Cybersecurity is meer dan alleen het nemen van
technische maatregelen. En alhoewel gebruikers
ten onrechte vaak alleen worden aangemerkt als
‘de zwakke schakel’ binnen die cybersecurity, moet
een deel van de maatregelen zich toch echt wel
richten op deze groep. Gebruikers gedragen zich
immers soms bewust of onbewust onveilig:
- ze klikken op hyperlinks als ze dat niet moeten
doen;
- reageren op een phishingmail;
- gebruiken zwakke wachtwoorden;
- hergebruiken wachtwoorden;
- melden incidenten niet;
- geven (te) veel gegevens prijs van zichzelf op
social media;
- maken niet consequent back-ups van hun data.
Sinds jaar en dag lijken organisaties ‘awareness’ te
zien als de sleutel om van gebruikers iets minder
de zwakke schakel te maken. De gedachte daarachter is kortgezegd dat gebruikers zich ‘beter’ gaan gedragen als we ze voeden met informatie
over dreigingen, goed en fout gedrag en het
cybersecurity-beleid. Het is inmiddels echter wel duidelijk dat een beleid
dat alleen gericht is op ‘awareness’ niet gaatzorgen voor het gewenste effect. Onderzoek toont bijvoorbeeld aan dat anti-phishingcampagnes, waar nepphishingmails worden verstuurd, niet heel lang beklijven. Cybersecuritybedrijven geven
dan ook steeds vaker aan dat het niet alleen gaat om het verhogen van kennis en bewustwording, maar ook om andere aspecten die gedrag lijken
te beïnvloeden. Recent wetenschappelijk experimenteel onderzoek laat zelfs zien dat het hebben van meer kennis kan leiden tot onveiliger gedrag:
gebruikers die (een beetje) meer weten, gedragen zich nog onveiliger. Mogelijk komt dat doordat die groep zichzelf overschat en daardoor ten onrechte
grotere risico’s durft te nemen. We moeten dus verder komen dan alleen awareness. Het lab observeert dat er twee grote vraagstukken spelen.
1. Wat moeten we dan verder nog doen? Het is duidelijk dat er geen simpele oplossing is voor het bevorderen van veilig cybergedrag. Toch is het goed om nieuwe oplossingsrichtingen te onderzoeken die richting geven aan het verbeteren van cyberveilig gedrag.
2. Hoe zorgen we ervoor dat organisaties daadwerkelijk verder gaan dan alleen het creëren van meer awareness? Individuele organisaties hebben lang niet altijd de kennis en kunde om dit zelf te doen. Moet de overheid dit stimuleren? Zo ja, hoe dan? Kan het aan de markt zelf (lees: cybersecurity bedrijven) overgelaten worden? Wat kunnen we leren over het stimuleren van effectieve gedragsinterventies binnen andere vakgebieden?
https://nl.linkedin.com/in/rutgerleukfeldt