Eerder dit jaar brachten Kaspersky en Area9 Lyceum een veiligheidstraining uit voor werken op afstand, om zo bedrijven te helpen cyberbeveiligingsvaardigheden van personeel te verbeteren. Uit analyse van geanonimiseerde leerresultaten blijkt nu, dat personeel op afstand de neiging heeft om het niveau van hun kennis van de basisprincipes van cyberbeveiliging te overschatten. De moeilijkste leerdoelen bleken virtuele machines, updates en begrip voor het belang van IT-middelen als ze buiten kantoor werken.
Dit voorjaar zijn, vanwege de coronavirus-pandemie, veel bedrijven overgestapt op werken op afstand. Deze wijziging had gevolgen voor de bedrijfsbeveiliging via een groeiend aantal web-gebaseerde aanvallen, coronavirus-gerelateerde phishing en het toegenomen gebruik van schaduw-IT. Daarom brachten Kaspersky en Area9 Lyceum begin april 2020 een adaptieve leercursus uit, waarin de basisprincipes van veilige operaties op afstand worden behandeld.
Onbewuste incompetentie
Uit analyse van de trainingsresultaten blijkt, dat 66% van de deelnemers de juiste antwoorden gaven. Echter, in 90% van de gevallen waarin leerlingen een verkeerd antwoord kozen, beoordeelden ze hun gevoelens ten opzichte van het gegeven antwoord als 'ik weet het' of 'ik denk dat ik het weet'. Dit kwam aan het licht, doordat leerlingen werden gevraagd om hun vertrouwen in antwoorden te beoordelen en om de testvragen te beantwoorden.
Meer dan de helft (52%) van de antwoorden op vragen over redenen waarom werknemers IT-middelen van het bedrijf, zoals e-mail- en berichtenservices of cloudopslag, zouden moeten gebruiken bij thuiswerken, was onjuist. In 88% van de gevallen dachten externe medewerkers dat ze dit correct konden uitleggen. Bijna evenveel fouten (50%) werden gemaakt bij het beantwoorden van een vraag over het installeren van software-updates. In dit geval was een verbluffende meerderheid van 92%, van degenen die verkeerde antwoorden hadden gegeven, van mening dat ze die vereiste vaardigheid hadden.
Moeilijkste leerdoelen
De studie identificeerde ook de moeilijkste leerdoelen – zoals het nut van het gebruik van virtuele machines. Maar liefst 60% van de gegeven antwoorden was op dit punt fout, waarbij 90% van de respondenten in de categorie ‘onbewuste incompetentie’ viel. Dit betekent dat leerlingen die het niet bij het rechte eind hadden, er nog steeds zeker van waren dat ze het juiste antwoord of de juiste optie hadden gekozen.
"Als werknemers geen gevaar zien in risicovolle acties, bijvoorbeeld bij het opslaan van gevoelige documenten in persoonlijke opslag, zullen ze waarschijnlijk geen advies inwinnen bij IT- of IT-beveiligingsafdelingen. Vanuit dit perspectief is het moeilijk om dergelijk gedrag te veranderen, omdat een persoon een gevestigde gewoonte heeft en de bijbehorende risico's mogelijk niet onderkent. Als gevolg hiervan is ‘onbewuste incompetentie’ een van de moeilijkste problemen om te identificeren en op te lossen met een training op het gebied van veiligheidsbewustzijn ”, zegt Denis Barinov, hoofd van de Kaspersky Academy.
