Phishing. Ransomware. Online criminaliteit heeft vele gezichten, maar incidenten blijven vaak nog onzichtbaar voor de buitenwereld. Bruno Verweijen, senior onderzoeker bij het Lectoraat Maatschappelijke Veiligheid, wil mensen bewuster maken van de risico’s die ze lopen, bijvoorbeeld binnen bedrijven. Niet als vorm van bangmakerij, maar juist om een positieve draai te geven aan het thema cyber security: “De mens moet samen met de techniek de sterke schakel vormen.”
Voor veel mensen klinkt cyber security als een ver-van-mijn-bed-show; een onderwerp dat je tegenkomt in een nieuwsbericht over verre landen die op afstand bij ons komen spioneren. Maar volgens Bruno Verweijen, senior onderzoeker op de onderzoekslijn Cyberweerbare Organisaties, is cyber security een thema dat ons allemaal raakt. Of in ieder geval zou moeten raken, want cybercriminaliteit is overal. “De lokale component is een groot deel van het verhaal,” zegt hij. “Het zijn ‘gewone criminelen’, die ook het cyberdomein zijn gaan gebruiken om geld te verdienen. Vaak zie je dat dat vervlochten is met andere criminele activiteiten, zoals drugshandel en dat soort zaken.”
Veel van wat Bruno bij het Lectoraat Maatschappelijke Veiligheid onderzoekt, heeft te maken met bewustwording. Over reële uitdagingen op het vlak van cyber security en oplossingen dicht bij huis. Bruno: “Wie ga je bellen als je bedrijf op z’n gat ligt?” Vandaag gaan we met hem in gesprek over een project waaraan hij werkt met lector Remco Spithoven en samenwerkingspartners van de NHL Stenden Hogeschool in het expertisenetwerk Cyberweerbaar NL: De positieve benadering van cyberweerbaarheid (human-as-solution). Het is een project waarin de positieve benadering van mensen centraal staat. Oftewel: cyber security als iets waarover we van elkaar moeten leren.
Senior onderzoeker Bruno Verweijen (links op de foto) en lector Remco Spithoven in het Centrum voor Veiligheid en Digitalisering (CVD) in Apeldoorn. Foto: Thomas Busschers.
Een op de vijf
Hoe groot is het probleem van cybercriminaliteit eigenlijk als je kijkt naar het aantal incidenten, specifiek gelet op het bedrijfsleven? In de media wordt wel eens gesproken over ‘een op de vijf mkb-bedrijven die door cybercriminaliteit worden getroffen’. “Er zijn weinig risico's met een dergelijke kans op schade en slachtofferschap waar we in Nederland mee akkoord gaan,” zegt Bruno. Waarmee hij maar wil benadrukken dat we nog niet genoeg doordrongen zijn van de grote impact die cybercriminaliteit kan hebben. Bruno: “Denk aan bedrijven die failliet gaan of ontzettend veel geld moeten betalen om hun systemen weer in de lucht te krijgen. Er is emotionele impact. Soms is er ook maatschappelijke impact, wanneer je als mkb’er een belangrijke functie hebt in de lokale economie en samenleving.”
Hoe kan het dan dat we die risico’s en de mogelijke impact ervan vaak nog niet zien? “Wat denk ik relevant is,” zegt Bruno, “is dat de cyber security-sector van oorsprong een heel technisch georiënteerde sector is. En dat is ook logisch, want cyber security gaat vaak over techniek. Bijvoorbeeld over hardware, of over software zoals firewalls. De sector wordt een beetje gedomineerd door medewerkers met een technische achtergrond.” Deze dominantie kan er bij mensen met een andere achtergrond voor zorgen dat ze cyber security zien als iets wat té technisch is, waardoor ze kunnen gaan denken dat het thema voor hen onbegrijpelijk is of misschien zelfs vermeden moet worden. “Maar mensen zijn juist de eindgebruikers van al die technologie,” vervolgt Bruno. “Je kan nooit naar cyber security kijken als iets wat alleen een technisch thema is. Het doel van ons lectoraat is om de mens zo goed mogelijk toe te rusten voor een effectieve omgang met cyberdreigingen.”
Er is een gevleugelde uitspraak in de cyber security-sector: de mens is de zwakste schakel ... Wij denken dat dat niet het juiste verhaal is.
