Article

Cyber Security: de mens is niet het probleem, maar de oplossing

Mensen moeten zich meer bewust worden van het belang van cybersecurity, horen we vaak. Maar wordt het zo langzamerhand niet eens tijd om het om te draaien? Cybersecurityspecialisten moeten zich bewuster worden van de menselijke kant van hun vakgebied: met minder complexe veiligheidsmaatregelen, die beter aansluiten bij de dagelijkse praktijk van de gebruiker.

‘Het echte probleem van cybersecurity zit tussen de bureaustoel en het toetsenbord.’ Of: ‘de mens is de zwakste schakel als het gaat om cybersecurity.’ Iedereen die werkzaam is in cybersecurity kent dit soort uitspraken en/of gedachten. De mens is de zwakke schakel, zo wordt er gedacht, en wij bouwen altijd 100 procent veilige digitale omgevingen en zien vervolgens moedeloos toe hoe die door een stel onwillige en onwetende collega’s aan criminele hackers wordt overgeleverd.

En dus bouwen we meer veiligheidsmaatregelen in en leggen we — vaak licht geïrriteerd dan wel minachtend — nog maar weer eens uit waarom collega’s niet op phishing mails moeten reageren.
 

Van beschuldigend naar empathisch

In pogingen digibete collega’s te overtuigen van het belang van cybersecuritymaatregelen delen we onze kennis en laten we zien welke gevolgen het heeft als ze zich er niet aan houden. Maar vervolgens bieden we onze collega’s niet de juiste middelen om adequaat te kunnen handelen.

Daarom pleit ik voor een meer menselijke benadering van cybersecurity. Als we onze collega’s op andere afdelingen blijven wegzetten als zwakke schakels die het toch niet snappen, kunnen we nog zoveel maatregelen inbouwen: het veiligheidsniveau zal dan niet beter worden. We moeten onze houding wijzigen van beschuldigend naar empathisch.
 

Hoe maken we cybersecurity dan menselijker?

  • Door ons te realiseren dat er een verschil is tussen work as imagined en work as done. We moeten niet morren over dat systemen niet altijd zo werken als we op de tekentafel in gedachten hadden, maar dit accepteren als voldongen feit. In het nadenken over safety in de luchtvaart wordt hier al volop rekening mee gehouden. De new view in safety erkent dat ‘complexe systemen’ niet via één goed beschreven methode gebruikt worden, maar dat júist de flexibiliteit en creativiteit van mensen waarborgt dat op elk moment een juiste methode toegepast wordt.
  • Door gebruikersvriendelijke maatregelen te nemen. Niet door slimme handigheidjes in systemen af te sluiten en nog meer regels en procedures in te bouwen om ze te voorkomen, maar door dit soort ‘olifantenpaadjes’ slim te beveiligen. Kennelijk werken mensen prettiger en efficiënter door ze te gebruiken.
  • Door van de standaardoptie altijd de veiligste optie te maken. Neem de softwareupdates op onze mobiele telefoons: vroeger moesten we daar tal van handelingen voor verrichten, nu wordt dat automatisch gedaan — tenzij je dat hebt uitgezet. Je zou er bijvoorbeeld ook voor kunnen zorgen dat standaard inloggen met een eenmalige code via SMS de standaard is, in plaats van dat dit slechts een optie is die je handmatig moet aanzetten.
  • Door net als marketeers meer A/B-testen te doen. Zij gebruiken die om te onderzoeken welke kleine aanpassingen op de website meer impact hebben op de conversie, op de verkoop. Jij kunt ze gebruiken om het effect van verschillende maatregelen te onderzoeken of de manier waarop je erover communiceert met je collega’s. Een boekingswebsite deed zo’n test om te meten wat het effect was als ze in het boekingsproces wel of niet vertelden hoe je betaling beveiligd werd – het bleek dat het toevoegen van deze korte uitleg leidde tot een stijging in het aantal boekingen. Dit is een heel mooi (en meetbaar!) voorbeeld van ‘security als een enabler’ waar we in dit vakgebied zo naarstig naar zoeken.
  • Door jargon te vermijden en mensen aan te spreken in hun eigen taal. We denken soms dat we dingen heel duidelijk uitleggen, maar verplaats je eens écht in de persoon aan de andere kant en realiseer je dat zelfs begrijpen hoe een e-mailadres in elkaar zit voor veel mensen al een hele opgave is (die bovendien op geen enkele manier bijdraagt aan het sneller doen van hun gewone werk).
  • Met nudges: (vaak) onopvallende duwtjes in de goede richting. Het verbreden van de fietsstrook op een weg die verder even breed blijft, zorgt er bijvoorbeeld voor dat auto’s minder hard gaan rijden. Een clouddienst voor opslag experimenteerde al eens met het weggeven van extra opslagruimte als beloning voor het kiezen van een langer en veiliger wachtwoord. 

Makkelijker kiezen voor veilig

Begrijp me niet verkeerd: het delen van kennis over onze cyberveiligheid en uitleggen wat de gevolgen zijn als die niet goed is geregeld blijft een belangrijke taak van ons, cybersecurity-experts. Ik denk alleen dat dat niet genoeg is. Cybersecurity gaat in de basis om mensen die andere mensen beschermen en helpen om de technologische innovatie in goede banen te leiden.

Laten we het daarom voor onze collega’s makkelijker maken om de juiste keuze te maken. Ik weet namelijk zeker dat het netto-effect van onze inspanningen omhoog gaat als we cybersecuritymaatregelen beter laten aansluiten bij de dagelijkse praktijk van degenen die ‘tussen de bureaustoel en het toetsenbord’ zitten.

Tijdens de internationale cybersecurityconferentie One Conference hield Jelle Niemantsverdriet een keynote over de menselijke maat in cybersecurity.
 

Vond u dit nuttig?