Stichting Security Awareness NL heeft zich versterkt met drie experts op het snijvlak van cybersecurity en gedrag: Sophie van der Zee, Rick van der Kleij en Kim Gunnink. Zij vormen als Raad van Advies een belangrijk klankbord voor het bestuur en geven gevraagd én ongevraagd advies over zaken als onze roadmap, events en onderzoeksactiviteiten. De Raad van Advies kan in de toekomst nog groeien naar maximaal vijf leden waarbij een juiste mix van aandachtsgebieden wordt beoogd.

Ter introductie van de RvA hebben we Sophie, Rick en Kim drie vragen gesteld over het vakgebied ‘security awareness’. Daarna stellen zij zichzelf voor.

(1) Waar moeten we als vakgebied mee stoppen?

Sophie: Ik hoop dat we als samenleving gaan stoppen met slachtoffers van cybercriminaliteit de schuld te geven van hun slachtofferschap. Dat we stoppen met deze mensen het gevoel te geven dat ze stom zijn geweest. Deze manier van denken heeft ook implicaties voor de schuldvraag en aansprakelijkheid. Hoe kunnen we kwetsbare groepen extra beschermen?

Rick: De tick-in-the-box aanpak van cybersecurity. Veel organisaties doen wat is vereist, niet wat nodig is.

Kim: Binnen ons vakgebied wordt de mens nog te vaak weggezet als zwakste schakel in de beveiligingsketen. Daar moeten we echt mee stoppen, want het is onjuist én contraproductief. Het klopt dat medewerkers vaak het startpunt van een cyberaanval zijn. Maar: onze mensen vormen daardoor juist de human firewall voor het bedrijf. Zij kunnen een aanval immers als eerste detecteren en daarmee verijdelen. Die human firewall verzwak je door te spreken over ”de mens als zwakste schakel”. Dergelijke negatieve framing roept namelijk negatieve reacties op in de vorm van weerstand (“doe het dan lekker zelf als je het zo goed weet, en laat mij gewoon mijn werk doen”) en moedeloosheid (“ik kan toch niks beginnen tegen cybercriminelen”) met gedemotiveerde collega’s en grotere veiligheidsrisico’s als gevolg. Deze ontmanteling van de human firewall maakt juist de security awareness professionals die geloven in het “zwakste schakel” adagium, de échte zwakke schakels in de beveiligingsketen.

(2) Wat kan er worden verbeterd?

Sophie: De realisatie dat alles en iedereen kwetsbaar is. Dat ingewikkelde code kwetsbaarheden bevat en dat mensen bewust of onbewust fouten maken waar misbruik van kan worden gemaakt. Wat mij betreft betekent dit dat organisaties en individuen zich actief voor moeten bereiden op mogelijk slachtofferschap. Daarom moet goed uitgezocht en gecommuniceerd worden hoe de schade van een eventuele cyberaanval zoveel mogelijk beperkt kan worden. Denk bijvoorbeeld aan een back-up die bij een ransomware aanval niet geinfecteerd raakt, of het beperken van netwerktoegang voor zoveel mogelijk accounts, zodat als een account gecompromitteerd wordt, de aanvaller niet vanuit dat account verder kan gaan met zijn/haar aanval.

Rick: Ik ben geen voorstander van gedragsbeïnvloeding. Volgens mij willen mensen helemaal niet beïnvloed worden. In plaats daarvan moeten we het mensen makkelijk maken om zich veilig te gedragen. De inzet van slimme technologie kan hierbij helpen, mits ontworpen vanuit gebruikersperspectief. Denk aan vingerafdrukherkenning voor schermontgrendeling. Daarmee creëer je een veilige omgeving.

Kim: Wat we kunnen verbeteren is het betrekken van onze niet-security collega’s bij het ontwikkelen van security awareness en cyberveilig gedrag in de organisatie. Ga met hen in gesprek, wees betrokken, vraag waar volgens hen de knelpunten in de security en security awareness liggen binnen de organisatie. Hoe zouden zij die aanpakken? Daarmee bereik je meteen dat je collega’s psychologisch ‘mede-eigenaar’ van de security uitdagingen worden en zullen meedenken over verbetermogelijkheden. Op basis van die gesprekken kun je maatwerkoplossingen en interventies aanbieden die passen bij de dagelijkse werkzaamheden en uitdagingen van collega’s, in plaats van een one-size-fits-no-one oplossingen. Hier en daar wordt deze manier van werken al opgepakt. Het zou mooi zijn als het over vijf jaar de norm is!

