Marc van der Veen
Het beveiligen van informatie. Het was al geen sinecure, maar gelet op de vele incidenten die de afgelopen tijd de media halen, lijken organisaties informatiebeveiliging wat minder hoog op de agenda te hebben staan. De coronacrisis met het op afstand werken, lijkt een speeltuin voor kwaadwillenden die maar al te graag organisaties een voet dwars willen zetten. Berichten over datalekken, ransomware en DDOS-aanvallen zijn momenteel niet van de lucht en het lijkt op een epidemie van incidenten op dat gebied. Het gaat cybercriminelen in veel gevallen niet zozeer om de inhoud van de informatie, maar wel om met het ontoegankelijk maken van gegevens. Organisaties kunnen dan pas weer over de gegevens beschikken op het moment dat zij de cybercriminelen daarvoor een ‘tegemoetkoming’ betalen. Ondanks dat de werking van informatietechnologie vaak als complex en ondoorzichtig wordt beschouwd, is het beveiligen van informatie niet per definitie rocket science. Dat neemt niet weg dat een organisatie dat nog wel moet doen, zoals onder andere autorisaties in de informatietechnologie goed en bewust inregelen, back ups maken, data versleutelen, enzovoort. Maar hoe komt het dan dat we toch zoveel incidenten zien de laatste tijd? Nemen we informatiebeveiliging dan niet serieus? Of liggen er andere oorzaken aan ten grondslag? In dit artikel wordt het gedrag van mensen en hoe wij als mensen met risico’s omgaan als mogelijke reden beschouwd.
Er zijn inmiddels genoeg handvatten in de praktijk en vakliteratuur aanwezig die organisaties kunnen ondersteunen bij het beveiligen van informatie. Om een aantal voorbeelden te noemen: ISO 27001, COBIT en het NIST Cybersecurity Framework. Er is dus in principe voldoende voor handen om organisaties weerbaar te maken tegen incidenten. Maar de ervaring leert dat de aandacht en daarmee de schaarse middelen in relatie tot informatietechnologie eerder uitgaat naar nieuwe en fancy technieken, zoals kunstmatige intelligentie en robotisering, dan naar het inrichten van processen en structuren om informatie te beveiligen.
Natuurlijk, innoveren is nodig om de concurrentie voor te blijven, maar de vraag is wel in welke volgorde. Eerst innoveren en dan pas nadenken over informatiebeveiliging of andersom? Immers, geld kan maar eenmaal worden uitgegeven. En het is niet voor te stellen dat een organisatie een mooi nieuwe IT-functionaliteit wil en tegelijkertijd in de media belandt met een enorme beveiligingsflater. Maar waarom zien we dat toch vaak wel gebeuren?
Gedrag
In het algemeen willen mensen gewoon hun werk doen; zonder al te veel moeite en inspanning. Immers, moeite doen kost energie en daar hebben we maar een beperkte hoeveelheid van en die moeten we goed besteden. We kiezen daarom vaak voor het handhaven van de status quo boven verandering en dat geldt ook voor het gebruik en de beveiliging van informatiesystemen. Deze systemen moeten het ‘gewoon’ doen en daarbij gaat functionaliteit en beschikbaarheid al snel boven veiligheid. En zeg nou eerlijk; dat was een halve eeuw geleden toch ook de belangrijkste drijfveer bij de introductie van het internet; delen van informatie en zorgen dat informatie voor iedereen toegankelijk is?
Criminaliteit manifesteert zich nu ook meer dan in het verleden op de digitale snelweg en organisaties en mensen blijken zich daar, getuige de opeenstapeling van incidenten, maar moeilijk tegen te kunnen wapenen. Volgens Schneier (2015) zijn mensen de zwakste schakel waar het om de beveiliging van informatie gaat. Er kunnen nog zo veel ‘harde’ maatregelen zijn getroffen om cybercrime buiten de deur te houden, maar op het moment dat een medewerker zijn wachtwoord via de telefoon doorgeeft, omdat het de snelste manier is en de zogenaamde ‘servicedesk medewerker’ daar om vraagt, dan zijn andere maatregelen al snel weinig meer waard.
