Cyberveilig gedrag: waarom doen we het nou niet?

19 apr Cyberveilig gedrag: waarom doen we het nou niet?

De toenemende aandacht voor de menskant van cybersecurity zal niemand ontgaan zijn. Naast het nemen van technische en organisatorische maatregelen, richten organisaties zich steeds vaker op hun werknemers. Om meer grip te krijgen op deze menskant, hebben wij de kennis van cybersecurity gecombineerd met expertise uit psychologie, de wetenschap van het gedrag. Dit levert interessante inzichten op die verder gaan dan de vaak gebruikte awareness trainingen. PvIB publiceert hierover een drieluik waarvan dit het tweede deel is. In de vorige editie werd uiteengezet dat organisaties zich zouden moeten focussen op gedrag als einddoel en niet alleen op bewustzijn. In het huidige artikel wordt verder ingegaan op gedragsverandering. Ook wordt ingezoomd op de redenen voor het ontbreken van cyberveilig gedrag. Waarom dóen mensen vaak niet wat er van ze verwacht wordt, terwijl ze wel wéten wat er van ze verwacht wordt (bewustzijn)?

Dat de menskant van cybersecurity aandacht nodig heeft, behoeft inmiddels geen betoog meer. Het volstaat niet langer om de risico’s technisch af te
dichten en dat weten veel organisaties inmiddels. Dit uit zich vooral in groeiende populariteit van awareness trainingen in verschillende vormen, zoals games, elearnings of workshops. In de vorige editie van dit drieluik hebben we echter laten zien dat er een kloof is tussen awareness (weten mensen wat er van ze verwacht wordt) en gedrag (doen ze dat ook daadwerkelijk). Uiteindelijk is het voor een organisatie belangrijk dat de medewerkers
zich veilig gedragen (Wetzer, 2017a).

Deel 1 van dit drieluik introduceerde een programma vanuit de psychologie dat zich direct richt op het veranderen van gedrag (Wetzer, 2017b). Het uitgangspunt van dit gedragsprogramma is dat gedrag heel specifiek gedefinieerd moet worden. Een breed begrip als ‘cyberveilig gedrag’ kan immers niet gemeten of veranderd worden. Doordat het programma inmiddels voor een groot aantal gedragingen is uitgevoerd, is inzicht ontstaan in de specifieke gedragingen die door organisaties worden verstaan onder ‘cyberveilig gedrag’. Naast tal van voorbeelden van concrete gedragingen (bijvoorbeeld printen met een code of een pas, voor de werkomgeving een uniek wachtwoord gebruiken dat niet ook privé gebruikt wordt), zijn de belangrijkste conclusies:

• Er is een universele set van clusters van cyberveilige gedragingen;
• De universele gedragingen kunnen worden geclusterd in de volgende zes onderwerpen: wachtwoorden, clean desk, phishing mails, vertrouwelijke gesprekken, vertrouwelijke documenten en pc-gebruik;
• Het belangrijkste gewenste gedrag binnen een cluster verschilt per organisatie;
• Voor elke organisatie gelden tevens unieke gedragingen;
• Een deel van de gedragingen is doelgroep-specifiek.

Cyberveilig gedrag; wat houdt mensen tegen?
Nu er inzicht is in de concrete gedragingen die onder cyberveilig gedrag vallen, kan de stap naar gedragsverandering gemaakt worden. Als het gewenste
gedrag in kaart is gebracht, heb je namelijk precies duidelijk wát je van je medewerkers zou willen. De wens tot gedragsverandering impliceert dat het gewenste gedrag nog niet (genoeg) optreedt. Om goed te begrijpen hoe je hier invloed op kunt uitoefenen, bestaat de volgende stap uit het onderzoeken waaróm het gewenste gedrag nu nog niet optreedt.

