar het is wel een eenvoudig te nemen stap in de goede richting die zijn investering dubbel en dwars waard is.

@Henri:

Allereerst mijn complimenten – op een of andere manier lukt het je steeds om behoorlijk wat reuring te weeg te brengen met je artikelen – nice! :-)

=====

Dan terug naar de inhoud.

“maar in praktisch alle gevallen is de mens de root-cause en niet de techniek zelf”

Inderdaad – en daarom zouden awareness trainingen inderdaad voor iedereen verplicht moeten zijn. Eventueel aangevuld met een (soort van) "rijbewijs" rondom IT gebruik.

Waar ik meer moeite mee heb is om eventuele resultaten een onderdeel te maken van de jaarlijke beoordelingsronde.
Nogmaals - awareness trainingen verhogen inderdaad de bewustwording rondom de risico’s bij de inzet van IT middelen; prive en zakelijk. En ja, de kans dat je als organisatie en/of persoon de cybercrime-dans ontspringt neemt toe.

Maar hoe zit het met “harde” resultaten? Kan je inderdaad stellen dat een organisatie (bijvoorbeeld) 63% minder kans maakt op malware/ransomware, CEO-fraude en wat-dies-meer-zij? Vermits iedereen training A-tot-D twee keer doorlopen heeft? Al dan niet in combinatie met een of meer toetsmomenten?

En als dat zo is, hoe ga je dit alles mee laten wegen op een individuele beoordeling? Kan je inderdaad stellen dat iemand minder risico-bewust is als (bijvoorbeeld) toetsresultaten negatief zijn? En hoe weeg je het cultuur-aspect?

=====

“Wat als Pathé wel iets van training op dit onderwerp had aangeboden? Als de training niet was doorlopen had Pathé een sterke case gehad, als de training wel was doorlopen was er waarschijnlijk nooit een rechtszaak geweest, want dan had het voorval waarschijnlijk nooit plaatsgevonden.”

Dit is de tweede keer dat je met die stelling komt. Waarop baseer je dit? En in hoeverre is het relevant?

Mijn 2-centen op de laatste (soort van) retorische vraag:
Je wil (terecht!) een lans breken voor awareness trainingen. Dan lijken me dit soort losse flodders nauwelijks of niet relevant. Al was het maar omdat geen van twee scenario’s onderbouwd kan worden - toch? Of heb ik ergens wat gemist?

Jaap,
Je aanvulling over MD en CFO zijn bekend maar inzet van discussie is de bewering dat Pathé een sterke(re) case had gehad - in ontslag op staande voet - als security-awareness training aangeboden was maar door CFO geweigerd. De klepel en de klok gaan om het feit dat Henri met die stelling niet alleen op de stoel van de rechter gaat zitten maar ook op die van de wetgever. En de tweede stelling - die hij blijft herhalen - is dat een security-awareness training waarschijnlijk een impersonatie fraude had voorkomen, een stelling waar ik een onderbouwing voor zou willen hebben met voorbeelden. En het lijkt erop dat ook Will hier iets meer zekerheid wil en zijn veer over 'reuring' steek ik maar in mijn kont want er kan maar één haantje zijn tussen alle WC-eenden;-)

Wat het ook allemaal mag zijn, het is een goed geschreven stuk met heldere zinnen. Kom er maar om!

Dag Will,
De reuring is bijna een vast recept. Ik schrijf, oudlid reageert de rest komt er ook in. 

Bedankt voor je reactie en vragen!  Hele goede vragen die ik graag beantwoord en met plezier zal toelichten.
Wat betreft het resultaat van de training meenemen in een jaarlijks gesprek. Daar bedoel ik echt alleen het deelnemen en afmaken. Niet de score.
 
Harde resultaten zijn natuurlijk lastig. Dat geldt ook voor een safety training op een bouwterrein. Hoe kun je een harde relatie leggen tussen de inhoud en het voorkomen van incidenten? Maar er is een duidelijke relatie dat bedrijven met een volwassen veiligheidscultuur minder incidenten hebben. Dat zie je over de hele linie. En in mijn volgende antwoord onderbouw ik dit ook. 

