Grip op cyberveilig gedrag
Cybercriminelen zoeken continu naar nieuwe manieren om de computerbeveiliging van organisaties te omzeilen. Daarbij is de beveiliging zo sterk als de zwakste schakel. Binnen de wereld van informatiebeveiliging wordt de mens vaak gezien als zwakste schakel. Daarom is de kans groot dat cybercriminelen zich richten op uitvoerende medewerkers. Social engineering technieken worden bovendien steeds vernuftiger en het vraagt steeds meer van de mens om daar weerbaar tegen te zijn. Tijd dus voor een nieuwe strategie!
Cyberweerbaarheid verhogen: multidisciplinaire aanpak nodig!
In dit artikel wordt het weerbaar maken van medewerkers van organisaties besproken vanuit een psychologisch perspectief. Wat zegt de psychologie over gedragsverandering, hoe kan dat ingezet worden en waarom bereiken de huidige awareness programma’s vaak niet het gewenste resultaat?
Vanwege de toenemende digitalisering zijn steeds meer organisaties afhankelijk geworden van digitale systemen. Enerzijds omdat daarin vertrouwelijke informatie is opgeslagen, anderzijds omdat die bijvoorbeeld kritieke bedrijfsprocessen aansturen. Daarmee is cybersecurity verschoven van het IT domein naar de businesskant van een organisatie. De cybersecurity aanpak van organisaties gaat echter nog niet altijd met deze beweging mee en traditioneel zien we dus nog steeds dat cybersecurity als verantwoordelijkheid wordt gezien van de IT manager. Niets is minder waar. De IT manager gaat niet over wat de kroonjuwelen van een organisatie zijn en welke risico’s daarmee genomen kunnen worden. Dat is bij uitstek een business vraagstuk.
Naast aandacht voor techniek en risico’s en kroonjuwelen, is aandacht voor het menselijke aspect in toenemende mate belangrijk. Naast aanvallen op de techniek worden steeds vaker de medewerkers getarget die deze systemen bedienen en toegang hebben tot kritieke bedrijfsinformatie of -applicaties. CEO/CFO-fraude is daar een goed voorbeeld van. Op een slimme, mensgerichte manier wordt geprobeerd om via een medewerker van een financiële afdeling geld te ontvreemden door het proces van de organisatie te passeren of te misbruiken. Zo komt het voor dat er honderdduizenden euro’s op relatief simpele wijze in handen van kwaadwillenden terechtkomen. Iets breder kan gesteld worden dat de gevolgen van een cyberaanval zijn verbreed. Te denken valt aan imago- en reputatieschade, verlies van klanten of van inkomsten, of diefstal van financiële tegoeden.
Deze menselijke kant van cyberaanvallen wordt de laatste jaren steeds breder onderkend. Zo bleek uit een recent onderzoek onder 450 IT en IT-security specialisten dat de ‘menselijke fout’ de grootste barrière is voor het bereiken van een cyberveilige organisatie (Ponemon, 2016). In lijn hiermee liet een survey (PWC, 2016) zien dat zowel in 2014 als in 2015, werknemers het belangrijkste risico zijn. Dit blijkt ook uit het Cybersecuritybeeld Nederland 2016 (NCSC, 2017), waarin werd geconcludeerd dat phishing (in het bijzonder spearphishing) hét middel is voor gerichte aanvallen.
Deze ontwikkelingen pleiten voor de introductie van een nieuwe discipline in het cybersecurity werkveld: gedragspsychologie. De psychologie achter mensgerichte cyberaanvallen wordt namelijk geavanceerder van aard, dus sociaal psychologen inzetten om personeel te ‘wapenen’ is een voor de hand liggende volgende stap.
Psychologie & cybersecurity
De laatste jaren zijn steeds meer organisaties gelukkig al bewust van de ingang die cybercriminelen zoeken bij het personeel. Als antwoord hierop, bleek uit een grote steekproef in 2015 dat 53% van de Nederlandse organisaties een awareness programma heeft (PWC, 2016) waarmee medewerkers kennis krijgen over de aanvalsmanieren en ze daardoor weerbaar worden. Echter, dat is alleen maar een oplossing als het ontbreken van deze kennis het probleem is. Mensen moeten zich bewust zijn van bepaalde dreigingen om ze te herkennen, absoluut. Er zijn alleen talloze voorbeelden waaruit blijkt dat in veel gevallen deze kennis niet leidt tot een verandering in het gedrag en dus niet het probleem is!
