Cybercriminelen zoeken continu naar nieuwe manieren om de computerbeveiliging van organisaties te omzeilen. Daarbij is de beveiliging zo sterk als de zwakste schakel. Binnen de wereld van informatiebeveiliging wordt de mens vaak gezien als zwakste schakel. Daarom is de kans groot dat cybercriminelen zich richten op uitvoerende medewerkers. Social engineering technieken worden bovendien steeds vernuftiger en het vraagt steeds meer van de mens om daar weerbaar tegen te zijn. Tijd dus voor een nieuwe strategie!
In dit artikel wordt het weerbaar maken van medewerkers van organisaties besproken vanuit een psychologisch perspectief. Wat zegt de psychologie over gedragsverandering, hoe kan dat ingezet worden en waarom bereiken de huidige awareness programma’s vaak niet het gewenste resultaat?
Cyberweerbaarheid verhogen: multidisciplinaire aanpak nodig!
Vanwege de toenemende digitalisering zijn steeds meer organisaties afhankelijk geworden van digitale systemen. Enerzijds omdat daarin vertrouwelijke informatie is opgeslagen, anderzijds omdat die bijvoorbeeld kritieke bedrijfsprocessen aansturen. Daarmee is cybersecurity verschoven van het IT domein naar de businesskant van een organisatie. De cybersecurity aanpak van organisaties gaat echter nog niet altijd met deze beweging mee en traditioneel zien we dus nog steeds dat cybersecurity als verantwoordelijkheid wordt gezien van de IT manager. Niets is minder waar. De IT manager gaat niet over wat de kroonjuwelen van een organisatie zijn en welke risico’s daarmee genomen kunnen worden. Dat is bij uitstek een business vraagstuk.
> Lees ook Ook úw werknemer is zwakste schakel in beveiliging bedrijfsdata
Naast aandacht voor techniek en risico’s en kroonjuwelen, is aandacht voor het menselijke aspect in toenemende mate belangrijk. Naast aanvallen op de techniek worden steeds vaker de medewerkers getarget die deze systemen bedienen en toegang hebben tot kritieke bedrijfsinformatie of -applicaties. CEO/CFO-fraude is daar een goed voorbeeld van. Op een slimme, mensgerichte manier wordt geprobeerd om via een medeweker van een financiële afdeling geld te ontvreemden door het proces van de organisatie te passeren of te misbruiken. Zo komt het voor dat er honderdduizenden euro’s op relatief simpele wijze in handen van kwaadwillenden terechtkomen. Iets breder kan gesteld worden dat de gevolgen van een cyberaanval zijn verbreed. Te denken valt aan imago- en reputatieschade, verlies van klanten of van inkomsten, of diefstal van financiële tegoeden.
De psychologie achter mensgerichte cyberaanvallen wordt geavanceerder van aard
Deze menselijke kant van cyberaanvallen wordt de laatste jaren steeds breder onderkend. Zo bleek uit een recent onderzoek onder 450 IT en IT-security specialisten dat de ‘menselijke fout’ de grootste barrière is voor het bereiken van een cyberveilige organisatie (Ponemon, 2016). In lijn hiermee liet een survey (PWC, 2016) zien dat zowel in 2014 als in 2015, werknemers het belangrijkste risico zijn. Dit blijkt ook uit het Cybersecuritybeeld Nederland 2016 (NCSC, 2017), waarin werd geconcludeerd dat phishing (in het bijzonder spearphishing) hét middel is voor gerichte aanvallen.
Sociaal psychologen inzetten om personeel te ‘wapenen’
Deze ontwikkelingen pleiten voor de introductie van een nieuwe discipline in het cybersecurity werkveld: gedragspsychologie. De psychologie achter mensgerichte cyberaanvallen wordt namelijk geavanceerder van aard, dus sociaal psychologen inzetten om personeel te ‘wapenen’ is een voor de hand liggende volgende stap.
Psychologie & cybersecurity
De laatste jaren zijn steeds meer organisaties gelukkig al bewust van de ingang die cybercriminelen zoeken bij het personeel. Als antwoord hierop, bleek uit een grote steekproef in 2015 dat 53% van de Nederlandse organisaties een awareness programma heeft (PWC, 2016) waarmee medewerkers kennis krijgen over de aanvalsmanieren en ze daardoor weerbaar worden. Echter, dat is alleen maar een oplossing als het ontbreken van deze kennis het probleem is. Mensen moeten zich bewust zijn van bepaalde dreigingen om ze te herkennen, absoluut. Er zijn alleen talloze voorbeelden waaruit blijkt dat in veel gevallen deze kennis niet leidt tot een verandering in het gedrag en dus niet het probleem is!
Awareness leidt niet altijd tot de gewenste cyberveilige gedragingen
Neem wachtwoorden: haast iedereen weet tegenwoordig dat een lang ingewikkeld wachtwoord veiliger is. Veel mensen gebruiker echter tóch de naam van hun kind, hun verjaardag of een jaartal als wachtwoord. Uit recente testen van Hoffmann blijkt dat in organisaties een groot deel van de medewerkers wachtwoorden gebruiken die binnen 1 uur te kraken zijn. Hieruit blijkt dat awareness maar beperkt effectief is en niet per se leidt tot cyberveilig gedrag. Verschillende studies tonen aan dat awareness zeker niet altijd leidt tot de gewenste cyberveilige gedragingen (Wijn et al., 2015).