Namelijk, het geval Pathé waarin ik stel dat als de CFO (en MD) een training hadden gekregen dit nooit had plaatsgevonden. Kijk, je kent de voorbeelden wel van WhatsApp; "pap, ik heb een nieuwe nummer, want telefoon is in het water gevallen" en even later "Bankieren zit nog niet op mijn nieuwe telefoon, kun je heel even iets met spoed voor me overmaken?"  . Als je dit leest in een artikel zul je er niet meer intrappen als het gebeurd. Het artikel is in feite een vaccin. Ditzelfde geldt voor CEO fraude. Als je over de mechaniek leest ben je praktisch immuun voor heel veel varianten :-)  Dus ik zou dit principe zeker geen losse flodder willen noemen. Het vaccin is zeer effectief.

Nu leent helaas niet alles van een security awareness training voor zulke goede resultaten. Zo hergebruiken zeer veel mensen hun wachtwoorden terwijl ze nu wel weten dat dit een slecht idee is. In zo'n geval is tweestapsverificatie een redelijk vaccin met 99% dekking, maar ook dat wordt nog te weinig gedaan. En hier ga ik een (Inge) Wetzer doen: Voor gedragsverandering is er meer nodig dan alleen een training. Je moet mensen ook motiveren en de tools (ofwel de gelegenheid) geven om het gewenste gedrag te passen. Dus in geval van oplichting is weten vaak voldoende, maar cyber security awareness is natuurlijk veel breder dan alleen het social engineering aspect. 

De lans hier is dan ook voor het verplicht stellen van awareness training. Geheel geen training is echt geen optie meer. 

@Louis: Dank :-)

“het verplicht stellen van awareness training. Geheel geen training is echt geen optie meer”

Eens op beide punten. Maar als ik alles zo teruglees blijft het resultaat boterzacht met AVG/ISO-achtige situaties: als er al een (wettelijke?) verplichting is dan is dat doorgaans gekoppeld aan een minimale inspanning om te voldoen aan die verplichting. En nou ja – beter iets dan niets misschien… maar toch...

“hier ga ik een (Inge) Wetzer doen: Voor gedragsverandering is er meer nodig dan alleen een training”

En wat zou dat meer dan moeten/kunnen zijn? Anders dan een keer de “echte” pijn ervaren van een gijzeling en/of dito financiele aderlating?

Will, sure, je wilt er geen compliance vinkje van maken. Dan heb je weliswaar de accountability gedekt, maar vind het ongeluk alsnog plaats. En voorop gesteld: Er is geen silver bullet waarbij je een een knop drukt en alles is opgelost. Dus als de vraag is; Hoe voorkom ik cyber security incidenten? Dan is het antwoord veel langer dan "geef medewerkers verplicht awareness training".

Er is heel veel wat je kunt doen om te motiveren en gelegenheid te bieden en ik zal een voorbeeld geven. Mensen hergebruiken wachtwoorden omdat het nu eenmaal lastig is om veel (sterke) wachtwoorden te onthouden. Dus biedt ze een wachtwoordmanager aan inclusief de training daar goed mee om te gaan. Of stel tweestapsverificatie verplicht, maar geef ook de tools erbij om het toepassen makkelijker te maken. Of beloon de medewerker als het programma helemaal is gevolgd. Of organiseer een serious game die leuk is om te doen, maar waarbij je ook wat leert. Het hangt allemaal af van de situatie en het blijft hoe dan ook een inspanning. Maar als je ziet dat de directeur het ook doet, dan zullen medewerkers ook meer gemotiveerd zijn.

Als je maar iets structureels doet en dat ook meet. Als je merkt dat medewerkers het niet leuk vinden, of teveel moeite, dan moet je zo'n signaal wel serieus nemen. Persoonlijk geloof ik erin dat als je mensen helpt hun eigen leven veiliger te maken, ze dit gedrag ook meenemen naar hun werk.

Nog genoeg voer voor vervolgartikelen....

