Versterk het melden van cyberincidenten
Doelgroep:
Ben jij verantwoordelijk voor – of sterk betrokken bij – het bevorderen van digitale weerbaarheid in je organisatie? Heb jij een rol in het verbeteren van en zicht krijgen op incidentenmeldingen in jouw organisatie? Lees dit artikel om hier de eerste stappen in te zetten. Deze publicatie is ook geschikt voor CISO’s, ISO’s, HR-medewerkers en compliancy- en riskmanagers die willen bijdragen aan het melden van cyberincidenten.
In samenwerking met TNO en:
Accenture, Awareways, Gedragsteam J&V en AenM, KPMG Meijburg & Co, NHL Stenden, Northwave Cybersecurity, Rabobank, SURF, Totaalcyber, TackTMI en Z-CERT.
Achtergrond
Meldgedrag over cyberincidenten is het melden van incidenten of bijna-incidenten, zoals het ontvangen van een phishing e-mail of het per ongeluk versturen van gevoelige gegevens, door mensen in een organisatie. Meldingen kunnen ook gaan over intuïtieve vermoedens dat er iets niet klopt, zelfs wanneer er nog geen harde bewijzen of kenmerken van een duidelijk herkenbaar incident zijn. Het melden van cyberincidenten draagt bij aan de digitale weerbaarheid binnen organisaties. Mensen in organisaties zien immers vaak als eerste dat er iets niet klopt, of beter kan. Door de mens als vooruitgeschoven ‘sensor’ te zien, kun je groeien in digitale weerbaarheid.
Waarom is melden belangrijk?
Organisaties die medewerkers stimuleren om gebeurtenissen en incidenten te melden groeien in hun weerbaarheid. Dit komt ten goede van zowel de organisatie in zijn geheel, als voor het individu.
Belang op organisatieniveau
Het helpt organisaties om tijdig te reageren op (bijna) incidenten zodat je de impact van een incident kunt verminderen. Soms kan een incident zelfs helemaal worden voorkomen. Daarnaast stelt het organisaties in staat te leren van eerdere (bijna) incidenten, het risicobeheer te verbeteren en zich aan te passen aan steeds veranderende dreigingen. Organisaties waar incidenten nauwelijks of niet worden gemeld laten in plaats daarvan kansen liggen. Dit belemmert preventiestrategieën en kan op den duur leiden tot tekortkomingen in de besluitvorming. Als er geen zicht is op incidenten of bijna incidenten, dan is het immers moeilijker het optimaliseren van je weerbaarheid te staven met data. Paradoxaal genoeg zien organisaties die aan de slag gaan met meldgedrag het aantal zichtbare incidenten toenemen, maar het aantal serieuze incidenten juist afnemen.
Belang op individueel niveau
Er zijn ook persoonlijke voordelen voor medewerkers verbonden aan het melden van incidenten. Het kan bijdragen aan professionele ontwikkeling (‘lessen trekken uit gebeurtenissen’), psychologische afsluiting bieden (‘de nare gebeurtenis ligt achter me’) en een gevoel van betrokkenheid creëren bij het verbeteren van de veiligheid binnen de organisatie (‘mijn collega’s melden incidenten, dus zo hoort dat hier’).
Wie meldt de cyberincidenten?
Melders van gebeurtenissen en incidenten kunnen grofweg worden ingedeeld in drie typen: slachtoffers, omstanders en betrokkenen.
- Slachtoffers doen melding van incidenten waarbij zij direct zijn getroffen, zoals bij gerichte cyberaanvallen.
- Omstanders bespreken onveilig of ongewenst gedrag dat zij bij anderen hebben waargenomen, bijvoorbeeld de omgang met gevoelige documenten.
- Betrokkenen melden incidenten die zij zelf hebben veroorzaakt, hetzij onbewust –bijvoorbeeld door een fout, zoals het openen van een phishingmail dan wel het verkeerd delen van gevoelige informatie.
Deze typen zijn niet exclusief en kunnen verschuiven afhankelijk van context en timing. Bijvoorbeeld: iemand kan zowel betrokken zijn bij een incident als slachtoffer zijn van de gevolgen. Elke rol kent unieke motivaties en barrières. Het is verstandig daar in je meldstrategie ook bewust van te zijn.
Tot slot is het goed ervan bewust te zijn dat melden lang niet altijd via de formele route – via meldpunten en procedures - hoeft te lopen. Medewerkers die elkaar aanspreken op onveilig gedrag of elkaar voorzien van tips hoe veiliger te werken is een vorm van informeel melden. Ook deze vorm draagt uiteindelijk bij aan het verhogen van de weerbaarheid van je organisatie en is daarmee van belang te stimuleren waar dat kan.
Wat belemmert melden?
Het melden van incidenten kan door diverse factoren worden belemmerd. Denk aan angst voor straf als de melder zelf een aandeel had in een (bijna) incident. Melden gaat in die zin dus niet vanzelf, het vraagt van de melder vaak een extra inspanning. Organisaties doen er daarom goed aan barrières, die het melden van cyberincidenten in de weg, zitten zo klein mogelijk te maken. Dat doe je door omstandigheden te creëren die de positieve effecten van het melden van cyberincidenten versterken, terwijl tegelijkertijd de mogelijke nadelige gevolgen — in het bijzonder voor individuele melders — worden beperkt.
Er zijn grofweg zeven barrières die het melden van cyberincidenten binnen organisaties belemmeren:
- Individuele gevolgen. Denk aan schaamte, angst voor straf, schuldtoewijzing, emotionele belasting of juridische gevolgen.
- Gevolgen in de groepsdynamiek. Denk aan culturele en sociale normen, waaronder een heersende schuldcultuur en groepsdruk, die het melden ontmoedigen.
