Grip op cyberveilig gedrag

14 juni 2017

Cyberdreigingen worden steeds geavanceerder. Dit geldt niet alleen op technisch vlak, maar zeker ook op menselijk vlak. Social engineering-technieken worden steeds vernuftiger en het vraagt steeds meer van de mens om daar weerbaar tegen te zijn. Tijd voor een nieuwe strategie! In dit artikel wordt het weerbaar maken van medewerkers van organisaties besproken vanuit een psychologisch perspectief. Wat zegt de psychologie over gedragsverandering, hoe kan dat ingezet worden en waarom bereiken de huidige awarenessprogramma’s vaak niet het gewenste resultaat?

Waar vroeger de dreigingen in het cyberdomein nog relatief behapbaar waren, neemt de complexiteit vandaag de dag sterk toe. Niet alleen ICT-systemen zijn onderwerp van aanval, maar steeds vaker de medewerkers die deze systemen bedienen en toegang hebben tot kritieke bedrijfsinformatie of -applicaties. CEO-fraude is daar een goed voorbeeld van. Op een slimme, mensgerichte manier wordt geprobeerd om via een medeweker van een financiële afdeling geld te ontvreemden door het proces van de organisatie te passeren of te misbruiken. Zo komt het voor dat er honderdduizenden euro’s op relatief simpele wijze in handen van kwaadwillenden terechtkomen. Iets breder kan gesteld worden dat de gevolgen van een cyberaanval zijn verbreed. Te denken valt aan imago- en reputatieschade, verlies van klanten of van inkomsten of diefstal van financiële tegoeden. Een andere ontwikkeling is de koppeling van de fysieke aan de digitale wereld. Daar waar beveiliging vroeger alleen bestond uit het beveiligen van een zakelijk pand, moeten nu ook de digitale dreigingen worden meegenomen en zijn er meer toegangspoorten te beschermen dan alleen de fysieke toegang. In feite is iedere werknemer een toegangspoort geworden tot een organisatie, mede door het gebruik van smartphones, tablets en laptops die op afstand verbinding leggen met een bedrijfsnetwerk. Het is dus niet vreemd dat kwaadwillenden zich steeds vaker richten op de medewerker om via hen ongewenste toegang te verkrijgen tot informatiesystemen van een organisatie. Het is daarom in toenemende mate belangrijk om aandacht te besteden aan de weerbaarheid van medewerkers.

De ‘menselijke fout’

Deze menselijke kant van cyberaanvallen wordt de laatste jaren steeds breder onderkend. Zo bleek uit een recent onderzoek door het Ponemon Institute onder 450 IT- en ITsecurityspecialisten dat de ‘menselijke fout’ de grootste barrière is voor het bereiken van een cyberveilige organisatie [1]. In lijn hiermee liet een PWC-survey [2] zien dat zowel in 2014 als in 2015, werknemers het belangrijkste risico zijn. Dit blijkt ook uit het Cybersecuritybeeld Nederland [3], waarin werd geconcludeerd dat phishing (in het bijzonder spearphishing) hét middel is voor gerichte aanvallen. Deze ontwikkelingen pleiten voor de introductie van een nieuwe discipline in het cybersecurity werkveld: gedragspsychologie. De psychologie achter mensgerichte cyberaanvallen wordt namelijk geavanceerder van aard, dus sociaalpsychologen inzetten om personeel te ‘wapenen’ lijkt een mooie volgende stap.

Psychologie & cybersecurity

Wat brengt het dan, als we psychologie toevoegen aan cybersecurity? De laatste jaren zijn steeds meer organisaties zich bewust van de ingang die cybercriminelen zoeken bij het personeel. Als antwoord hierop, bleek uit een grote steekproef in 2015 dat 53% van de Nederlandse organisaties een awarenessprogramma heeft (PWC 2016). Dit creëren van  awareness bij medewerkers heeft als doel ze kennis te geven over de aanvalsmanieren en ze daarmee weerbaar te maken. Echter, dat is alleen maar een oplossing als het ontbreken van deze kennis het probleem is. Mensen moeten zich bewust zijn van bepaalde dreigingen om ze te herkennen, absoluut. Er zijn alleen talloze voorbeelden waaruit blijkt dat in veel gevallen deze kennis niet leidt tot een verandering in het gedrag en dus niet het  probleem is! Neem wachtwoorden: haast iedereen weet tegenwoordig dat een lang ingewikkeld wachtwoord veiliger is. Veel mensen gebruiker echter tóch de naam van hun kind, hun verjaardag of een jaartal als wachtwoord. Hieruit blijkt dat awareness slechts een eerste stap is naar wat het eigenlijke einddoel zou moeten zijn, namelijk cyberveilig gedrag. Verschillende studies tonen aan dat awareness zeker niet altijd leidt tot de gewenste cyberveilige gedragingen [4]. Het antwoord hoe de kloof tussen awareness en gedrag kan worden overbrugd, kan gevonden worden in de psychologie. Om te begrijpen hoe gedragsverandering plaats kan vinden, is het belangrijk om eerst gedrag beter te begrijpen. De gedragstheorie van MacInnis, Moorman & Jaworski [5] ontleedt gedrag in componenten. Specifieker betekent dit dat gedrag kan worden gezien als resultaat van drie factoren: motivatie, capaciteit en gelegenheid. Met andere woorden: wíl iemand het doen, is hij in staat om het te doen en krijgt hij de kans om het te doen?  

