De grote data-hack bij Odido onderstreept het belang van dataveiligheid. Phishing is allang geen slecht gespelde e-mail meer. Dankzij de snelle opkomst van kunstmatige intelligentie (AI) zijn phishing-aanvallen slimmer, persoonlijker en overtuigender dan ooit. Konden we voorheen aan de hand van duidelijke criteria bepalen of een mail, belletje of sms’je een gevalletje phishing is, nu zijn het gladde berichten waarin het taalgebruik foutloos is en die veelal inhaken op actuele gebeurtenissen zowel binnen als buiten de organisatie.
Met zulke doelgerichte phishing-aanvallen op een organisatie komen persoonsgegevens en verwerkingshandelingen in gevaar. Volledig vertrouwen op technologische beveiligingsmaatregelen (zoals firewalls en antivirus-software) is daarom niet genoeg; werkgevers moeten blijven inspelen op de gevaren van de zwakste schakel: de menselijke factor.
Structurele bewustwording cyberdreigingen
We zijn er inmiddels allemaal mee bekend: cyber-securitytrainingen. Daarin wordt er door middel van toegankelijke filmpjes en voorbeelden bewustzijn gecreëerd rond digitaal veilig gedrag. Eenmalige trainingen tijdens de onboarding van een nieuwe medewerker of een jaarlijkse e-learning volstaan in het huidige tijdperk niet meer. Het toenemend digitaliseren van werkprocessen en de snelle technologische vooruitgang verhogen de kwetsbaarheid van een organisatie voor cyberdreigingen. Het is dus cruciaal om continu het belang van cyberveiligheid onder de aandacht te brengen met simulaties en (korte) trainingen, en door incidenten aan te kaarten. Want het is ondertussen niet meer de vraag of een werknemer op een phishinglink zal klikken, maar wanneer dit zal gebeuren.
Verhogen van AI-geletterdheid
Phishing-aanvallen zijn dus slimmer en persoonlijker, mede door het gebruik van AI. Klassieke signalen zoals taalfouten en een afwijkende opmaak, ontbreken in phishingmails, -sms’jes, -appjes en zelfs gesproken berichten: AI-tools kunnen tegenwoordig ook heel goed stemmen van een manager of een collega nabootsen.
Daarnaast vergroot het toenemend gebruik van AI binnen organisaties zelf, het risico op een data-lek of het onbedoeld delen van vertrouwelijke informatie. Het is daarom van belang dat werkgevers werk maken van het verhogen van de AI-geletterdheid van werknemers. Dit betreft onder meer leren begrijpen hoe AI voor malafide praktijken wordt gebruikt, maar ook hoe je verantwoord met AI omgaat. Dat dit laatste van belang is blijkt uit recente berichten in de media over het meerwerk dat AI oplevert voor advocaten doordat hun klanten AI gebruiken – en dat sommige advocaten dat zelf ook (verkeerd) doen.
Zorgplicht
Het is voor werkgevers van belang om digitaal veilig werken en AI-geletterdheid structureel te verankeren in diverse aspecten van de bedrijfsvoering. Denk bijvoorbeeld aan het HR- en opleidingsbeleid, de onboardingsprogramma’s, de interne communicatierichtlijnen en compliance. Daarbij is het een noodzaak dat het curriculum daarin up-to-date is en blijft – hou de rappe ontwikkelingen bij!
Door het verankeren van structurele bewustwording en AI-geletterdheid versterkt een werkgever niet alleen de digitale weerbaarheid, maar vervult het ook een zorgplicht naar hun medewerkers, klanten en stakeholders. Digitaal veilig opereren is de verantwoordelijkheid van iedere werknemer, maar dit faciliteren maakt deel uit van goed werkgeverschap.
Mocht er ondanks alle voorzorgsmaatregelen toch sprake zijn van een datalek, dan moet u deze melden bij de Autoriteit Persoonsgegevens – anders riskeert u een boete. Wanneer en hoe u dit moet doen, staat beschreven in deze blog.