Criminelen gaan steeds gewiekster om met de aanwezige openbare informatie om toegang te krijgen tot informatie die niet openbaar is. Gaat u maar eens na. Heeft u bijvoorbeeld uw geboortedatum en telefoonnummer op Facebook of andere sociale media vermeld? Natuurlijk, het is erg fijn als u op uw verjaardag van vrienden en verre kennissen een al dan niet gemeende verjaardagsgroet krijgt. Vroeger moesten we daar met het versturen van een kaartje veel meer moeite voor doen en kregen we daardoor ook een stuk minder kaarten en daarmee ‘aandacht’. Nu ligt deze informatie voor het oprapen en daar maken ook criminelen gretig gebruik van. Maar waarom het voorbeeld van uw geboortedatum? Hoe vaak wordt u niet gevraagd uw geboortedatum op te geven om uw identiteit te verifiëren? En die aanwezigheid van ogenschijnlijk onschuldige informatie opent een wereld naar uw gegevens waardoor relatief eenvoudig uw identiteit kan worden overgenomen. Hierdoor krijgen cybercriminelen, vaak door een bepaalde vorm van manipulatie, bijvoorbeeld door het sturen van Whatsapp-berichten van zogenaamde ‘bekenden’, toegang tot informatie die voor hen interessant is. Dat wordt social enginering genoemd en criminelen gebruiken dit steeds vaker om toegang te krijgen tot informatie.
De mens is in veel gevallen waar een beveiligingsincident optreedt, de oorzaak. Maar waarom gebeurt dat dan? Zijn we ons inmiddels niet bewust van de gevaren van het internet? Als we dit bekijken vanuit hoe mensen risico’s inschatten, dan kan worden gesteld dat mensen doorgaans de risico’s die buiten hun invloedsfeer liggen, overschatten. Denk daarbij aan vliegtuigongelukken of terrorisme. Daar tegenover staat dat mensen risico’s die dichter bij hen staan, onderschatten. De risico’s die gepaard gaan met klussen in huis of sporten zijn daar voorbeelden van. Ons brein werkt nu eenmaal zo en we zitten vol met dergelijke gedragsvalkuilen.
Een theorie die de wijze waarop wij met risico en onzekerheid omgaan in bepaalde situaties uitlegt, is de prospect theorie (Kahneman, 2017). Kahneman en Tvsersky (Kahneman, 2017) hebben met deze theorie aangetoond dat mensen in een verliessituatie anders omgaan met risico’s dan in een winstsituatie. Kort gezegd komt deze theorie erop neer dat we in een verliessituatie risicozoekend zijn en in een winstsituatie risicomijdend. Wordt deze theorie vervolgens gelegd op informatiebeveiliging, dan wordt informatiebeveiliging over het algemeen als een verliessituatie beschouwd. Informatiebeveiliging is niet leuk en wordt vaak gezien als corvee. Met dat in het achterhoofd zullen we in het geval van informatiebeveiliging eerder risicozoekend zijn en daardoor risico’s sneller accepteren en daar minder adequaat op reageren.
Een andere oorzaak van het wegkijken bij het onderwerp informatiebeveiliging is het toepassen van struisvogelpolitiek, het zogeheten Ostrich effect. De gedachte dat ‘ons het niet overkomt’ en de negatieve effecten van beveiligingsincidenten brengt mensen zo ver dat ze de informatie hierover bewust negeren. Kortom, we hebben een selectieve interesse voor informatie (Karlsson, Loewestien, Seppi, 2009), want als deze informatie negatief is, dan hebben we minder snel de neiging om deze informatie te gebruiken.
Daarnaast is een andere valkuil, dat we denken dat het kwaad altijd van buiten komt. Als we al de IT-omgeving en de daarin beheerde informatie proberen te beschermen, dan wordt dat vooral gedaan tegen mensen of partijen die zich buiten de organisaties bevinden. Maar bewust dan wel onbewust de voeten treden met beveiligingsvoorschriften, is net zo goed voorbehouden aan mensen binnen een organisatie als mensen of partijen buiten de organisatie. En op het moment dat organisaties zich daar onvoldoende bewust van zijn, dan kan de schade eveneens aanzienlijk zijn.
Hoe nu verder?
