Het overkwam vastgoedbeleggingsmaatschappij Orange Capital Partners (OCP), een bedrijf dat dagelijks digitaal geldstromen verwerkt die tot in de miljoenen lopen en verantwoordelijk is voor het beschermen van grote hoeveelheden gevoelige informatie van huurders. Je kunt je voorstellen dat CIO en Managing Partner Hedde Reitsma en Security Officer Mats Klein behoorlijk schrokken van het incident.
Toch kijken ze er nu ontspannen op terug. Achteraf bleek namelijk dat de brandweerman in werkelijkheid een ethische hacker van Brooklyn Partners was en dat de vermommingsactie de start vormde van een bewustzijnsprogramma rond cybersecurity voor alle medewerkers van OCP. Reitsma, Klein en hun collega Simon Palumbo vertellen over het programma en wat het hun organisatie opgeleverd heeft.
Voor Reitsma en Klein is het geen vraag of cybersecurity belangrijk is voor hun organisatie.
Reitsma: ‘Juist als je denkt dat je geen gevaar loopt, loop je gevaar. Wij hebben grote geldstromen door ons bedrijf lopen en alles gaat digitaal. Daarom is het voor ons extreem belangrijk dat we al onze ingangen, codes en passwords goed beschermen. Dat gaat gedeeltelijk via IT-systemen, maar bewust menselijk gedrag is minstens zo belangrijk. En dat geldt eigenlijk voor elk bedrijf in elke branche.’
Klein: ‘Bij OCP werken we ook met veel gevoelige informatie van huurders. We willen dat mensen van buitenaf daar nooit of te nimmer bij kunnen. Daarom doen we er alles aan om goed met cybersecurity om te gaan. Het is belangrijk dat je de processen in plaats hebt, zowel in je eigen organisatie als met externe partners. Je moet zorgen dat iedereen goed met gevoelige data omgaat.’
Regelmatig is het bedrijf zelf doelwit van phishing acties waarmee buitenstaanders via mailtjes of telefoontjes geld of informatie proberen te verkrijgen.
Reitsma: ‘Sommige mailtjes zijn overduidelijk niet in de haak, maar je krijgt soms ook e-mails of belletjes met een slechte bedoeling die je niet zo snel opmerkt. Het is belangrijk om je daar bewust van te zijn.’ Klein: ‘Inmiddels weet iedereen binnen het team dat het noodzakelijk is om deze mailtjes eruit te filteren en ervoor te zorgen dat cyberattacks geen succes behalen. Mensen melden het nu ook aan mij als ze een phishingmail ontvangen hebben. Het hele bewustzijn hierover is versterkt door de sessies die we hebben gehad met Brooklyn Partners.’
OCP: De samenwerking met Brooklyn Partners heeft als doel om het bewustzijn binnen de organisatie op het gebied van cybersecurity te vergroten.
De aanpak bestond uit een combinatie van verschillende interactieve leerconcepten. Brooklyn Partners verzorgde, naast de Social Engineeringtest met de brandweerman, ook een Social Hack training (bewust worden van risico’s door zelf je collega’s te hacken) en opvolgend een presentatie voor het hele bedrijf. Later volgde de Hack Escaperoom Experience (kennis opdoen over hacktechnieken en deze toepassen in de Cyber Escaperoom).
OCP koos bewust voor Brooklyn Partners.
Klein: ‘Wat me erg aanspreekt in de aanpak van Brooklyn Partners is dat ze niet alleen de theorie bijbrengen, maar dat je ook echt praktisch aan de slag gaat met het onderwerp. Dat doet iets met mensen. Iedereen wordt daar enthousiast van. Bovendien blijft de informatie sneller hangen. Mensen onthouden de boodschap gewoon beter.’ Reitsma: ‘Ik ken geen andere partij die cybersecurity op deze manier bekijkt. Velen focussen zich op meer firewalls en camera’s, maar uiteindelijk is het belangrijker dat medewerkers op de hoogte zijn van de vaak veel eenvoudigere manieren die er zijn om in te breken in een bedrijf.’
De activiteiten werden zeer goed ontvangen door de medewerkers.
Palumbo: ‘De trainingen van Brooklyn Partners heb ik als zeer waardevol ervaren. Wat ik vooral sterk vind, bijvoorbeeld bij de Social Hackt raining, is dat de focus echt op één onderwerp ligt en dat je daar helemaal in duikt. Ook sluit de trainingsvorm perfect aan bij het doel van de training. Daardoor is het een hele efficiënte training. Tot slot heb ik gewoon een erg leuke middag gehad. Dat komt ook door het enthousiasme en de grote betrokkenheid van de trainers. Dat slaat enorm over op de groep.’ Reitsma: ‘De activiteiten hebben een goede mix van diverse elementen in zich waardoor medewerkers een leuke dynamische middag hebben gehad. Lekker in teamverband aan de slag en veel belangrijke zaken leren. Na afloop bleven mensen praten over de trainingen. Waar ben ik ingetrapt? En wat had ik wel door? Door zelf een poging te doen om in te breken in het bedrijf leer je te denken als een hacker. Dat geeft de beste inzichten.’