Neem wachtwoorden: haast iedereen weet tegenwoordig dat een lang ingewikkeld wachtwoord veiliger is. Veel mensen gebruiker echter tóch de naam van hun kind, hun verjaardag of een jaartal als wachtwoord. Uit recente testen van Hoffmann blijkt dat in organisaties een groot deel van de medewerkers wachtwoorden gebruiken die binnen 1 uur te kraken zijn. Hieruit blijkt dat awareness maar beperkt effectief is en niet per se leidt tot cyberveilig gedrag. Verschillende studies tonen aan dat awareness zeker niet altijd leidt tot de gewenste cyberveilige gedragingen (Wijn et al., 2015).
Het antwoord op de vraag hoe de kloof tussen awareness en gedrag kan worden overbrugd, kan gevonden worden in de psychologie. Om te begrijpen hoe gedragsverandering plaats kan vinden, is het belangrijk om eerst gedrag beter te begrijpen. De gedragstheorie van MacInnis, Moorman & Jaworski (1991) ontleedt gedrag in componenten. Specifieker betekent dit dat gedrag kan worden gezien als resultaat van drie factoren: motivatie, capaciteit en gelegenheid. Met andere woorden: wíl iemand het doen, is hij in staat om het te doen en krijgt hij de kans om het te doen?
Gedrag = motivatie + capaciteit + gelegenheid
Als deze drie factoren alle drie in voldoende mate aanwezig zijn, zal gedrag plaatsvinden. Als één van deze factoren (deels) ontbreekt, is de kans op gedrag een stuk kleiner. Maar wat is dan ‘gedrag’?
Concreet maken van gedrag
In het kader van gedragsverandering leert de psychologie ons dat gedrag, om veranderd te kunnen worden, heel specifiek gedefinieerd moet worden. ‘Veilig gedrag’ is zo’n breed begrip dat het niet goed meetbaar of grijpbaar is. Daarom zal een psycholoog altijd op zoek gaan naar concreter gedrag: wat is het precieze gedrag dat u wilt veranderen? Wat is het gewenste gedrag dat u graag zou zien?
Voorbeelden van gedragingen in het cybersecurity domein zijn het ‘locken’ van een pc als iemand zijn of haar werkplek verlaat, het kiezen van een complex wachtwoord, het niet delen van het wachtwoord met collega’s en anderen, enzovoort. Onze ervaring leert echter ook dat de gedragingen die gewenst zijn in het kader van cybersecurity soms zeer specifiek kunnen zijn voor een bepaalde organisatie. Bijvoorbeeld het aanspreken van onbekenden die zonder begeleiding door een zwaar beveiligd gebouw lopen, of het niet spreken over vertrouwelijke dossiers van een opdrachtgever in publieke ruimten.
Wanneer het gewenste gedrag duidelijk is gedefinieerd, kan worden onderzocht hoe het staat met de motivatie, capaciteit en gelegenheid van de doelgroep om het gewenste gedrag te vertonen. Ter illustratie een aantal voorbeelden van motivatie, capaciteit en gelegenheid voor concrete gedragingen in het specifieke domein van cyberveilig gedrag:
Door gedrag zo duidelijk onder te verdelen in deze drie componenten, geeft deze theorie ook meteen inzicht in de maatregelen die genomen kunnen worden om bepaald gewenst gedrag te laten optreden. Het gegeven dat gedrag uit verschillende componenten bestaat, maakt inzichtelijk waarom awareness programma’s vaak niet tot het gewenste resultaat leiden. Awareness gaat over capaciteit. Dat gedrag niet optreedt vanwege een gebrek aan kennis erover is namelijk een aanname! Het kan net zo goed ontbreken aan motivatie of aan gelegenheid om het gewenste gedrag te vertonen.
Dit artikel werd gepubliceerd in het vakblad Security Management,editie 9-2017.
Dr. Inge Wetzer heeft economische psychologie gestudeerd en is gepromoveerd in de sociale psychologie. Vervolgens heeft ze bijna 10 jaar bij TNO gewerkt. Sinds 2016 werkt zij bij Hoffmann als sociaal psycholoog cybersecurity.