Het begint er natuurlijk mee dat organisaties en mensen informatiebeveiliging serieus nemen. En investeren in cybersecurity en het beschikbaar stellen van voldoende middelen, is dan het begin daarvan. Uit een recent artikel uit het Financieele Dagblad (Leupen & Van Wijnen, 2021) blijkt dat investeren in cyberweerbaarheid nodig is om organisaties en mensen (beter) te wapenen tegen wat ook wel de cybermaffia wordt genoemd. En dat investeren gebeurt in Nederland ten opzichte van andere Europese landen nog maar beperkt.
Het lijkt er zeker op dat organisaties en mensen steeds minder weerbaar zijn tegen schokken en tegenvallers; we worden steeds fragieler. Taleb (2016) stelt dan ook dat we antifragiel moeten zijn om dergelijke tegenslagen het hoofd te kunnen bieden. Hij draagt daar diverse oplossingen voor aan. Zo is hij van mening dat organisaties niet zozeer risico’s moeten zien te vermijden, maar wel risico’s moeten aangaan die ze kunnen dragen. Dat betekent dat organisaties veel meer risico’s moeten inschatten op basis van hun consequenties in plaats van hun kans van optreden. Daarnaast stelt hij dat hoe eenvoudiger iets is, hoe beter dat is. Immers, complexiteit leidt tot onverwachte gevolgen. Vertalen we dat naar informatiebeveiliging dan is bijvoorbeeld een omvangrijke IT-omgeving met meerdere informatiesystemen en verschillende serviceproviders in de uitdijende keten risicovol. De met deze omvangrijke IT-omgeving gepaard gaande risico’s worden steeds lastiger te doorgronden en te beheersen. Kortom, “less is more”, is daarmee wellicht toch een stuk effectiever.
Om te voorkomen dat beslissingen om wel of niet te investeren in informatiebeveiliging worden gedreven door persoonlijke voorkeuren of door dominante besluitvormers, is het verstandig beslissingen te onderbouwen met een goede inschatting van de risico’s. Andere factoren spelen daarbij overigens ook een belangrijke rol, zoals hoe de cultuur binnen een organisatie is, of daarbinnen ‘ruimte’ is voor tegenspraak en of er sprake is van voldoende diversiteit binnen bijvoorbeeld besturen van organisaties. Maar het goed inschatten van risico’s is essentieel om te kunnen anticiperen op nare gebeurtenissen.
Misschien wel erg voor de hand liggend, maar het uitvoeren van goede risicoanalyses gaat organisaties helpen bij het omgaan met risico’s in het kader van informatiebeveiliging en het beschermen van de zogeheten “kroonjuwelen” van een organisatie. En dan niet zozeer “goed” in termen van of alle en de juiste risico’s op het gebied van informatiebeveiliging in kaart zijn gebracht. Nee, “goed” in termen van het proces bij het uitvoeren van risicoanalyses. Is bij het in kaart brengen van risico’s gekozen voor voldoende diversiteit in de samenstelling van de groep die de risico’s in kaart brengt? Het in een paar uurtjes door een risicomanager of security officer verzinnen van risico’s is niet de manier. Ook de setting van een risicoanalyse is bepalend. Is er een veilig klimaat gecreëerd waarin mensen zich durven uit te spreken? Is er voldoende ruimte voor tegenspraak? En wordt er echt naar elkaar geluisterd of alleen geluisterd om te reageren?
Durven de CEO tegen te spreken?
En aanvullend, is er in de risicoanalyse ook naast de inhoudelijke risico’s aandacht voor de feilbaarheid van ons als mensen? Durven we te benoemen dat de CEO nogal dominant is of dat de risicomanager altijd dezelfde stokpaardjes uit de kast haalt? Oftewel, hebben we in voldoende mate oog voor gedragsvalkuilen? Kortom, de ene risicoanalyse is de andere niet en de kwaliteit ervan wordt dus in belangrijke mate bepaald door hoe een risicoanalyse is opgezet en uitgevoerd in plaats van een checklist afvinken.