Positieve benadering
Een effectieve omgang met cyberdreigingen: het klinkt logisch, maar waar begin je dan? Het starten van een meldpunt kan bijvoorbeeld waardevol zijn, maar voordat mensen van zo’n initiatief gebruik gaan maken moeten ze zich eerst veilig en serieus genomen voelen. Volgens Bruno moet je daarom eerst kijken naar de juiste, positieve benadering van mensen in relatie tot cyber security. Nu is die benadering vaak nog negatief. “Want de mens is degene die op phishing-links klikt,” licht Bruno toe. “Binnen die zienswijze is de mens degene die dingen verkeerd doet en de procedures niet volgt. Er is een gevleugelde uitspraak in de cyber security-sector: de mens is de zwakste schakel. Daar gaat vrij veel negativiteit van uit. Wij denken dat dat niet het juiste verhaal is, om meerdere redenen. De eerste reden is dat je je kunt afvragen hoe motiverend ‘de mens als zwakste schakel’ is als narratief?”
Met andere woorden: mensen die het gevoel hebben dat ze als onderdeel van het probleem worden gezien, zijn minder snel geneigd om bij te dragen aan een oplossing voor dat probleem. Bruno: “We weten uit de wetenschappelijke literatuur dat mensen positief benaderen over wat hun bijdrage kan zijn veel effectiever is dan tegen mensen zeggen wat ze allemaal niet mogen doen. Daarnaast is het ook niet eerlijk om de mens als zwakste schakel voor te stellen. Want misschien heeft iemand wel op een phishing-link geklikt, maar is het echte probleem bijvoorbeeld dat er in de organisatie te weinig aandacht is geweest voor het rísico van phishing.”
We hebben de mens keihard nodig om van cyber security naar cyberweerbaarheid te komen. Als het misgaat kunnen mensen immers heel creatief zijn en al improviserend het goede doen.
Aanpassingsvermogen
Als er in een organisatie geen aandacht is voor cyber security, dan kan er volgens Bruno op dat vlak ook geen sprake zijn van “een leereffect”. En als de medewerkers binnen een organisatie niet leren over cyber security, komt preventie ook minder snel in zicht. Toch ziet Bruno voorbeelden om zich heen van een positieve omgang met cyber security. Hij noemt het voorbeeld van Hopenbrouwers Techniek: een firma die werd getroffen door ransom ware, maar relatief snel weer de standaard bedrijfsactiviteiten kon voortzetten. De mensen van Hoppenbrouwers Techniek brachten vervolgens een ‘boekje’ uit over hun ervaringen, zodat andere bedrijven daarvan konden leren. Een ander, meer alledaags voorbeeld dat Bruno noemt, gaat over een medewerker die een verdacht mailtje meldt bij zijn IT-collega’s. “Dat is wel een inzicht dat ik inmiddels heb opgedaan,” zegt hij, “dat mensen een sterke signalerende functie kunnen hebben.”
Voortbordurend op de signalerende functie van mensen, zegt Bruno: “Mensen hebben aanpassingsvermogen, ze beschikken over intuïtie en kunnen nieuwe situaties en problemen ondervangen; systemen kunnen dat niet, want die zijn voorgeprogrammeerd. De negatieve kant van ons aanpassingsvermogen, is het feit dat we altijd anders op situaties reageren en daarom ook fouten kunnen maken. Maar de positieve kant is dus dat wij daardoor dingen kunnen signaleren die voorheen nog niet ‘technisch ingeregeld’ waren. En dat worden er met het oog op het dynamische dreigingslandschap voor organisaties steeds meer. We hebben de mens keihard nodig om van cyber security naar cyberweerbaarheid te komen. Als het misgaat kunnen mensen immers heel creatief zijn en al improviserend het goede doen.”
Tegelijkertijd benadrukt Bruno dat het niet gaat om ‘de mens versus de techniek’, maar om de juiste samenwerking. “De mens moet samen met de techniek de sterke schakel vormen,” zegt hij. “Ons project zou geslaagd zijn als bedrijven zich bewuster zijn van het feit dat medewerkers een hele mooie rol kunnen spelen bij cyber security. Met ons lectoraat willen we bijdragen aan een gedeeld verantwoordelijkheidsgevoel voor cyberweerbaarheid in organisaties.”
Fotografie: Thomas Busschers
Meer over de positieve benadering van cyberweerbaarheid
Het project ‘De positieve benadering van cyberweerbaarheid (human-as-solution)’, dat wordt gefinancierd vanuit de Citydeal Lokale Weerbaarheid Cybercrime, is een samenwerking van het expertisenetwerk Cyberweerbaar NL tussen lector dr. Remco Spithoven en senior onderzoeker dr. Bruno Verweijen van het Saxion-Lectoraat Maatschappelijke Veiligheid en onderzoekers van de NHL Stenden Hogeschool. Living technology, de focus van Hogeschool Saxion, sluit naadloos aan bij de focus van het project, waarin een socio-technisch vraagstuk over menselijk gedrag in een gedigitaliseerde context centraal staat.