Ewout, normaal zou de rechter al gauw akkoord gaan met ontslag op staande voet als de medewerker al dan niet verplicht (zoals Henri voorsteld) een security-awareness training heeft gevolgd en een stel rode vlaggen mist. Dat geldt zeker voor iemand die jarenlang accountant is geweest en bekend moet zijn met allerlei vormen van financiële fraude.
Maar (de advocaat van) de CFO kan in dit specifieke geval erop wijzen dat het moederbedrijf ook een heel stel rode vlaggen heeft gemist. Les Cinémas Pathé Gaumont kon wel met de duim en de wijsvinger naar de MD en CFO uit Nederland wijzen, maar de rechter zou ook drie andere vingers zien richting de 2 Franse CEO’s en de beheerder van de gezamenlijke cash-pool. Het cultuurpatroon speelt ook mee.

Het is de druppel die de steen uitholt, niet een eenmalige emmer water.

Security is een proces, geen status.
In iedere vergadering en bespreking zou dit een agendapunt moeten zijn.

Menselijk gedrag verander je alleen met de kracht van de herhaling.
Daar zijn psychologieboeken mee volgeschreven.

Het is een argumentum ad absurdum als ik zeg dat alles anders gelopen was als CEO/CFO van Pathé een bewustzijnstraining hadden doorlopen die - enkel en alleen - om het gebruik van een wachtwoordmanager ging. De wevers van een 'stof die alleen zichtbaar is voor slimme mensen' uit het sprookje van H.C. Andersen maken duidelijk dat oplichting van alle tijden is en daarom meer om de psychologie gaat dan de technologie. Oplichters zijn tenslotte meester in de verleiding door het orgel van de emotie te bespelen en het schijnt dat optimististen daarom kwetsbaarder voor oplichting zijn omdat ze geloven in de meevaller welke voor de pessimisten vaak te mooi zijn om waar te kunnen zijn. De reuring en bevestiging die ontstond toen een kind riep dat de keizer in zijn blote kont liep terwijl de hele hofhouding niks durfde te zeggen gaat - zoals Jaap zegt - ook om de bedrijfscultuur. Want dat CFO eerder door een tuchtrechter uit het accountantsregister was geschrapt bleek geen bezwaar voor aanstelling. Het 'complaince-kruisje' aangaande fraude is echter een ander verhaal als we het over klok en de klepel gaan hebben.

Weer een voorbeeld van CEO fraude, maar nu in combinatie van een hack bij een andere partij. Bol.com heeft in november 2019 een e-mail gekregen via een gehackt Brabantia account van een medewerkster van de boekhoudafdeling. De oplichters hadden in de cloud office mailbox toegang gehad tot alle instellingen.
In de mail van “Brabantia” aan Bol.com stond: ‘Tav: Account te betalen/Attn: Account Payable Geachte heer mevrouw, Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen. Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje. We het op prijs as u uw gegevens kunt bijwerken.‘ Er zou nog een bevestiging zijn van Brabantia: ‘Goedenmiddag Uw oprechte antwoord wordt op prijs gesteld, bevestig zo vriendelijk dat u onze boekhouding bij u hebt bijgewerkt. Alvast bedankt!‘ Google translate o.i.d. is niet perfect, maar doet het wel stukken beter dan de hacker. De e-mail van de Bol.com werd blijkbaar doorgestuurd naar een Gmail account van de oplichters en in de Brabantia mailbox gewist voordat deze werd ontdekt.
Bol.com heeft daarna ruim € 750.000 voor Brabantia overgemaakt naar een Spaanse bankrekening. Bol.com zegt ter goeder trouw te hebben gehandeld en verwijt Brabantia hun mail account onvoldoende te hebben beveiligd, dus eigen schuld. De rechtbank geeft aan ‘In de brief wordt verzocht een Spaans rekeningnummer te registreren. Naar het oordeel van de rechtbank had dat al moeten leiden tot gezonde argwaan‘.‘Naar het oordeel van de rechtbank moesten verschillende aspecten uit deze passage, in onderlinge samenhang, Bol.com ernstig aan het twijfelen brengen.‘ Daarom is de rechtbank van mening dat Bol.com had moeten twijfelen, dus niet te goeder trouw was en komt tot de conclusie dat Bol.com de betalingsverplichtingen naar Brabantia alsnog moet voldoen.

