De mens is een belangrijke factor in de cyberweerbaarheid van systemen en organisaties. Een klik op een verkeerde link of het niet instellen van twee factor authenticatie, kan het begin zijn van heel veel ellende. Hoe voorkom je dat en zorg je ervoor dat mensen wel het juiste doen? Met gedragspsycholoog Inge Wetzer bekijken we de rol van menselijk gedrag binnen het cybersecurity ecosysteem. Wat zijn de grootste valkuilen? En kun je dat gedrag beïnvloeden? We bespreken het Cybersecuritywoord van 2022: Cyberschaamte. Wat is dat precies, waarom hebben mensen er last van en kun je daar iets tegen doen?
Bio Inge Wetzer
Inge Wetzer is gepromoveerd in de sociale psychologie, deed jarenlang onderzoek naar gedragsbeïnvloeding bij TNO en is zij sinds 2015 gespecialiseerd in cybersecurity. Zij maakt binnen organisaties het gedrag van medewerkers cyberveiliger, publiceert over haar vak in vakbladen en spreekt als vertegenwoordiger van de menskant op congressen en symposia.
Je bent als gedragswetenschapper gaan specialiseren in cyber en cyberveiligheid. Wat vind je zo interessant aan die combinatie gedrag en cyber?
De mens en gedrag zijn zo een cruciale factor in cyber. Organisaties investeren veel in technologie en beleid om de cyberweerbaarheid te versterken. Maar als ik een medewerker opbel met een slim verhaal en vraag om zijn of haar wachtwoord, kan het zomaar zijn dat ik dat krijg. Dan ben je nergens met alleen techniek en beleid.
Ik vind het mooi om de psychologische inzichten die in mijn vakgebied zo vanzelfsprekend zijn verder te brengen naar sectoren waar dat niet zo is. Ik wil laten zien hoe belangrijk de mens is en hoe je die kan meenemen. Want dat kan heel goed. De mens wordt wel eens de zwakste schakel genoemd in het cyber ecosysteem en dat kan hij inderdaad zijn, maar dat komt vaak doordat er niet goed naar die mens geluisterd wordt.
Is er binnen het cybersecurityveld voldoende aandacht voor gedrag?
Zes jaar geleden was ik echt een pionier in cyberland. In de wetenschap gebeurde er al het een en ander, maar binnen bedrijven niet. Ondertussen is de betrokkenheid van een gedragswetenschapper logischer geworden. Mijn collega’s en ik krijgen veel ruimte op congressen en bepaalde grote organisaties hebben zelf een gedragswetenschapper in dienst, specifiek voor cyber. Maar je ziet ook dat veel mensen denken dat ze gedrag zelf wel kunnen regelen.
Dat komt doordat het over onszelf gaat en gedragsinzichten vaak heel logisch klinken. Dus waarom zou je daar een gedragspsycholoog voor nodig hebben? Als een CISO er technisch niet uitkomt, is het heel normaal een technisch expert om advies te vragen. Maar als diezelfde CISO voor de menskant een gedragsexpert in wil schakelen, is dat opeens raar: iedereen kan toch wel zelf een postertje maken? Terwijl het goed uitvoeren van een gedragsveranderingstraject echt niet iets is wat je als leek zomaar even doet. Alleen al de juiste sfeer creëren en de juiste gesprekstechnieken toepassen is een vak apart. Daar hebben wij psychologen jaren op gestudeerd. En tijdens de coronapandemie hebben we gezien hoe moeilijk het is om mensen in een richting te bewegen.
Wat is de grootste valkuil met betrekking tot cyberveiligheid en gedrag?
De rol van gedrag binnen cyber staat wel op de radar. Een denkfout die veel gemaakt wordt, is dat je met een e-learning en een bewustzijnscampagne de menskant van cyber goed geregeld hebt. Maar bewustzijn betekent niet automatisch gewenst gedrag. Het blijft vaak hangen op die stap van bewustzijn naar gedrag. Dan heeft iedereen de nodige cursussen gevolgd en worden er nog steeds accounts gedeeld of gebruikt nog steeds de helft geen twee factor authenticatie.
Wat raad je werkgevers aan die worstelen met het stimuleren van cyberveilig gedrag binnen de organisatie?