In het verlengde van voorgaande blijkt uit het onderzoek van Schoemaker en Tetlock (2016) dat zogeheten elite teams veel beter zijn om te voorspellen dan gewone teams en individuen die trainingen hebben gevolgd. Teamleden van elite teams zijn voorzichtig, nederig, ruimdenkend, analytisch en goed met cijfers. Teams samenstellen met leden die over dergelijke eigenschappen beschikken, bepalen de effectiviteit van zo’n team en daarmee ook de kwaliteit van de uitkomsten van de activiteiten van dergelijke teams. Tevens moet bij de samenstelling van dergelijke teams gezocht worden naar mensen die zich bewust zijn van gedragsvalkuilen en daar in de besluitvorming en bij het inschatten van risico’s rekening mee houden. Bovendien is het van belang dat groepen die risico’s inschatten intellectueel divers zijn. Ten minste één lid moet domeinexpertise hebben maar verstandige leken zijn ook essentieel, vooral als zij er niet voor terugdeinzen de veronderstelde experts uit te dagen. Met andere woorden, beperk het inschatten van risico’s op het gebied van informatiebeveiliging niet tot de risicomanager of security officer, maar zorg ervoor dat een brede en diverse groep dat doet en zorg voor een goede samenstelling van een dergelijke groep.
Natuurlijk geven de eerdergenoemde regelgeving en best practices handvatten om de bewustwording van mensen in organisaties te vergroten en te verbeteren. Al wordt dat veelal niet uitgebreid ingevuld of uitgewerkt. Misschien zijn periodieke intensieve opleidingsprogramma’s zo langzamerhand geen overbodige luxe, waarin vooral het zelf ervaren en ondervinden centraal staat. Immers, learning by doing gaat hier veel beter werken. Niet in de laatste plaats omdat het bewustzijn pas echt wordt geprikkeld op het moment dat bijvoorbeeld een (ethical) hacker tijdens een incompany training ten overstaan van een volle zaal met een aantal handelingen toegang heeft tot de telefoons van een aantal deelnemers. Het volgen van trainingen helpt om enerzijds incidenten en bijzondere situaties te herkennen en daarnaar te handelen, maar anderzijds ook om inzicht te krijgen in de tekortkomingen van het brein bij het nemen van beslissingen en het inschatten van risico’s.
Tot slot kunnen organisaties wellicht ook elementen uit de zogeheten Fear Appeal Theory (Williams, 2012) gebruiken om medewerkers aan te zetten tot het daadwerkelijk nemen van maatregelen om informatiebeveiligingsrisico’s te beperken. Door ‘angst’ te creëren, bijvoorbeeld in communicatie, zullen mensen eerder geneigd zijn om zich te beschermen tegen deze gevoelens van angst. Immers, hiermee wordt beoogd de onwenselijke gevolgen van beveiligingsincidenten te benadrukken. Mensen zullen dan ook sneller maatregelen naleven om te voorkomen dat ze in een situatie terecht komen waarin angst wordt ervaren.
Wat dit artikel duidelijk maakt is dat informatiebeveiliging geen IT-verantwoordelijkheid is, maar dat het ons allemaal aangaat en dat het belang daarvan nadrukkelijk ook bij de besluitvormers en toezichthouders binnen (en buiten) organisaties bovenaan op de agenda moet staan. De mens is dan wel de zwakste schakel waar het informatiebeveiliging betreft, maar het is nog niet te laat dat te accepteren en daar vervolgens ook naar te handelen.
De auteur Marc van der Veen is registeraccountant (RA) en Register Operational Auditor (RO), werkzaam bij Audit & Risk Solutions.
Bronnen:
Kahneman, D. (2017). Ons feilbare danken (vierendertigste druk). Amsterdam/Antwerpen: Uitgeverij Business Contact.
Karlsson, N., Loewestein, G, & Seppi, D. (2009). The Ostrich Effect: Selective Attention to Information. Journal of Risk and Uncertainty. 38:95–115.
Leupen, J., & Van Wijnen, J.F. (2021, 4 maart). Cyber Security: ‘Het gaat hier over de nieuwe maffia’. Het Financieele Dagblad, p. 8-9.
Schneier, B. (2015). Secrets and Lies, Digital security in a Networked World (15th Anniversay edition). John Wiley & Sons Inc.
Schoemaker, P.J.H., & Tetlock, P.E. (2016). Superforecating: How to upgrade your company’s judgement. Harvard Business Review. 72-78.
Taleb, N.N. (2016). Antifragiel, dingen die baat hebben bij wanorde (vierde oplage). Amsterdam: Uitgeverij Nieuwezijds.
Williams, K.C. (2012). Fear Appeal Theory. International Journal of Economics and Business Research. 5: 63-82
