De mens in cybersecurity: lastpak of oplossing?

Expertblogs

‘Stop!’ Roep ik tegen mijn zoontje die – eenmaal thuisgekomen van een lange schooldag – een sprintje naar de bank trekt en een gelig zandspoor achterlaat. Mijn eerste ingeving is om snel en kordaat op te treden: ‘snel van de bank af en je schoenen uit!’ en: ‘je weet dit toch, waarom doe je het nu wéér?’. Tegelijkertijd weet ik dat het beter is om vanuit geduld en empathie te reageren om zo te proberen te helpen het probleem met zijn eigen vermogen en creativiteit op te lossen.Ondanks dat ik dit weet, zijn die eerste ingevingen zo hardnekkig dat het lastig is om met die kennis te handelen.

Je denkt vast, nuttig die opvoedtips, maar waarom lees ik dit in een blog van het NCSC? Waar blijft de cybertalk?

Goed punt, laten we het bruggetje naar cybersecurity maken. Of je nu kinderen hebt of niet, iedereen begrijpt dat leren van fouten belangrijk is en dat leervermogen alleen onder de juiste voorwaarden kan worden aangewakkerd. Dit zagen we al in het voorbeeld van de zanderige schoenen van mijn zoon. Dit werkt niet alleen zo bij kinderen, maar ook bij volwassenen. Het is wat ons betreft goed dit besef mee te nemen als we mensen iets willen bijbrengen over cybersecurity. Bijvoorbeeld, als we willen dat werknemers binnen een organisatie weten welke risico’s zij lopen op het gebied van cybersecurity. Die, als het even kan, weten hoe ze incidenten kunnen voorkomen en oplossen.

Zo horen we vaak dat de mens de ‘zwakste’ schakel in de cybersecurityketen is. Maar klopt dit wel?

Helaas zien we het bewustzijn met betrekking tot leervermogen weinig terugkomen als we kijken naar hoe er gedacht wordt over de rol van de mens in cybersecurity. In het huidige cybersecurity kader komt die mens er op zijn zachtst gezegd namelijk nogal bekaaid vanaf. Zo horen we vaak dat de mens de ‘zwakste’ schakel in de cybersecurityketen is. Ook lezen we regelmatig conclusies in rapporten dat het gros van de cybersecurityincidenten te herleiden is tot menselijk falen.2,3 De mens is, vanuit dit perspectief, eigenlijk nogal klunzig en vormt de kern van het probleem.

Herkenbaar?

In dit cybersecurity kader moet de mens vooral tegen zichzelf in bescherming genomen worden en als oplossing ligt er sterk de nadruk op regelnaleving. De mens mag niet te veel achter de knoppen zitten. Waar dat nu eenmaal moet vanwege het werk, leren we de mens hoe dat veilig te doen door het volgen van regels. Deze manier van denken zien we terug in beheersmaatregelen gericht op de mens. Denk bijvoorbeeld aan wachtwoordbeleid zoals dat nu bij veel organisaties wordt toegepast. Hier wordt het periodiek veranderen van wachtwoorden afgedwongen. Of denk aan de wijze waarop mensen worden getraind in het herkennen van phishing via, al dan niet verplichte, e-learning modules en nep phishingmails die testen of medewerkers wel of niet in staat zijn phishing te herkennen.

Begrijp ons niet verkeerd.

Wat ons betreft zijn dit absoluut geen slechte maatregelen. Het zijn wel degelijk maatregelen die nodig zijn. Maar we vragen ons af of deze manier van kijken naar de mens, en de maatregelen die daaruit naar voren komen, daadwerkelijk leidt tot veiliger gedrag en tot een grotere weerbaarheid.

Wij denken van niet.

