Cybercriminaliteit is een groot probleem in Nederland. Volgens Wolter Pieters, hoogleraar Werk, Organisaties en Digitale Technologie aan de Radboud Universiteit Nijmegen, gaat er veel mis met de veiligheid rondom digitale technologie. “Organisaties moeten een keuze maken. Er wordt van alles aan gedaan om de security-awareness te verhogen, maar het mag vaak niet ten koste gaan van de targets.”
Door Menno Jelgersma
Het bedrijf I&O Research voerde in opdracht van het ministerie van Economische Zaken en Klimaat een onder- zoek uit naar cybersecurity. Het rapport Cybersecurity- onderzoek Alert Online 2022 dat hieruit volgde, liet zien dat driekwart van de Nederlanders wel eens te maken heeft gehad met cybercriminaliteit. Ondanks het feit dat ook bijna driekwart van de Nederlanders de eigen kennis met betrekking tot de risico’s redelijk tot goed beoordeelt, schat het Centraal Bureau voor Statistiek (CBS) dat er in het afgelopen jaar 2,2 miljoen Nederlanders slachtoffer zijn geworden van cybercriminaliteit. Volgens Pieters gaat er veel mis met de veiligheid rondom digitale technologie: “De menselijke factor is ontzettend belangrijk bij cybersecurity. Je ziet dat er in organisaties van alles aan wordt gedaan om de security-awareness te verhogen. Desondanks beginnen bijna alle cyberaanvallen met mensen die op malafide links klikken of phishingmails openen.”
>> LEES OOK: DTC waarschuwde bedrijven al bijna 70.000 keer voor cyberdreigingen
Vermeende urgentie om iets te doen
Het gaat volgens Pieters bij de menselijke factor niet alleen om phishing maar ook om hoe zorgvuldig je digitale veiligheid en systemen benadert, zoals het toepassen van VPN’s. “Je hebt cyberaanvallen die erop zijn gericht om mensen bewust te misleiden. Dit gebeurt bijvoorbeeld met specifieke e-mails of telefoontjes, waarbij de beller met een mooi verhaal probeert iemand over te halen om vanwege vermeende urgentie iets direct te doen.”
Uitbuiten van slordigheid
“Daarbij is er ook nog zoiets als exploiting carelessness, het uitbuiten van slordigheid. Denk daarbij aan ‘oude’ voorbeelden van criminelen die op zoek gingen naar persoonlijke informatie in oud papierbakken. Dit gebeurt nu dus ook digitaal.” Zo gebruiken mensen bijvoorbeeld een persoonlijk e-mailadres omdat dit ‘handiger’ zou zijn dan het gebruik van een e-mailadres dat is gekoppeld aan een beveiligd systeem van een organisatie. Over het algemeen is het niveau van cyberbeveiliging bij bedrijven en organisaties van een aanmerkelijk hoger niveau dan bij mensen thuis. Komt zakelijke informatie op een persoonlijk adres terecht, dan blijft die daar over het algemeen lang bewaard wat de kwetsbaarheid voor verspreiding ook nog eens vergroot.”
> LEES OOK: Hoogmoed bij directie is de zwakste schakel
Grote druk
Dat mensen toch vaak shortcuts nemen, komt volgens hem ook omdat de druk op het werk heel groot is. We bevinden ons in een aandachtseconomie waarin elke seconde telt. “Alles en iedereen vraagt om aandacht waarbij sprake is van grote onderlinge concurrentie met mensen en dingen.
Mensen besteden aandacht aan hun werk, ze moeten aandacht besteden aan de sociale en digitale veiligheid en ook nog hun targets zien te halen. De security-awareness is dus iets wat ‘er nog bijkomt’. De vraag die dan rijst is: als we meer aandacht aan security-awareness moeten besteden, van welke tijd mag dat dan af?” Organisaties hebben de neiging om alleen te sturen op productiviteit en targets.
Hoe zit het dan met die andere waarden? “Het gaat niet alleen om het bijbrengen van kennis, maar vooral om de gedragsverandering die tot stand gebracht moet worden. Daarvoor moeten we kijken naar het bredere plaatje: waar vragen we met z’n allen aandacht voor en wat is de balans tussen de punten waar we aandacht voor vragen?”
Organisaties hebben de neiging om alleen te sturen op productiviteit en targets, niet op veiligheid
Naast productiviteit ook afrekenen op zorgvuldigheid
Het gaat er dus om dat we de primaire productiedoelen in balans brengen met onderwerpen als security-awareness die ook aandacht verdienen. Dat kan volgens Pieters door de wijze van beloning aan te passen. “Als mensen alleen worden afgerekend op productiviteit en niet op de zorgvuldigheid waarmee ze hun werk doen, dan besteden de mensen toch liever hun tijd aan het afronden van het werk.” Pieters legt ook nadruk op het belang van het meenemen van security-awareness bij beoordelingsgesprekken. “Het moet niet alleen gaan over het halen van de productietargets.”