Ik heb onderzoek gedaan naar de kloof tussen awareness en gedrag. Daar zag ik dat de helft van de mensen die niet het gewenste gedrag vertonen, wel degelijk weten wat ze zouden moeten doen. Scholing is dus niet de oplossing voor alles.
Er worden vaak aannames gedaan over waarom mensen bepaalde dingen doen of laten, dat het gebrek aan kennis of onwil is bijvoorbeeld. Als mensen niet het juiste gedrag vertonen heeft dat vaak begrijpelijke redenen. De kunst is die te achterhalen door in gesprek te gaan en vooral goed te luisteren. Soms ligt het wel aan het kennisniveau en dan kunnen e-learnings van pas komen. Maar vaak ook zit het probleem op organisatie- of systeemniveau. Dan blijkt dat twee collega’s een account delen, omdat één van hen niet voldoende rechten heeft op het eigen account. Soms ligt het aan de cultuur op de werkvloer of voelen mensen niet de vrijheid om problemen te melden. Dan moet je daar iets mee. Kortom elke reden heeft een andere aanpak nodig.
Gedrag verander je in ieder geval niet door alleen informatie te verschaffen en de regels te herhalen. Zeker niet als de informatie niet toepasbaar is en de regels niet uitvoerbaar zijn. Kijk daarom altijd verder dan e-learnings en postercampagnes. Voor organisaties die worstelen met de menskant van cyber heeft Cyberveilig Nederland een buyers guide uitgebracht voor de inkoop van mensgerichte diensten.
Cyberschaamte is verkozen tot het cyberwoord van 2022. Kun je vertellen welke gedragsmechanismen achter cyberschaamte schuilgaat?
Als je iets vervelends overkomt, kun je verschillend reageren. In de psychologie stellen we schaamte tegenover boosheid. Bij boosheid leg je de oorzaak bij een ander, bij schaamte bij jezelf. Schaamte zorgt ervoor dat je wilt verdwijnen en je jezelf een sukkel vindt, omdat je erin getrapt bent. Daarbij speelt mee dat je een cyberaanval makkelijker kunt verbergen dan een diefstal in de fysieke wereld. Als je auto of je fiets gestolen wordt, krijg je meestal toch vragen waar die gebleven is.
Cyberschaamte zorgt er echter voor dat mensen ervoor kiezen het niet te melden als ze hun wachtwoord hebben gedeeld of op een verkeerde link hebben geklikt. Het heeft dus ook grote gevolgen voor de cyberweerbaarheid van een organisatie. Als een incident tijdig gemeld wordt, kunnen cybersecurity experts sneller ingrijpen om een aanval af te slaan of de gevolgen te beperken. Iedere organisatie is dus gebaat bij een open meldcultuur. En in het algemeen zijn we gebaat bij meer openheid van slachtoffers van cybercrime, zowel op individueel als op organisatieniveau. Gelukkig zijn er ook steeds meer organisaties, die open zijn over wat hen overkomen is, kijk naar de Universiteit van Maastricht of Bakker Logistiek. Het is belangrijk dat mensen en organisaties zich vrij voelen om hulp in te roepen bij een cyberincident en weten waar ze zich moeten melden.
Het goede nieuws is dat cyberschaamte waarschijnlijk uiteindelijk vanzelf zal verminderen. Cyberaanvallen zijn relatief nieuw. We moeten er nog aan wennen. Kijk naar online dating. Tien jaar geleden deden mensen daar erg geheimzinnig over. Inmiddels is het normaal om te vertellen dat je elkaar via een datingapp ontmoet hebt. Cyberaanvallen komen steeds vaker voor en worden steeds vernuftiger. Je bent helemaal geen sukkel als je slachtoffer wordt. Ook daar worden steeds meer mensen zich van bewust. Het is wachten op het moment dat het ook mij overkomt. Het is aan bedrijven en organisaties om ervoor te zorgen dat hun mensen het cyberveilig gedrag kunnen en willen vertonen. En dat, als het toch mis gaat, ze weten waar ze zich moeten melden en zich ook vrij voelen om dat te doen. Inzichten uit de sociale psychologie en gedragswetenschap kunnen daarbij een handje helpen.