De redenen voor (het ontbreken van) gedrag kunnen volgens de gedragstheorie van MacInnis, Moorman & Jaworski (1991) worden opgedeeld in drie factoren: motivatie, capaciteit en gelegenheid. Met andere woorden: wíl iemand het doen, is hij in staat om het te doen en krijgt hij de kans om het te doen? Deze gedragstheorie stelt dat motivatie, capaciteit en gelegenheid alle drie op een bepaalde drempelwaarde aanwezig moeten zijn, anders vindt gedrag niet plaats: Men dóet het pas echt, als men het wil, kan én de kans krijgt om het te doen. Andersom betekent dit dus ook, dat medewerkers die bepaald gewenst gedrag níet vertonen, dat ofwel niet willen, ofwel niet kunnen, ofwel niet de kans krijgen. Inzicht in deze redenen voor de afwezigheid van gedrag geeft concrete handvatten voor maatregelen die genomen kunnen worden en is daarmee een zeer belangrijke stap naar gedragsverandering. Het meten waarom gedrag nog niet optreedt, gebeurt door middel van diepte-interviews met werknemers uit de doelgroep. In 2017 heeft een team van psychologen van Hoffmann gesproken met meer dan 100 medewerkers van verschillende organisaties. Deze diepte-interviews zoomden in op concrete gedragingen die door management of(C)ISO’s van de betreffende organisaties als meest gewenst waren benoemd in daarvoor bestemde workshops. Door de open gespreksstructuur van de diepte interviews en de gesprekstechnieken van de psychologen, gaf deze methodiek een zeer duidelijk inzicht in het waaróm van het ontbreken van het gewenste gedrag. Wij zetten de belangrijkste resultaten voor u op een rij.

Het ontbreekt regelmatig aan motivatie of gelegenheid
In tegenstelling tot wat de vele awareness programma’s doen geloven, is het ontbreken van capaciteit zeer regelmatig niet de oorzaak van waarom mensen zich niet cyberveilig gedragen. Vaak wéét men wel wat er van hen verwacht wordt, maar dóet men het niet, omdat men het bijvoorbeeld niet belangrijk genoeg vindt of uit gemakzucht (motivatie). Ook vaker dan verwacht ontbrak het aan gelegenheid; dan wíl men de gewenste dingen dus wel doen, maar krijgt men de kans niet. Voorbeelden van deze resultaten zijn, dat men soms helemaal geen afsluitbare kast ter beschikking heeft voor het veilig opbergen van vertrouwelijk documenten, of dat men een pashouder heeft waar de pas steeds uitvalt, zodat men deze niet goed kan dragen. Deze gevallen vragen derhalve niet om een awareness-gerichte oplossing; maatregelen zouden regelmatig juist getroffen moeten worden om de gelegenheid of motivatie te verhogen.

Risico-inschatting is vaak laag
Voor veel gedragingen geldt dat men minder gemotiveerd is om ze te verrichten, omdat men het risico laag inschat. Risico wordt bepaald door de kans (hoe groot is de kans dat het mis gaat?) keer de impact (hoe groot zijn de gevolgen als het mis gaat). In opvallend veel gevallen houden werknemers maar met één van deze twee rekening en wordt de andere gebagatelliseerd. Uitspraken die duiden op een lage kans inschatting, zoals: “Als iemand deze papieren van mijn bureau zou meenemen, dan zouden we wel een groot probleem hebben. Maar ja, er kan hier toch niemand binnenkomen.”, werden veelvuldig genoteerd. Opvallend was hier een groot vertrouwen in een aantal externe factoren, zoals de techniek, waar men van verwacht dat die er wel voor zorgt dat men geen malware kan binnenhalen, of de beveiliging, waardoor men geen rekening houdt met het feit dat onbekenden wellicht toch het pand binnen kunnen komen. Naast deze lage kans inschatting werd voor andere gedragingen de impact juist onderschat (“Ja ok, dan heb je mijn wachtwoord. En dan?”), waarna pas bij specifiek doorvragen voor medewerkers duidelijk werd hoeveel informatie men vaak toch in bijvoorbeeld e-mail bewaart en hoe deze toch gevoelig blijkt als men wordt gevraagd te denken aan de gevolgen als bijvoorbeeld een journalist die in handen krijgt.

