PCSI: 'Menselijk handelen onderbelicht in cybersecurity'

Thema:
Cyber weerbaarheid
17 maart 2021

Veel bedrijven zien de bescherming tegen cybercriminaliteit en incidenten als datalekken als een technische zaak. Maar vaak gaat het mis in processen en menselijk handelen. Een Security Journey Expert gaat kijken waar organisaties kwetsbaar zijn ten aanzien van menselijk handelen. Dit voorstel doet het Partnership for Cyber Security Innovation (PCSI).

Van onveilig menselijk handelen...

De Security Journey Expert? Weer een nieuwe functie erbij? Veel bedrijven zullen niet juichen bij nog een extra functionaris op de payroll. Bovendien: zijn er al niet genoeg security officers, informatiebeveiligers en andere ICT'ers om de digitale veiligheid te waarborgen? Dat is maar helemaal de vraag. Financiële instellingen worden ondanks alle veiligheidsmaatregelen immers nog steeds geraakt door cyberaanvallen (hacks, DDOS etc.) en cyberincidenten (zoals het lekken van data). Dat komt onder meer omdat menselijk gedrag hierin een grotere rol speelt dan vaak wordt onderkend.

Een aantal financiële instellingen en TNO, verenigd in PCSI, zoeken daarom naar nieuwe oplossingen om de factor mens nog beter in beeld te krijgen en medewerkers effectiever te kunnen aansturen in de strijd tegen cybercriminaliteit. De voorlopige conclusie van PCSI: stel een Security Journey Expert (SJE) aan die niet alleen naar de techniek kijkt, maar vooral naar processen en de rol van menselijk handelen hierin. 'Wij hebben het idee dat zo'n nieuwe functie, ingestoken vanuit de psychologie, echt toegevoegde waarde kan hebben,' zegt TNO'er Rick van der Kleij.

... naar veilig menselijk handelen

Van der Kleij: 'Juist omdat de technologie bij grotere organisaties vaak goed op orde is, richt de crimineel zich op medewerkers. Bekendste voorbeeld is de phishing e-mail. Als de medewerker erop klikt, kan daarmee malware op interne systemen komen of wordt vertrouwelijke informatie gestolen. Cybersecurity is van oudsher op de techniek gericht; de psychologie, het menselijk handelen dus, vinden wij onderbelicht. Het bewustzijn is er vaak wel.

Medewerkers weten best dat ze niet op verdachte e-mails moeten klikken. En de meeste organisaties hebben ook instructies welke software moet worden gebruikt. Toch wijken medewerkers van de richtlijnen af, bewust of onbewust. Hoe kan dat? Een van de redenen is, zo weten we uit wetenschappelijk onderzoek, dat mensen de neiging hebben veiligheidsmaatregelen heel belangrijk te vinden, maar vinden dat vooral anderen zich netjes aan de regels moeten houden. Kortom, bij cybersecurity komt heel wat psychologie kijken.'

Wetenschap en praktijk

De intentie van de partners in het PCSI is helder: de resultaten uit onderzoeken en projecten moeten de organisaties en maatschappij helpen zich te wapenen tegen de cyberaanvallen van morgen. Door samen te werken combineren de PCSI-partners (ABN Amro, ING, de Volksbank, Achmea en TNO) toegepast wetenschappelijk onderzoek, actuele data en praktische cyberproblemen met elkaar.

Jacolijne Coops, deelnemer vanuit ING: 'Ons werk in de eerste fase bevestigde dat cybersecurity aan vrijwel alle functies binnen een organisatie raakt. Je hebt het over IT, compliance, sales, HRM, procesinrichting, databeheer, risicomanagement enzovoorts. De Security Journey Experts zoals wij die voor ons zien, is een linking pin. Hij of zij analyseert vanuit het perspectief van de mens, samen met andere functies, waarom het soms toch fout gaat. Wat zijn de oorzaken? En hoe richten we processen hier beter op in.'

Coops: 'Stel, bij een afdeling Recruitment worden CV's van kandidaten vanuit een managed system intern doorgestuurd, zodat ze in downloadfolders en mailboxen verdwijnen. Dat is een veiligheidsrisico en voor de SJE reden tot actie. Waarom handelen medewerkers zoals ze doen? En hoe krijgen we mensen zo ver dat ze privacygevoelige informatie niet zomaar door­sturen, ook niet onder tijdsdruk of voor één keertje? De SJE zorgt ervoor dat het gedrag van medewerkers beter wordt begrepen. Vervolgens kan deze functionaris erop sturen dat technische oplossingen hierop beter aansluiten. Is de techniek (nog) niet toereikend, dan gebruikt de SJE zijn of haar kennis om de factor ‘mens’ te beïnvloeden, al dan niet in samenspraak met andere functies’.

Completere cybersecurity

Het PCSI wil een nieuwe functie creëren. Kunnen de taken van de SJE niet bij de security of compliance officer worden neergelegd? 'De medewerkers die zich met cybersecurity bezighouden hebben het door de snelle ontwikkelingen vaak al erg druk', stelt Richard Verbrugge, deelnemer vanuit ABN Amro. Verbrugge verwijst naar methodes als Lean Six Sigma, waarmee met een efficiencybril naar processen wordt gekeken. 'Wij denken dat het goed is ook met een securitybril naar processen te kijken. Dit levert ongetwijfeld veel inzichten op.

Onduidelijke processen en inefficiënte systemen leiden tot vertroebeling rondom cyberbescherming. Het moet in organisaties steeds glashelder zijn welke risico's er zijn en hoe medewerkers moeten handelen om deze risico's te minimaliseren. Een interessante opdracht voor de SJE zou zijn om te onderzoeken hoe medewerkers die vanwege de pandemie structureel thuiswerken omgaan met cyberrisico's. Hebben zij thuis gedrag ontwikkeld dat niet in overeenstemming is met het bedrijfsbeleid? En waarom hebben ze dat gedaan? Met deze kennis kan de Security Journey Expert adviezen opstellen om dit ongewenste gedrag te voorkomen en er ook op toe te zien dat medewerkers continu alert blijven. Bijvoorbeeld met een maandelijkse training, zoals bij ABN Amro is ingevoerd.'

De partners in het PCSI werken agile. Dit betekent dat stapsgewijs wordt gebouwd aan de beste oplossing. De exploratiefase is achter de rug. Hierin is vastgesteld wat het probleem is en wat het beste antwoord zou kunnen zijn. De volgende stap is nu een functieprofiel op te stellen voor de SJE, inclusief de methoden en datasets die deze persoon kan gebruiken om een security journey uit te voeren. Welke opleiding moet zij of hij hebben, welke bagage en werkervaring? Als het functieprofiel is uitgewerkt gaan de partners in het PSCI hun voorstel verdedigen in een Dragon’s Den waarin CISO-vertegenwoordigers van de deelnemende organisaties als jury optreden. Daarna zou een pilot kunnen volgen, waarbij een of meerdere partners ervaringen gaan opdoen met de nieuwe functie.