(3) Wat gaat er erg goed?

Sophie: De realisatie dat cybersecurity niet een puur technische aangelegenheid is. Initiatieven zoals Stichting Security Awareness NL brengen ook kennis vanuit de gedragswetenschappen en praktijk naar ondernemers. Ik zou graag zien dat cybersecurity professionals met verschillende achtergronden beter met elkaar gaan samenwerken, in plaats van dat ze (min of meer) in vrede naast elkaar leven.

Rick: Er komt steeds meer aandacht voor de menselijke laag in security. Daarbij verschuift de focus van awareness naar veilig gedrag.  Awareness is lang gezien als einddoel. Gelukkig ontstaat langzamerhand het beeld dat awareness slechts een van de vele manieren is om veilig gedrag te bevorderen. En daarmee dus geen einddoel op zichzelf hoort te zijn.

Kim: We hebben een omslagpunt bereikt in het denken over het belang van mensen in de beveiligingsketen, in die zin dat het gelukkig allang niet meer alleen over technische oplossingen gaat. Er is veel aandacht voor gedrag en trainen, en dat is erg positief. Als we daarbij de waarde van mens als first line of defense gaan inzien en meer inzetten op boosting, oprechte betrokkenheid en maatwerk, kunnen we als security awareness professionals echt het verschil maken.

Dr. Sophie van der Zee

Dr. Sophie van der Zee

Onderzoeker bij De Nationaal Rapporteur Mensenhandel en Seksueel Geweld tegen Kinderen

Dr. Sophie van der Zee combineert haar achtergrond in rechtspsychologie en informatica (security) om onderzoek te doen naar de donkere kanten van menselijk gedrag, zowel in offline als online context. Wat maakt mensen kwetsbaar en op welke manier maken anderen daar gebruik van? Ze doet onder andere onderzoek naar aangiftebereidheid van cybercrime slachtoffers, beinvloedingstactieken van cybercriminelen en (on)veilig digitaal gedrag van werknemers.

Dr. Rick van der Kleij

Dr. Rick van der Kleij

Senior Research Psychologist bij TNO en de Haagse Hogeschool

Dr. Rick van der Kleij is wetenschappelijk onderzoeker, gepromoveerd in de psychologie, met een interesse in cybersecurity. Rick is ervan overtuigd dat de mens de sleutel is tot effectieve cyberveiligheid. Het merendeel van alle cyberaanvallen heeft immers de mens nodig om succesvol te zijn. In zijn onderzoek kijkt hij naar het ontwerp van cybersecurity maatregelen met behulp van kennis van de mens. Zijn motto is: niet de mensen moeten zich aanpassen aan cybersecurity, maar de cybersecurity aan de mens. Rick werkt bij de Haagse Hogeschool en bij onderzoeksinstituut TNO.

Kim Gunnink, MA

Kim Gunnink, MA

Cyber Resilience Advisor bij De Volksbank

Werk aan dreigingsbeelden, red teaming en awareness programma’s heeft Kim Gunnink, MA ervan overtuigd dat de mens de first line of defense is in cybersecurity. Het is inspirerend mensen hun potentieel op dit gebied te helpen realiseren en de transformatie van bewustwording naar bewust gedrag te initiëren. Positief kritisch en met oog voor de integratie van sociale psychologie in cybersecurity ondersteunt Kim SA NL dan ook graag als lid van de RvA.

Stichting Security Awareness NL heeft zich versterkt met drie experts op het gebied van cybersecurity en gedragswetenschappen: Sophie van der Zee, Rick van der Kleij en Kim Gunnink. Zij vormen als Raad van Advies een klankbord en voorzien het bestuur van gevraagd én ongevraagd advies.

Wat heeft SA NL jou gebracht en wat wil jij ons meegeven voor in de toekomst? Laat het weten op LinkedIn!