“Ik ken geen andere partij die cybersecurity op deze manier bekijkt. Vele focussen zich op firewalls, e-learnings en camera’s, maar uiteindelijk is het belangrijker dat medewerkers op de hoogte zijn van de vaak veel eenvoudigere manieren die er zijn om in te breken in een bedrijf.
CIO en Managing Partner, Orange Capital Partners, Hedde Reitsma
Het programma heeft de organisatie al veel opgeleverd.
Klein: ‘Het onderwerp is op een laagdrempelige manier bespreekbaar geworden in onze organisatie. Dat komt onder andere doordat Brooklyn Partners veel anekdotes vertelt. Die onthoud je makkelijk en vertel je ook snel door. Het totale programma heeft ervoor gezorgd dat collega’s zich er nu van bewust zijn dat cybercrime niet alleen in de krant staat, maar dat het ook in onze organisatie voorkomt. Mensen komen nu ook actief naar me toe met vragen en melden het als ze een phishingmail ontvangen hebben’ Reitsma: ‘De onverwachte test van Brooklyn Partners waarbij ze vermomd als brandweerman ons kantoor binnen zijn gedrongen, heeft ons erg aan het denken gezet. Mensen zijn zich nu meer bewust van de gevaren en nemen daardoor maatregelen of zijn voorzichtiger in hun aanpak. Dit programma gaat ons zeker leed besparen.’
Ook persoonlijk heeft het programma tot een gedragsverandering geleid.
Klein: ‘In het verleden lockte ik mijn computer lang niet altijd als ik weg liep van mijn bureau. De sneltoets Command + L kende ik ook helemaal niet. Nu doe ik het standaard en zie ik collega’s het ook doen. Ook letten we er tegenwoordig nog beter op dat er geen printjes bij de printer blijven liggen. Het is daar nu echt helemaal clean.’ Palumbo: ‘In mijn dagelijkse gedrag ben ik voorzichtiger geworden. Ook heb ik het idee dat ik meer ‘aware’ ben op de momenten dat het noodzakelijk is. Dat komt ook omdat ik in de training en presentatie voorbeelden van sociale hacks voorbij heb zien komen. Op momenten met een verhoogd risico op cybercrime let ik nu extra op. Bijvoorbeeld bij de closing van een deal als we tot betaling overgaan. Tegenwoordig voer ik altijd een dubbele check uit bij het verifiëren van de betaalgegevens.’
Social Hack Training
Tijdens de Social Hack training duiken deelnemers in het leven van een social hacker. Koen van Nistelrooij, ethical en social hacker bij Brooklyn Partners, vertelt: ‘Deelnemers leren hoe een social hacker denkt, hoe hij mensen beïnvloedt en hoe hij aanvalt. Door patronen te herkennen kunnen medewerkers hacks voorkomen en hack aanvallen stoppen.’Voorafgaand aan de training organiseert Brooklyn Partners een workshop bij de klant om organisatie specifieke informatie te verzamelen die in de training gebruikt kan worden. Door te werken met specifieke voorbeelden en oefensituaties uit de eigen organisatie, sluit de training perfect aan bij de belevingswereld van de medewerkers en komt de informatie sneller binnen. Zo krijgt de klant een premium oplossing voor een van de grote uitdagingen in de huidige samenleving.
Cyber Escaperoom experience
De Cyber Escaperoom Experience is de ultieme training voor organisaties die met hun medewerkers aan de slag willen met informatieveiligheid en datalekken en die in korte tijd de diepte op willen zoeken! Tijdens de enerverende training gaan de deelnemers in anderhalf uur tijd op een hoge intensiteit aan het werk. Onder leiding van een ethische hacker leren ze de technieken en psychologische principes waar social hackers gebruik van maken. Vervolgens worden ze uitgedaagd in de Cyber Escaperoom, een spectaculair online leerconcept waarbij ze in teams van drie tot vijf personen de opdracht krijgen om een hacker op te sporen en de verloren data op tijd in veiligheid te brengen. De Cyber Escaperoom Experience wordt afgesloten met een groepsdiscussie waarin de deelnemers reflecteren op het huidige gedrag in de eigen organisatie. Daarbij worden ze gestimuleerd om nieuwe werkwijzen af te spreken om informatieveiligheid te borgen.