Cyber als Mindf*ck
Ooit in een Mindf*ck illusie van Victor Mids en Oscar Verpoort getrapt? Dit is je niet te verwijten. Hun experimenten zijn perfect uitgevoerd en hoe beter je kijkt, hoe minder je de clou kunt ontdekken. Alleen wanneer je je verdiept in de werking van het lichaam, de zintuigen en de bijbehorende cognities, kun je een menselijk brein doorgronden en begrijpen waarom zij ook jouw brein en gedrag kunnen beïnvloeden. Medewerkers verwijten dat zij fouten maken is eveneens niet langer voldoende om de menselijke kant van cyberrisico’s aan te pakken.
Door Stefan Zwager en Zico van Rooijen
Essays en artikelen over cyberrisico’s verwijzen vaak naar menselijke fouten als een belangrijke veroorzaker van cyberincidenten en de schades die daaruit voortvloeien. Maar wat is die menselijke fout en hoe worden menselijke eigenschappen en gedrag geëxploiteerd door cybercriminelen? Door deze kwetsbaarheden beter te begrijpen, kan er meer worden gedaan om ze aan te pakken en een grotere cyberweerbaarheid op te bouwen.
Organisaties investeren stevig in het beschermen van hun IT-systemen met beveiligingsmaatregelen en andere infrastructuur, waarbij de uitgaven in 2020 boven de $42 miljard zullen uitkomen. Maar investeren bedrijven wel naar verhouding in de ontwikkeling van mensen als de eerste verdedigingslinie voor het beschermen van gegevens en systemen?
Laten we starten met het vervangen van de term ‘menselijke fout’ door ‘menselijke factor’ in een poging om af te stappen van het negatieve. Daarnaast levert de menselijke factor meer ruimte om naast bedreigingen ook kansen in cyberweerbaarheid te identificeren.
Wat is de menselijke cyber factor?
De menselijke factor heeft minder te maken met feitelijke fouten en meer met ontoereikende veiligheidsculturen en de uitbuiting van menselijk gedrag en goodwill. Door te weten hoe mensen op de werkplek opereren en hoe cybercriminelen menselijke eigenschappen willen uitbuiten, is het mogelijk de menselijke factor te managen.
Drang naar toegang tot gegevens
Hoger- en middenmanagement zullen bij een gerichte aanval eerder door cybercriminelen worden aangevallen dan de overige organisatielagen. Dit komt omdat met name deze groep de neiging heeft waardevolle informatie te bewaren en/of een hoge mate van toegang tot dergelijke gegevens te hebben. Leidinggevenden op directieniveau zullen negen keer zo snel het doelwit zijn van social engineering als in voorgaande jaren.
Volgens het AIG EMEA Cyber Claims Intelligence Report (zie figuur) vormt het hacken van e-mailaccounts (Business E-mail Compromise) het meest voorkomende cyberincident. Deze categorie wordt op de voet gevolgd door Ransomware en Datalekken.
Thuiswerken en quarantaine stress
Over de hele wereld werken mensen steeds vaker vanuit huis. Terwijl organisaties noodplannen voor bedrijfscontinuïteit opstellen, worden personeelsleden blootgesteld aan cyberdreigingen. Werknemers dienen terug te vallen op mobiele of persoonlijke apparaten. Het is onwaarschijnlijk dat deze dezelfde bescherming hebben als op de werkplek. Minder veilig dus, terwijl tegelijkertijd een hoger stressniveau medewerkers kwetsbaarder maakt om in een Mindf*ck van cybercriminelen te trappen. Meer thuiswerken verhoogt onvermijdelijk het risico van uitbuiting door cybercriminelen.
We zien dat bedrijven steeds meer en sneller nieuwe mogelijkheden ontwikkelen om medewerkers op afstand te laten werken. Maar krijgen veiligheidsoverwegingen altijd de juiste aandacht in deze ontwikkeling?
Afleiding en mobiele apparaten
Gebruikers van mobiele apparaten zijn volgens Verizon gevoeliger voor phishing, sociale media-aanvallen en spoofing (het nabootsen van legitieme webpagina’s) dan desktopgebruikers. Dit komt door het ontwerp van mobiele apparaten en de manier waarop gebruikers ermee omgaan. De relatief kleine schermgrootte van mobiele apparaten vermindert de duidelijkheid. Daardoor is het vaak moeilijker om de echtheid van e-mails en reactieverzoeken te zien. Mobiele apparaten worden vaak gebruikt wanneer mensen lopen, praten en andere activiteiten ondernemen die een afleiding vormen. Dit tast de waakzaamheid van mensen aan.
Automatisch en onbewust gedrag
Een mens heeft van nature de wens om anderen behulpzaam te zijn. Deze en andere zachtere factoren spelen een rol als het gaat om de risico’s van eindgebruikers. Psychologisch gezien activeert het helpen of tevreden stellen van anderen die delen van de hersenen die geassocieerd zijn met het beloningssysteem, met positieve gevoelens en onbaatzuchtig gedrag.
Tot op zekere hoogte is menselijk gedrag geautomatiseerd. Handelingen die leiden tot een positief gevolg worden het sterkst geautomatiseerd en zijn daarom het lastigst te doorbreken. Door ons procedurele geheugen wordt het een natuurlijk gedrag van gebruikers om bijvoorbeeld bij cookie meldingen de ‘ik accepteer’ knop weg te klikken.
Bovendien zijn er veel (gewoonte)gedragsredenen waarom medewerkers zich mogelijk niet houden aan de regels van cyberveiligheid.
Social engineering als wapen van criminelen
Het idee achter social engineering is dat het natuurlijk gedrag en de emotionele reacties van een potentieel slachtoffer worden gebruikt. Denk hierbij aan de wens van een werknemer om een collega te helpen. Een crimineel doet zich voor als collega, wint het vertrouwen van deze persoon en brengt deze vervolgens in een situatie met tijdsdruk. Hierdoor word je verleid om ‘eerst te handelen en later te denken’.
Criminelen spelen graag mindgames. Het is eenvoudiger om de telefoon te pakken en zich voor te doen als de technische helpdeskmedewerker om informatie te verkrijgen dan om maandenlang te proberen een technische hack te forceren.
Strategische uitdaging
Het aanpakken van de cybermenselijke factor is een steeds noodzakelijker wordend onderdeel van een cyberbeleid. Medewerkers dienen beschermd te worden tegen psychologische aspecten die gebruikt worden om hen te misleiden. Denk aan principes als goede wil tonen, tijdsdruk, vertrouwen en het ‘voor-wat-hoort-wat’ principe. Het is belangrijk om mensen te faciliteren om cyberveiliger te zijn.
Cyberbeveiliging wordt van oudsher gezien als verantwoordelijkheid van IT-afdelingen en CISO’s. Maar door de veranderende aard van de dreigingen is cyber beveiliging een strategische uitdaging geworden voor het hele bedrijf, waaronder senior management, IT-, risico- en verzekeringsprofessionals en ‘last but not least’ Human Resource Management. Kijk voor uitgebreidere kennis over de gedragsmatige aspecten van cyberrisico, mogelijke beleidsoplossingen en het meest recente claims data rapport maar eens op de site van AIG onder het tabblad insights.