Ok, toegegeven: regelmatig lees ik met enige verbazing dat iemand, of zelfs een hele organisatie, wéér slachtoffer is geworden van een of andere obscure phishing poging. Die ene website bleek toch nep te zijn, die e-mail was toch niet afkomstig van wie men dacht, een data-lek omdat iemand (on)bewust informatie heeft gedeeld met ‘foute’ personen, die public wifi was toch niet zo veilig.
En zo kunnen we nog wel even doorgaan.
“Hoe dan?”, vraag ik mijzelf dan af. Al jarenlang pompen we ongelooflijk veel geld in het voorkomen van dit soort praktijken. Volgens een onderzoek van McKinsey1 is er alleen al in 2021 wereldwijd meer dan 140 biljoen euro uitgegeven aan alles wat met Cyber Security te maken heeft. En dat bedrag stijgt jaarlijks met gemiddeld 12% (EUR 188 biljoen in 2023).
Je zou toch verwachten dat mensen inmiddels de gevaren en risico’s wel kennen, niet? Dat ze met al die apps en technologieën van vandaag-de-dag, het wel een keer snappen? Niets is minder waar. Datzelfde onderzoek van McKinsey laat zien dat alleen al in de Verenigde Staten de geschatte schade door internetcriminaliteit ruim 4 biljoen euro bedraagt. En dat bedrag zal in de toekomst alleen nog maar harder gaan stijgen naarmate we (nog) meer gebruik gaan maken van technologie.
Hoe kan het dat we er toch steeds maar in blijven trappen? En nee, het zijn echt niet alleen de ouden-van-dagen die slachtoffer zijn door onoplettendheid. Het overkomt jou en mij ook!
Tijd voor een andere lens: het Menselijk handelen
Ik ben van mening, dat het tijd wordt dat we dit onderwerp ook eens vanuit een hele andere invalshoek moeten durven benaderen. Die van het gedrag van de mens. Van die 140 biljoen euro investering in Cyber Security per jaar gaat ruim 98% naar allerlei technologische oplossingen. Technologie ter preventie (vooraf) en technologie ná een attack (achteraf). Maar er zit nog een hele wereld daar tussenin: die van het Menselijk handelen! Want ondanks al die mooie en ‘sophisticated’ technologie: zolang mensen tóch op die link klikken (op kantoor of thuis), zolang mensen tóch informatie blijven delen via ‘ongeoorloofde’ manieren, zolang men banktransacties blijft doen via een public wifi, blijf je als organisatie achter de feiten aanlopen. Je blijft risico lopen. Dweilen met de kraan open, met alle gevolgen van dien!
Het werkelijke probleem
Hier zit in mijn beleving het werkelijke probleem: het gedrag van de mensen die je veilig probeert te houden. Een probleem dat veel te weinig de juiste (!) aandacht krijgt. Want:
- Hoe krijg je mensen zo ver dat ze phishing pogingen beter/sneller herkennen?
- Dat ze beter nadenken en controleren voordat ze informatie delen?
- Dat ze controleren of hun Wifi/4G verbinding écht veilig is?
- Dat ze alleen veilige programma’s installeren vanaf het internet?
- Hun wachtwoorden veilig opslaan en regelmatig veranderen (ik heb het maar niet over de 1-2-3-4 wachtwoorden)?
Ofwel: dat ze de opgestelde Cyber Security protocollen, die er niet voor niets zijn, nu eens serieus nemen en consequent gaan opvolgen?
Pure psychologie
Om je een voorbeeld te geven van het probleem: wist jij dat één van de hoofdredenen waarom mensen de Cyber Security processen en procedures niet opvolgen te maken heeft met juist het feit dat ze verplicht zijn? Mensen houden namelijk niet van verplichtingen, want daarmee hebben ze geen keus. Mensen willen altijd een keus hebben (of voelen). Ontneem de keus en mensen zijn er klaar mee. Hier zit niets rationeels aan. Dit is puur psychologie. Irrationeel dus!
Inzicht in menselijk gedrag, het waarom achter het toch klikken op die link in die e-mail, is cruciaal om al die investeringen in Cyber Security ook zinvol te maken. Daarbij blijkt uit onderzoek2 ook, dat een echte ervaring met bijvoorbeeld phishing pogingen elke vorm van informatieverstrekking, uitleg, toelichting en/of training ver overstijgt. Met dit psychologisch gegeven (hoe mensen leren) kun je dus iets doen om de investeringen in Cyber Security rendabel te maken.
Pleidooi
Mijn pleidooi hier is dus dat we veel meer aandacht moeten besteden, en dus ook meer in moeten investeren, in het achterhalen van het “waarom” achter het gedrag rondom Cyber Security. Veel meer de psychologische kant moeten belichten.
De ‘Applied Behavior Science’ kan hierin een belangrijke rol spelen. Door eerst het huidige gedrag te begrijpen, het waarom, om dan op basis van die inzichten gerichte gedragsinterventies te ontwerpen en uit te voeren. En die zijn veel effectiever dan de gemiddelde brochures, posters of andere awareness-sessies en -pogingen!
Ik wil met dit pleidooi zeker niet beweren, dat hiermee alle Cyber Security uitdagingen als sneeuw voor de zon verdwijnen. Als een kwaadwillend iemand echt kwaad wil doen, dan kun je dat nooit helemaal tegenhouden. Maar één ding weet ik weél zeker: De immense jaarlijkse investeringen in Cyber Security krijgen een veel hogere ROI!
Noten
1. McKinsey-onderzoek: https://www.mckinsey.com/featured-insights/mckinsey-explainers/what-is-cybersecurity
2. Phishing-ervaring: https://www.bi.team/case-studies/strengthening-the-metropolitan-police-against-cyber-attacks/
Gerelateerde artikelen
Kom met uw praktijkervaringen op het terrein van managen en organiseren
Deel uw kennis, schrijf 3 columns of artikelen en ontvang een gratis pro-abonnement (twv €200)
Word een pro!
SCHRIJF MEE >>