PCSI: 'Menselijk handelen onderbelicht in cybersecurity'

Thema:
Cyber weerbaarheid
17 maart 2021

Veel bedrijven zien de bescherming tegen cybercriminaliteit en incidenten als datalekken als een technische zaak. Maar vaak gaat het mis in processen en menselijk handelen. Een Security Journey Expert gaat kijken waar organisaties kwetsbaar zijn ten aanzien van menselijk handelen. Dit voorstel doet het Partnership for Cyber Security Innovation (PCSI).

Van onveilig menselijk handelen...

De Security Journey Expert? Weer een nieuwe functie erbij? Veel bedrijven zullen niet juichen bij nog een extra functionaris op de payroll. Bovendien: zijn er al niet genoeg security officers, informatiebeveiligers en andere ICT'ers om de digitale veiligheid te waarborgen? Dat is maar helemaal de vraag. Financiële instellingen worden ondanks alle veiligheidsmaatregelen immers nog steeds geraakt door cyberaanvallen (hacks, DDOS etc.) en cyberincidenten (zoals het lekken van data). Dat komt onder meer omdat menselijk gedrag hierin een grotere rol speelt dan vaak wordt onderkend.

Een aantal financiële instellingen en TNO, verenigd in PCSI, zoeken daarom naar nieuwe oplossingen om de factor mens nog beter in beeld te krijgen en medewerkers effectiever te kunnen aansturen in de strijd tegen cybercriminaliteit. De voorlopige conclusie van PCSI: stel een Security Journey Expert (SJE) aan die niet alleen naar de techniek kijkt, maar vooral naar processen en de rol van menselijk handelen hierin. 'Wij hebben het idee dat zo'n nieuwe functie, ingestoken vanuit de psychologie, echt toegevoegde waarde kan hebben,' zegt TNO'er Rick van der Kleij.

... naar veilig menselijk handelen

Van der Kleij: 'Juist omdat de technologie bij grotere organisaties vaak goed op orde is, richt de crimineel zich op medewerkers. Bekendste voorbeeld is de phishing e-mail. Als de medewerker erop klikt, kan daarmee malware op interne systemen komen of wordt vertrouwelijke informatie gestolen. Cybersecurity is van oudsher op de techniek gericht; de psychologie, het menselijk handelen dus, vinden wij onderbelicht. Het bewustzijn is er vaak wel.

Medewerkers weten best dat ze niet op verdachte e-mails moeten klikken. En de meeste organisaties hebben ook instructies welke software moet worden gebruikt. Toch wijken medewerkers van de richtlijnen af, bewust of onbewust. Hoe kan dat? Een van de redenen is, zo weten we uit wetenschappelijk onderzoek, dat mensen de neiging hebben veiligheidsmaatregelen heel belangrijk te vinden, maar vinden dat vooral anderen zich netjes aan de regels moeten houden. Kortom, bij cybersecurity komt heel wat psychologie kijken.'

Wetenschap en praktijk

De intentie van de partners in het PCSI is helder: de resultaten uit onderzoeken en projecten moeten de organisaties en maatschappij helpen zich te wapenen tegen de cyberaanvallen van morgen. Door samen te werken combineren de PCSI-partners (ABN Amro, ING, de Volksbank, Achmea en TNO) toegepast wetenschappelijk onderzoek, actuele data en praktische cyberproblemen met elkaar.

Jacolijne Coops, deelnemer vanuit ING: 'Ons werk in de eerste fase bevestigde dat cybersecurity aan vrijwel alle functies binnen een organisatie raakt. Je hebt het over IT, compliance, sales, HRM, procesinrichting, databeheer, risicomanagement enzovoorts. De Security Journey Experts zoals wij die voor ons zien, is een linking pin. Hij of zij analyseert vanuit het perspectief van de mens, samen met andere functies, waarom het soms toch fout gaat. Wat zijn de oorzaken? En hoe richten we processen hier beter op in.'

Coops: 'Stel, bij een afdeling Recruitment worden CV's van kandidaten vanuit een managed system intern doorgestuurd, zodat ze in downloadfolders en mailboxen verdwijnen. Dat is een veiligheidsrisico en voor de SJE reden tot actie. Waarom handelen medewerkers zoals ze doen? En hoe krijgen we mensen zo ver dat ze privacygevoelige informatie niet zomaar door­sturen, ook niet onder tijdsdruk of voor één keertje? De SJE zorgt ervoor dat het gedrag van medewerkers beter wordt begrepen. Vervolgens kan deze functionaris erop sturen dat technische oplossingen hierop beter aansluiten. Is de techniek (nog) niet toereikend, dan gebruikt de SJE zijn of haar kennis om de factor ‘mens’ te beïnvloeden, al dan niet in samenspraak met andere functies’.