- Organisatorische inefficiënties, zoals tijdsdruk en complexe meldsystemen, die ervoor kunnen zorgen dat melden als belastend wordt ervaren.
- Onduidelijke procedures, waarbij medewerkers niet goed weten wat ze precies moeten melden, waar, aan wie of hoe.
- Een gebrek aan feedback en zichtbare resultaten, waardoor melders het gevoel krijgen dat hun melding geen verschil maakt.
- Te weinig ervaren ernst, onvoldoende herkenning of bewustzijn van risicovolle gebeurtenissen of incidenten waardoor melden niet voor de hand lijkt te liggen.
- De gebeurtenis of het incident bewust niet melden uit eigen belang of malafide intenties.
Praktische handvatten om het melden van cyberincidenten te bevorderen
Het melden van cyberincidenten wordt beïnvloed door factoren op meerdere niveaus. Op individueel niveau spelen (psychologische) veiligheid, motivatie, kennis van meldprocedures en vertrouwen in de opvolging of de werking van het meldsysteem een belangrijke rol. Op organisatieniveau zijn elementen zoals de mate van leiderschapsondersteuning en de aanwezigheid van effectieve feedbackmechanismen bepalend voor het meldklimaat.
Daarnaast beïnvloeden maatschappelijk factoren zoals normen en wet- en regelgeving meldgedrag binnen organisaties. In sommige gevallen beïnvloeden zelfs culturele verschillen het meldgedrag (zeker in het geval van organisaties die internationaal actief zijn). Om meldgedrag effectief te stimuleren, is een geïntegreerde aanpak nodig die niet alleen gericht is op gedragsverandering bij individuen, maar ook op het verbeteren van het meldklimaat.
De volgende tips helpen het melden van cyberincidenten een boost te geven:
Zorg dat leidinggevenden actief en zichtbaar het belang van melden (ook bij cyberincidenten of gebeurtenissen) uitdragen. Draag als leidinggevenden uit dat je het melden van een gebeurtenis of incident ziet als een kans om samen slimmer en veiliger te werken. Dit kan zo eenvoudig zijn als het benoemen dat je het melden van gebeurtenissen of incidenten waardeert, of geef een voorbeeld waarbij de leidinggevende zelf een melding heeft gedaan. Leidinggevenden zetten op die manier de toon voor de hele organisatie. Dit draagt eraan bij dat melden onderdeel wordt van de bedrijfscultuur.
Niets is zo funest voor het meldgedrag als een cultuur waar medewerkers niet durven te melden uit angst voor represailles. Zorg ervoor dat medewerkers worden aangemoedigd om incidenten of bijna-incidenten te melden en maak duidelijk – en breng dat ook in de praktijk – dat de organisatie meldingen ziet als kansen om te leren. Voorkom dat melders het gevoel krijgen de schuldige te zijn. Richt indien nodig processen in om op vertrouwelijk niveau over incidenten of bijna-incidenten te spreken.
Zorg dat melders snel, inhoudelijk en een positieve terugkoppeling krijgen. Laat zien hoe hun melding heeft bijgedragen aan verbeteringen in de organisatie. Houd ook bij hoeveel meldingen er worden gedaan en leg goed uit waarom meer meldingen niet per se een negatief signaal is dat er veel fout gaat, maar ook een positieve oorzaak kan hebben. Namelijk, dat er een veilige cultuur is om te melden. Laat medewerkers ook oplossingen zien die de veiligheid van de organisatie kunnen verbeteren of waaruit verbetersuggesties voor beleid uit voortkomen. Dit stelt eisen aan de manier waarop de organisatie meldingen afhandelt. De prikkels binnen de afhandeling van meldingen moeten er niet op gericht zijn deze zo snel mogelijk af te handelen, maar juist op het serieus nemen en goed verwerken daarvan. Op die manier verhoog je de kwaliteit van het meldproces.
Zorg voor een gebruiksvriendelijk meldsysteem en procedures met duidelijke richtlijnen. Maak het helder waar je een melding kunt doen en voorkom dat er te veel punten zijn waar je dat kunt doen. Verminder drempels door het proces helder en laagdrempelig te maken. Voorkom dat medewerkers veel administratieve rompslomp ervaren om te melden. Toets hoe medewerkers jouw meldproces ervaren.
Organiseer regelmatig trainingen over cyberveiligheid en maak daarin de expliciete koppeling naar meldprocedures van de organisatie. Help medewerkers herkennen wat een incident is en hoe ze dit eenvoudig kunnen melden. Combineer interventies met simulaties – bijvoorbeeld met behulp van gamification (het toepassen van spelelementen) – om zo daadwerkelijke signaalherkenning te oefenen. Focus daarin niet alleen op (bijna) incidenten, ook meldingen van situaties die opvallen of afwijkend zijn, leveren nuttige inzichten op. Het is soms lastig te weten wát er precies valt onder een melding. Welke gebeurtenissen, incidenten en dergelijke zijn nu meldenswaardig? Denk hier als organisatie goed over na en bedenk het soort situaties, gebeurtenissen of incidenten waar je als organisatie meer zicht op wilt krijgen. Pas wel op dat je dit niet te veel afbakent. Mogelijk verlies je hierdoor juist zicht op gebeurtenissen die je nog niet van tevoren had bedacht.
Wil je meer verdieping op dit artikel?
Dit artikel is mede gebaseerd op een onderzoek van TNO naar de determinanten van het melden van cyberincidenten in de context van digitale weerbaarheid. In dit artikel zijn de belangrijkste bevindingen samengevat. Hier vind je de voorpublicatie van het rapport.