Dag Jaap,

Ja een mooi verhaal, in de rechtszaak las ik dat ze de bol.com replies automatisch op gelezen hadden gezet en verplaatst naar een folder "rss feeds".

Ze hadden moeten bellen naar het nummer wat hun bekend was. Bol.com had gewoon zijn proces rondom identificatie niet op orde. Een geldige afzender werd dus al als voldoende gezien of een wijziging door te voeren.

En net als met de Pathe case kwam dit dus pas aan het licht omdat er een rechtszaak was aangespannen. Hoeveel zaken zoals dit krijgen we niet te zien?

Er zijn dus twee oorzaken waarom dit is gebeurd: Brabantia liet een account van hun misbruiken omdat ze tweestapsverificatie niet hadden afgedwongen. Bol.com had zijn identificatie proces niet op orde waardoor het verzoek als legitiem werd behandeld.

Nu zijn de meningen op Twitter verdeeld, maar persoonlijk denk ik dat als beide partijen een goede cybersecurity awareness training verplicht hadden gesteld, dit dus niet gebeurd zou zijn.

"als voldoende gezien of een wijziging door te voeren."
moet zijn
"als voldoende gezien om een wijziging door te voeren."

En ten overvloede: Een goede training kost bij lange na geen 750.000 euro. Denk dat zelfs de proceskosten al duurder zijn...

"Er zijn dus twee oorzaken waarom dit is gebeurd: Brabantia liet een account van hun misbruiken omdat ze tweestapsverificatie niet hadden afgedwongen. Bol.com had zijn identificatie proces niet op orde waardoor het verzoek als legitiem werd behandeld."

en de rest van de cursus is intro praatjes, reclame praatjes, voorstelrondjes, leuke anekdotes, lunch, rollenspelletje, nabespreking ;-)

Ik heb de uitspraak ook gelezen en wijs daarom op de volgende zinsnede: "Het is in beginsel niet relevant of Bol.com haar interne procedures heeft gevolgd bij het doorvoeren van de wijziging van rekeningnummer en of die procedures adequaat zijn ingericht en door de juiste mensen (met de juiste opleiding) zijn bemand." Het te goeder trouw handelen gaat namelijk om de onderzoeksplicht die Bol.com blijkbaar door een paar Polen heeft laten doen waardoor de taalfouten geen alarmbellen hebben doen rinkelen. Verder oordeelde de rechter dat het misschien wel raadzaam is om 2FA te gebruiken maar dat er geen verplichting is om er gebruik van te maken in de contractuele relatie. Het afdwingen ervan - zoals Henri stelt - is dan ook hoogst dubieus omdat het uiteindelijk zoals alle technische maatregelen geen bescherming biedt tegen CEO fraude.

Als ouderwets boefje kreeg ik daarom altijd de dagvaardingen aangetekend per post want de ontvangstbevestiging is in sommige processen namelijk best belangrijk. Uiteraard geldt dat ook voor het leveren van goederen, het tekenen voor ontvangst van een paar pallets met een waarde van een half miljoen verschuift namelijk de verantwoording van vervoerder naar ontvanger. En uiteraard moet je als leverancier wel vooraf controleren of die ontvanger de rekening kan betalen want fraude kent vele vormen. Ik weet niet wat de cijfers zijn van faillissementsfraude via de plof-BV maar ik ken ondertussen wel wat malafide ondernemers die nog een rekening open hebben staan. Vandaar dan ook de dagvaardigingen want de proceskosten zijn voor Brabantia (de eiser) uiteindelijk niet zo hoog als ik kijk naar het resultaat.