Als deze drie factoren alle drie in voldoende mate aanwezig zijn, zal gedrag plaatsvinden. Als één van deze factoren (deels) ontbreekt, is de kans op gedrag een stuk kleiner. Maar wat is dan ‘gedrag’?

Veilig gedrag

In het kader van gedragsverandering leert de psychologie ons dat gedrag, om veranderd te kunnen worden, heel specifiek gedefinieerd moet worden. Immers, ‘veilig gedrag’ is zo’n breed begrip dat het niet meetbaar of grijpbaar is. Daarom zal een psycholoog altijd vragen naar concreter gedrag: wat is het precieze gedrag dat u wilt veranderen? Wat is het gewenste gedrag dat u graag zou zien? In het domein van cybersecurity zien we hier een relatief groot aantal gedragingen die haast voor elke organisatie van toepassing zijn. Hierbij kan gedacht worden aan het locken van een pc als iemand zijn of haar werkplek verlaat, het kiezen van een complex wachtwoord, het niet delen van het wachtwoord met collega’s en anderen, enzovoorts. Echter, onze ervaring leert ook dat de gedragingen die gewenst zijn in het kader van cybersecurity soms zeer specifiek kunnen zijn voor een bepaalde organisatie. Bijvoorbeeld het aanspreken van onbekenden die zonder begeleiding door een zwaarbeveiligd gebouw lopen of het niet spreken over vertrouwelijke dossiers van een opdrachtgever in publieke ruimten.

Wanneer het gewenste gedrag duidelijk is gedefinieerd, kan worden onderzocht hoe het staat met de motivatie, capaciteit en gelegenheid van de doelgroep om het gewenste gedrag te vertonen. Ter illustratie worden in tabel 1 een aantal voorbeelden getoond van motivatie, capaciteit en gelegenheid voor concrete gedragingen in het specifieke domein van cyberveilig gedrag.

Door gedrag zo duidelijk onder te verdelen in deze drie componenten, geeft deze theorie ook meteen inzicht in de maatregelen die genomen kunnen worden om bepaald gewenst gedrag te laten optreden. Het gegeven dat gedrag uit verschillende componenten bestaat, maakt inzichtelijk waarom awareness programma’s vaak niet tot het gewenste resultaat leiden.  Awareness gaat over capaciteit. Dat gedrag niet optreedt vanwege een gebrek aan kennis erover is namelijk een aanname! Het kan net zo goed ontbreken aan motivatie of aan gelegenheid om het gedrag te vertonen.

Referenties

[1] Ponemon Institute (2016). The Cyber Resilient Organisation in the United Kingdom: Learning to Thrive against Threats

[2] PWC (2016). Turnaround and transformation in cybersecurity. Key findings from The Global State of Information Security Survey.

[3] NCSC (2015). Cybersecuritybeeld Nederland (2015). Nationaal Cyber Security Centrum (NCSC).

[4] Wijn, R., Van den Berg, H., Wetzer, I. M., & Broekman, C. C. M. T. (2015). Supertargets: Verkenning naar voorspellende en verklarende factoren voor slachtofferschap van cybercriminaliteit. TNO-rapport R11499.

[5] MacInnis, D. J., Moorman, C., & Jaworski, B. J. (1991). Enhancing and Measuring Consumers' Motivation, Opportunity, and Ability to Process Brand Information from Ads. Journal of Marketing, 55, 32-53.

Dit artikel verscheen eerder in InformatieBeveiliging Magazine

Over Dr. Inge Wetzer

 

Dr. Inge Wetzer is sociaalpsycholoog cybersecurity Hoffmann Cybersecurity. Ze heeft economische psychologie gestudeerd en is gepromoveerd in de sociale psychologie. Vervolgens heeft ze bijna tien jaar bij TNO gewerkt, waar ze psychologisch onderzoek verrichtte in het domein Defensie & Veiligheid. Sinds 2016 werkt zij bij Hoffmann als sociaalpsycholoog cybersecurity. Haar opdracht is om haar kennis en ervaring op gebied van menselijk gedrag te koppelen aan het domein cybersecurity om zo werknemers van organisaties beter te beschermen tegen cyberaanvallen. Inge is te bereiken via i.wetzer@hoffmannbv.nl.

Motivatie - Capaciteit - Gelegenheid

Motivatie refereert naar of iemand het gedrag wil vertonen; welk doel vindt iemand eigenlijk belangrijk? Bijvoorbeeld iemand die veiligheid zeer belangrijk vindt, zal meer gemotiveerd zijn om een ingewikkeld wachtwoord te bedenken dan iemand die snelheid en gemak belangrijk vindt. Capaciteit verwijst naar iemands kennis en kunde: de mate waarin iemand in staat is om bepaald gedrag te vertonen, gegeven zijn eigenschappen, vaardigheden en instrumenten. Gelegenheid is de mate waarin de omstandigheden het gedrag bevorderen of belemmeren. Hierbij kan gedacht worden aan fysieke omstandigheden (omgeving: is je kast af te sluiten?), sociale omstandigheden (is het in de bedrijfscultuur geaccepteerd om een onbekende aan te spreken?) en technologie (is het mogelijk om je wachtwoord regelmatig te wijzigen?).