> Lees ook Cybersecurity: de kansen en uitdagingen van digitale zorgplichten
Het antwoord ligt in de psychologie
Het antwoord op de vraag hoe de kloof tussen awareness en gedrag kan worden overbrugd, kan gevonden worden in de psychologie. Om te begrijpen hoe gedragsverandering plaats kan vinden, is het belangrijk om eerst gedrag beter te begrijpen. De gedragstheorie van MacInnis, Moorman & Jaworski (1991) ontleedt gedrag in componenten. Specifieker betekent dit dat gedrag kan worden gezien als resultaat van drie factoren: motivatie, capaciteit en gelegenheid. Met andere woorden: wíl iemand het doen, is hij in staat om het te doen en krijgt hij de kans om het te doen?
Gedrag kan worden gezien als resultaat van drie factoren: motivatie, capaciteit en gelegenheid
Gedrag = motivatie + capaciteit + gelegenheid
Motivatie refereert naar of iemand het gedrag wil vertonen; welk doel vindt iemand eigenlijk belangrijk?. Bijvoorbeeld iemand die veiligheid zeer belangrijk vindt, zal meer gemotiveerd zijn om een ingewikkeld wachtwoord te bedenken dan iemand die snelheid en gemak belangrijk vindt.
Capaciteit verwijst naar iemands kennis en kunde: de mate waarin iemand in staat is om bepaald gedrag te vertonen, gegeven zijn eigenschappen, vaardigheden en instrumenten.
Gelegenheid is de mate waarin de omstandigheden het gedrag bevorderen of belemmeren. Hierbij kan gedacht worden aan fysieke omstandigheden (omgeving: is je kast af te sluiten?), sociale omstandigheden (is het in de bedrijfscultuur geaccepteerd om een onbekende aan te spreken?) en technologie (is het mogelijk om je wachtwoord regelmatig te wijzigen?).
Als deze drie factoren alle drie in voldoende mate aanwezig zijn, zal gedrag plaatsvinden. Als één van deze factoren (deels) ontbreekt, is de kans op gedrag een stuk kleiner. Maar wat is dan ‘gedrag’?
Concreet maken van gedrag
In het kader van gedragsverandering leert de psychologie ons dat gedrag, om veranderd te kunnen worden, heel specifiek gedefinieerd moet worden. ‘Veilig gedrag’ is zo’n breed begrip dat het niet goed meetbaar of grijpbaar is. Daarom zal een psycholoog altijd op zoek gaan naar concreter gedrag: wat is het precieze gedrag dat u wilt veranderen? Wat is het gewenste gedrag dat u graag zou zien?
Gewenst gedrag kan per organisatie verschillen
Voorbeelden van gedragingen in het cybersecurity domein zijn het ‘locken’ van een pc als iemand zijn of haar werkplek verlaat, het kiezen van een complex wachtwoord, het niet delen van het wachtwoord met collega’s en anderen, enzovoort. Onze ervaring leert echter ook dat de gedragingen die gewenst zijn in het kader van cybersecurity soms zeer specifiek kunnen zijn voor een bepaalde organisatie. Bijvoorbeeld het aanspreken van onbekenden die zonder begeleiding door een zwaar beveiligd gebouw lopen, of het niet spreken over vertrouwelijke dossiers van een opdrachtgever in publieke ruimten.
Voorbeeld van motivatie, capaciteit en gelegenheid
Wanneer het gewenste gedrag duidelijk is gedefinieerd, kan worden onderzocht hoe het staat met de motivatie, capaciteit en gelegenheid van de doelgroep om het gewenste gedrag te vertonen. Ter illustratie een voorbeeld van motivatie, capaciteit en gelegenheid voor concrete gedragingen in het specifieke domein van cyberveilig gedrag:
Gewenst gedrag: Wachtwoord regelmatig wijzigen
Motivatie: Hoe belangrijk vindt iemand het om het wachtwoord regelmatig te wijzigen? Hoe verhoudt het belang dat iemand hieraan toekent tot andere drijfveren zoals gemak?
Capaciteit: Weet iemand hoe het wachtwoord gewijzigd moet worden en is hij in staat om deze handelingen uit te voeren? Staat de technologie het toe om het wachtwoord te wijzigen en is er uitleg beschikbaar hoe dit werkt?
Gelegenheid: Is er een goed alternatief waarnaar men de onbekende kan verwijzen?
> Lees ook Goed wachtwoord maken: 7 tips & voorbeelden
Door gedrag zo duidelijk onder te verdelen in deze drie componenten, geeft deze theorie ook meteen inzicht in de maatregelen die genomen kunnen worden om bepaald gewenst gedrag te laten optreden. Het gegeven dat gedrag uit verschillende componenten bestaat, maakt inzichtelijk waarom awareness programma’s vaak niet tot het gewenste resultaat leiden. Awareness gaat over capaciteit. Dat gedrag niet optreedt vanwege een gebrek aan kennis erover is namelijk een aanname! Het kan net zo goed ontbreken aan motivatie of aan gelegenheid om het gewenste gedrag te vertonen.
Dit artikel is geschreven door dr. Inge Wetzer. Inge heeft economische psychologie gestudeerd en is gepromoveerd in de sociale psychologie. Vervolgens heeft ze bijna 10 jaar bij TNO gewerkt. Sinds 2016 werkt zij bij Hoffmann als sociaal psycholoog cybersecurity.
Het risicoprofiel van organisaties verandert in hoog tempo. Moderne fysieke beveiligingssystemen bieden een oplossing, maar brengen tegelijkertijd nieuwe, vooral cyberrisico’s met zich mee. In de whitepaper Dreigingen, kansen en uitdagingen leest u niet alleen over de meest actuele dreigingen, maar ook wat de kansen en uitdagingen zijn. En om de security manager te helpen een goede risico-inschatting te maken, wordt een keurmerk voor cyberrisico’s ontwikkeld.> Download hier de gratis whitepaper Dreigingen, kansen en uitdagingen