Henri, Ewoud, twee partijen maken fouten, er zijn twee verliezers, maar de één is verreweg de grootste verliezer geworden. Een rechter kijkt altijd niet alleen naar bewezen feiten en de wet- en regelgeving, maar ook naar rechtsbeginselen zoals redelijkheid en billijkheid. De rechter heeft daarom niet alleen een oordeel geveld. De rechter heeft ook aangegeven dat: “Bol.com heeft voor het eerst tijdens de mondelinge behandeling het hiervoor bedoelde verrekeningsverweer gevoerd en in dat verband – mede onder verwijzing naar de in (paragraaf) 3.18. genoemde omstandigheden – gesteld dat Brabantia Netherlands in de nakoming van haar verplichtingen jegens Bol.com is tekortgeschoten respectievelijk onrechtmatig heeft gehandeld en aansprakelijk is voor de als gevolg daarvan geleden schade. Doordat dit verweer pas in dit late stadium aan de orde is gekomen, is het partijdebat daarover zeer beperkt geweest en daarom (nog) niet goed te beoordelen.” De rechter geeft daarmee aan dat Bol.com in hoger beroep 6:136 BW, het verrekeningsverweer, in extenso kan inbrengen. Het hof zou dan het verrekeningsverweer al tegenvordering alsnog nader kunnen beoordelen. Hierdoor zou Bol.com wellicht een deel van de haar schade kunnen verhalen op Brabantia omdat Bol.com door onvoldoende zorgvuldigheid bij Brabantia in problemen zou zijn gekomen.

Als het ge-outsourced is naar mensen die inderdaad de taal niet machtig zijn, zou dat wel wat verklaren. Dan is bij deze ook meteen het risico duidelijk.

Overigens bedoelde ik met mijn verplichten op het volgen van de cyber security training. Al vind ik verplicht stellen van tweestapsverificatie ook gewoon normaal als je leest dat deze 99% van de hacks voorkomt. En dat ging waarschijnlijk dus ook op voor deze hack.

Zoals gezegd heb ik de uitspraak gelezen en kom op grond daarvan tot de conclusie dat de rechter niet mee ging in de 'blame game' van Bol.com door de gegrondheid van het verweer te betwijfelen. De 'ja maar...' beschuldiging over een vermeende onzorgvuldigheid in het e-mail gebruik en de wijze waarop Bol.com zichzelf ten nadele van Brabantia schadeloos stelde was hoogst ongebruikelijk en dat is door de rechter gecorrigeerd. En uiteraard staat het Bol.com vrij om via de rechter proberen schade te verhalen maar er zitten nogal wat onbewezen aannames in de beschuldiging terwijl Brabantia met succes bewees dat Bol.com de duidelijke signalen dat er iets niet klopte gemist had.

Geen dank voor een iets andere visie want één van de risico's in de communicatie is de aanname. Want wij van WC-eend zijn ook voor een gedwongen winkelnering zodat we weer achterover kunnen leunen bij de fax want e-mail is onbetrouwbaar.

Ewoud, er zijn 2 rechtsvragen. De rechtbank zag voldoende bewijs dat Bol.com nog steeds betalingsverplichtingen had. Maar het verrekeningsverweer van Bol.com zou door de rechtbank nog niet goed te beoordelen zijn, laat staan een schuldverdeling i.v.m. “een ‘ongeluk’ waaraan meerdere partijen, waaronder de schuldeiser, kunnen hebben bijgedragen”.

Ik lees dat 'tu quoque' verrekeningsverweer adhoc werd ingebracht en daarom niet ontvankelijk verklaard werd terwijl het verzaken van de onderzoeksplicht bewezen was. Er zijn namelijk heel wat meer 'digitale waarmerken' dan een paar plaatjes van logo's en handtekeningen als ik kijk naar de onweerlegbaarheid van het bewijs want te goeder trouw handelen betekent dus dat je niet te goed van vertrouwen kunt zijn. Ik heb hierin al een aantal voorzetjes gegeven want techniek van 2FA bij verzender geeft geen zekerheid als eenvoudige signalen zoals opmerkelijke taalfouten genegeerd worden bij de ontvanger want misschien is e-mail niet het beste communicatiemiddel voor sommige processen.

@Ouwe grapjas, fijn dat je de reactielijst van Henri uitbreidt.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-03-19T10:47:00.000Z Henri Koppen
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.