Completere cybersecurity

Het PCSI wil een nieuwe functie creëren. Kunnen de taken van de SJE niet bij de security of compliance officer worden neergelegd? 'De medewerkers die zich met cybersecurity bezighouden hebben het door de snelle ontwikkelingen vaak al erg druk', stelt Richard Verbrugge, deelnemer vanuit ABN Amro. Verbrugge verwijst naar methodes als Lean Six Sigma, waarmee met een efficiencybril naar processen wordt gekeken. 'Wij denken dat het goed is ook met een securitybril naar processen te kijken. Dit levert ongetwijfeld veel inzichten op.

Onduidelijke processen en inefficiënte systemen leiden tot vertroebeling rondom cyberbescherming. Het moet in organisaties steeds glashelder zijn welke risico's er zijn en hoe medewerkers moeten handelen om deze risico's te minimaliseren. Een interessante opdracht voor de SJE zou zijn om te onderzoeken hoe medewerkers die vanwege de pandemie structureel thuiswerken omgaan met cyberrisico's. Hebben zij thuis gedrag ontwikkeld dat niet in overeenstemming is met het bedrijfsbeleid? En waarom hebben ze dat gedaan? Met deze kennis kan de Security Journey Expert adviezen opstellen om dit ongewenste gedrag te voorkomen en er ook op toe te zien dat medewerkers continu alert blijven. Bijvoorbeeld met een maandelijkse training, zoals bij ABN Amro is ingevoerd.'

De partners in het PCSI werken agile. Dit betekent dat stapsgewijs wordt gebouwd aan de beste oplossing. De exploratiefase is achter de rug. Hierin is vastgesteld wat het probleem is en wat het beste antwoord zou kunnen zijn. De volgende stap is nu een functieprofiel op te stellen voor de SJE, inclusief de methoden en datasets die deze persoon kan gebruiken om een security journey uit te voeren. Welke opleiding moet zij of hij hebben, welke bagage en werkervaring? Als het functieprofiel is uitgewerkt gaan de partners in het PSCI hun voorstel verdedigen in een Dragon’s Den waarin CISO-vertegenwoordigers van de deelnemende organisaties als jury optreden. Daarna zou een pilot kunnen volgen, waarbij een of meerdere partners ervaringen gaan opdoen met de nieuwe functie.

Laat je verder inspireren

6 resultaten, getoond 1 t/m 5

Cybercrime bestrijden met universele cybertaal

Informatietype:
Nieuws
5 april 2022
CASE is een gegevensstandaard die de politie helpt om beter samen te werken bij het opsporen van cybercrime. TNO werkt aan het verder toepasbaar maken

Samenwerking voor een geautomatiseerd cybersecurity platform

Informatietype:
Nieuws
28 februari 2022
KPN, SaaS, BiZZdesign, VMware en TNO hebben een overeenkomst ondertekend voor de ontwikkeling van een geautomatiseerd cybersecurity platform.

TNO en Universiteit Twente gaan meer samenwerken op robotica, cybersecurity en diagnostiek

Informatietype:
Nieuws
16 december 2021
TNO en de Universiteit Twente tekenen een Memorandum of Understanding waarmee het voornemen op een intensieve en langdurige samenwerking wordt geformaliseerd.

Capgemini wordt partner van onderzoeksgroep ESI (TNO) - TNO

Informatietype:
Nieuws
16 november 2021
Met Capgemini Engeneering als partner van de expertisegroep komen bedrijven een stap dichterbij om de complexiteit van high tech systemen te beheersen.

ABN AMRO gaat zelfhelende software TNO inzetten voor cyberbeveiliging

Informatietype:
Nieuws
19 maart 2021
ABN AMRO gaat als eerste organisatie de ‘self healing security’ software van TNO inzetten in de strijd tegen cyberaanvallen. Deze software is in staat om zich autonoom aan te passen aan factoren die computersystemen kunnen verstoren. Voor de ontwikkeling is een bijzondere parallel getrokken met de werking van het menselijk immuunsysteem die nog niet eerder is toegepast bij bedrijven.