Veel van dit type maatregelen dragen niet zozeer bij aan veilig gedrag, maar eerder aan regelnavolgers en de angst om fouten te maken. Het huidige cybersecurity kader gaat grotendeels voorbij aan moderne inzichten over menselijk gedrag, ontstaan van fouten in organisaties en de complexe interacties tussen systemen en mensen. Die inzichten leren ons dat de digitale omgeving voor velen complex is en dat menselijk gedrag in grote mate wordt gestuurd door onbewuste processen.4 Met andere woorden, dat de mens een aandeel heeft in veel incidenten ontkennen wij niet, maar dat maakt het nog niet hun schuld. Als in de (technische) maatregelen om veilig gedrag te stimuleren geen rekening wordt gehouden met deze processen in de mens, dan is het logisch te verwachten dat het misgaat bij de mens, maar dan ligt de fout niet daar.5

Denk even terug aan het zojuist genoemde wachtwoordbeleid. Hoewel goed bedoeld, leidt het afdwingen van het periodiek wijzigen van wachtwoorden meestal tot aanpasgedrag. Je wijzigt je wachtwoord namelijk wel, maar maakt slechts kleine aanpassingen (zoals Wachtwoord_01!# naar Wachtwoord_02!#) om te voldoen aan het beleid. Levert het daadwerkelijk sterkere wachtwoorden op? Zeker niet! Te veel leunen op dit soort van maatregelen lokken workarounds uit en daarmee in potentie zelfs onveiliger gedrag.  

Veel goed bedoeld securitybeleid lokt workarounds uit, met juist onveiliger gedrag als resultaat.

Bovendien – en dat is wat ons betreft het belangrijkste punt – gaat er in het huidige denken iets cruciaals verloren. De meeste mensen willen waarde uit hun werk halen en daar waarde aan toevoegen. Problemen oplossen en dingen beter maken zit als het ware in de aard van het beestje. Door de rol van de mens te minimaliseren, te streven naar regelnaleving en vooral de nadruk te leggen op het tussen de oren krijgen van kennis kan die natuurlijke neiging in de weg zitten. Net als in het opvoedvoorbeeld loop je dan het risico dat mensen gewenst gedrag vertonen, in plaats van gebruik te maken van hun creativiteit.

Oké, goed punt, maar hoe komen we verder dan?

Wij willen een lans breken voor een meer mensgerichte cybersecurity.6 Dat begint wat ons betreft in de eerste plaats met taal. Het maakt immers uit of je in je organisatie je mensen neerzet als ‘zwakste’ of als ‘eerste’ schakel. Wat je zegt heeft impact. En wat doe je vervolgens als het een keer misgaat? Het stimuleren van een cultuur waar zonder schroom gemeld kan worden en waar ruimte is om bij te dragen aan het oplossen van incidenten, kan het verschil zijn tussen vroegtijdige detectie en een too little too late scenario. Er mag wat ons betreft meer waardering komen voor het leren van fouten, maar ook van het leren wat er op dagelijkse basis juist goed gaat. Een ander veelbelovende route is het security by behavioural design7 principe. Systemen, applicaties en apparaten worden dan zo ingericht dat er rekening wordt gehouden met menselijke aspecten. De mens wordt dan als het ware geholpen met het maken van veilige keuzes, zonder dat het al te veel moeite kost. En zeker, ook bewustwordingsprogramma’s en het overdragen van kennis kunnen daar een ondersteunende rol in spelen.

Om digitaal weerbaar te zijn kun je niet om je belangrijkste asset, je mensen, heen. 

We keren terug naar het opvoedvoorbeeld.

Uiteindelijk wil je als organisatie niet alleen veilig zijn, maar ook weerbaar worden tegen digitale dreigingen. Het helpt dan om je belangrijkste asset, je mensen, in staat te stellen te leren van fouten en zo te positioneren dat zij bij kunnen dragen aan het digitaal weerbaar maken van je organisatie.

Geschreven door:

Anthonie Drenth
Senior cybersecurity adviseur

Katie Hendriks
Onderzoeker

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.