Mensen doen het soms bewust fout
Daarbij is het ook cruciaal hoe organisaties omgaan met fouten. Mensen maken per ongeluk fouten, maar doen daarnaast ook bewust dingen waarvan ze weten dat ze niet door de beugel kunnen. “Maar toch doen ze het, omdat er andere krachten in het spel zijn die ze daartoe verleiden.” Pieters heeft hiervoor de term ‘frauten’ bedacht, een samenvoeging van fraude en fouten. “Mensen slaan wel eens persoonsgegevens op op een plek waar ze niet thuishoren, maar ja, het is wel makkelijk zo.”
> LEES OOK: 20 jaar Cybersecurity Awareness: drie dingen die wel én niet zijn veranderd in cybersecurity
Leg dilemma’s voor
Hoe krijg je mensen zover dat ze wel de juiste afweging maken en doen wat ‘goed’ is? “Deels door je te realiseren dat er grenzen zijn op het moment wanneer je mensen vraagt iets extra’s te doen. Maak een keuze wat er geschrapt wordt als dat wat je extra vraagt van belang is.” Ook ziet hij het belang in van het bespreekbaar maken van het onderwerp. “Praat erover met collega’s. Durf je kwetsbaar op te stellen, leg je dilemma’s voor en overleg hoe anderen ermee omgaan. Daarnaast kunnen bedrijven het gevoel van verantwoordelijkheid dat mensen hebben, gebruiken om aan de veiligheid bij te dragen.”
Bystander-effect speelt ook een rol
Pieters wijst nog even op het bystander-effect, dat uit de sociale psychologie komt en verwijst naar de situatie waarbij iemand in het water valt. Staat er één persoon aan de kant, dan zal die geneigd zijn hulp te bieden. Staan er tien, dan wachten de mensen af. “Dat speelt bij sociale veiligheid maar ook bij digitale veiligheid een grote rol. Als je ziet dat er iets met persoonsgegevens niet in de haak is, ga je er dan wat van zeggen of niet?”
Bedenk wat je uiteindelijk wil bereiken
Wat is uiteindelijk je doel met security-awareness? Helemaal 100 procent zal een systeem nooit zijn dichtgetimmerd. “Het zou goed zijn om een reflectiemoment in te bouwen voor je een e-mail opent, bijvoorbeeld door links pas na een tijdje beschikbaar te maken.” Maar een gerichte phishing-e-mail kan zo aantrekkelijk zijn dat mensen er toch op klikken. “Als je niet terug naar nul gaat, lukt het aanvallers sowieso om binnen te komen. Dat betekent dat je aan de detectiekant extra inspanning moet doen om schade te voorkomen, maar ook dat je als organisatie moet bedenken hoe je met aanvallen en veiligheid omgaat en wat je uiteindelijk wilt bereiken.”
Monitoring
Monitoren is dus essentieel, maar wat monitor je dan precies? En hoe zit het met de privacy van werknemers? “Daar kun je een hele discussie over voeren over wat acceptabel is of niet. Nog meer monitoren van gedrag kan averechts werken. Als mensen denken dat dingen afgevangen worden, letten ze zelf misschien wat minder op en voelen ze zich minder verantwoordelijk.”
Resultaten verschillende onderzoeken
Het lijkt Pieters leuk om de resultaten van diverse onderzoeken over waarom mensen handelen zoals ze handelen, en hoe je mensen bewust maakt van de security-awareness, in een casestudie op te nemen. “We zijn nu bezig met een onderzoek om te kijken of en hoe vermoeidheid een rol speelt bij het nemen van beslissingen. Als mensen cognitief druk bezig zijn geweest, maken ze dan een andere afweging dan wanneer ze uitgerust aan een nieuwe taak beginnen?”
Er moet aandacht komen voor veiligheid, zorgvuldigheid en integriteit
Resumerend stelt Pieters dat de leidinggevenden die zich meer willen richten op veiligheid, een voorbeeldfunctie hebben. Daarnaast moeten ze zich realiseren dat het onderwerp een prominente plek verdient tijdens evaluaties en jaargesprekken. “Als het dan alleen gaat om het binnenhalen van projecten, dan krijgen mensen het gevoel dat alleen dat belangrijk is. Er moet aandacht komen voor veiligheid, zorgvuldigheid en integriteit. En net zoals je bij elke vergadering de vluchtroutes kunt aanwijzen, kun je verwachtingen uitspreken over hoe er met de digitale stukken wordt omgegaan. Zo kun je digitale veiligheid verankeren in de bedrijfscultuur.”
tel.: 030-4100677.
Volg Security Management op LinkedIn