Een andere belangrijke bevinding is dat medewerkers soms minder gemotiveerd zijn om zich veilig te gedragen, omdat dat voor hen voelt als sociaal onwenselijk.

Vriendelijkheid gaat vaak boven veiligheid
Een andere belangrijke bevinding is dat medewerkers soms minder gemotiveerd zijn om zich veilig te gedragen, omdat dat voor hen voelt als sociaal onwenselijk. De deur sluiten voor iemands neus, een onbekende zonder pas aanspreken, weigeren informatie te geven… Dit gedrag vraagt iets extra’s van medewerkers. Uit de diepteinterviews blijkt dat mensen in veel gevallen liever behulpzaam en vriendelijk zijn. Het veilige gedrag wordt gezien als onvriendelijk, soms zelfs onbeleefd, waardoor medewerkers soms tóch die deur even openhouden of die informatie weggeven. Wederom een voorbeeld waaruit blijkt dat niet de awareness ontbreekt (men wéét wel wat er verwacht wordt), maar motivatie het gedrag bepaalt.

Ontbreekt awareness?
Dan vaak een specifiek element De resultaten van de diepte-interviews tonen aan, dat in de gevallen dat awareness de reden is waarom mensen iets niet doen, dit vaak heel specifiek is. Awareness valt in de gedragstheorie van MacInnis et al. onder ‘capaciteit’. Het gaat hier om verschillende aspecten van awareness, die allemaal belangrijk zijn: weten mensen dat het gedrag van hen verwacht wordt? Weten ze hoe ze het moeten doen? Weten ze waarom het belangrijk is? Blijft men zich ook op lange termijn bewust van dit gedrag en belang? Op het moment dat gedrag niet plaatsvindt als gevolg van gebrek aan capaciteit, is het dus van belang om te weten welk specifieke stuk awareness ontbreekt. Zo kan er veel gerichter gestuurd worden op het verhogen van de awareness. Dit is niet alleen efficiënter, maar verhoogt ook de impact, omdat werknemers alleen díe informatie krijgen die voor hen relevant is en niet worden overspoeld met algemene awareness informatie die ze al wisten.

Gemakzucht verklaart, maar minder dan gedacht
In voorbesprekingen met managers of CISO’s werd vaak gespeculeerd over de redenen voor de afwezigheid van gewenst gedrag. Veelvuldig werd dan genoemd dat men veronderstelde dat gemakzucht de verklaring zou zijn: de medewerkers doen het niet, omdat ze het teveel moeite vinden. Uit de resultaten van de diepte-interviews bleek dat gemakzucht soms wel een rol speelt in het verklaren waarom medewerkers iets niet doen, maar meestal niet alleen en meestal ook niet zo sterk. In veel gevallen was gemakzucht een gevolg, bijvoorbeeld een lage risico inschatting, maar niet de enige en belangrijkste oorzaak.

Hoe nu verder?
In het eerste artikel van dit drieluik over gedragsverandering is uiteengezet hoe belangrijk het is om gedrag specifiek en concreet te maken. Daarnaast is inzicht gegeven in deze concrete gedragingen. Het huidige artikel laat zien waarom medewerkers zich niet altijd cyberveilig gedragen, en wat de oorzaken hiervan zijn. Nu er meer inzicht is in de redenen waarom mensen zich niet altijd cyberveilig gedragen, kan de stap naar interventies worden gemaakt. Kennis over waaróm medewerkers iets nu nog niet doen, geeft handvatten om gerichte interventies te ontwerpen die op deze redenen ingrijpen. In de volgende editie van InformatieBeveiliging vindt u het laatste artikel uit het drieluik cyberveilig gedrag, dat ingaat op de maatregelen die genomen kunnen worden om gedrag te veranderen, gegeven de onderzochte oorzaken.

Deze bijdrage is geschreven door Dr. Inge Wetzer, sociaal psycholoog cybersecurity bij Hoffmann Cybersecurity en verscheen eerder in IB Magazine 2018 #1 https://www.pvib.nl/actueel/ib-magazines/ib-magazine-2018-1.