Informatiebeveiliging… voer voor psychologen?

WannaCry, StuxNet, data-lek gemeente, data-lek ziekenhuis; ransomware groeit duidelijk als kool, Windows XP wordt al jaren niet meer ondersteund met (veiligheid)patches, uw virus definities zijn verouderd, je hebt geen back-up gemaakt…

Nieuws? Welnee!

We weten het allemaal, maar wat doen we er mee? Het moet iets te maken hebben met menselijk gedrag en dan waarschijnlijk onze risico perceptie. Neem het bellen in de auto, in principe natuurlijk alleen hands-free. Maar, wees eens eerlijk, bel jij wel eens met het toestel in je hand? Maximum snelheid 100 km/uur, en Flitsmeister meldt GEEN flitsers, ook jij rijdt vast wel eens te hard. De pakkans is immers nihil.

Een veel gehoord argument her en der als het gaat om beveiliging van informatie is deze: ach, als er wat gebeurt, heb ik toch niets te verbergen. Mijn reactie is dan altijd: “Maar dan neem ik aan dat je in de slaapkamer ook geen gordijnen hebt hangen tegen het inkijken”. Meestal is dan de reactie: “dat is iets heel anders. En bovendien, hoe groot is nu de kans dat ze mijn informatie stelen?”

Ransomware is een business model

Wake-up! Ransomware is een business model. En nog een succesvol business model ook. Net als spam. Het kost niets en de beloning is hoog. Het is in veel gevallen helemaal niet te doen om jouw gegevens. Het model is erop gericht dat de crimineel WEET, dat jouw informatie voor jou van groot belang is. De crimineel weet het, nu jij nog.
Neem bijvoorbeeld de computer waar je jouw bedrijfsadministratie op draait. Deze machine wordt gegijzeld. Heb je een goede back-up, die leesbaar is? Zo niet, eind van de maand/kwartaal moet je toch aangifte doen voor de Loonheffing en Omzetbelasting… Dat kan niet meer als je geen goed leesbare en recente back-up hebt. De Belastingdienst zal dit wel begrijpen, maar niet accepteren. Je moet gewoon aangifte doen en doe je dat niet dan volgt een boete ….. Je bent niet het eerste bedrijf dat failliet dreigt te gaan door een vergelijkbare situatie. Betalen dus maar? Het is maar een paar honderd dollar en dan heb je al jouw bestanden terug… Dat is maar zeer de vraag, zo is al gebleken. Je machine is door een crimineel gegijzeld en waarom zou deze dan na betaling jouw gegevens weer toegankelijk maken? Kortom, een simpel en lucratief business model.

Wellicht heeft WannaCry bijgedragen aan een hoger bewustzijnsniveau als het gaat om cyber risico’s. Al hangt er vanaf hoe wij tegen risico’s aankijken.

Het zou er op kunnen duiden dat ons gedrag ten aanzien van informatiebeveiliging bewust en onbewust een resultante is van de risk-equation:

Zo gaan we tenslotte ook om met snelheidsovertredingen en de pakkans. In dit geval oordelen we blijkbaar dat, met ruim 3,6 miljard mensen online (Facebook heeft al 1.7 miljard users …), de kans het slachtoffer te worden van een virus, datalekkage of ransomware zo klein is dat we er niets mee doen.
Zo beschouwd kun je de redenatie volgen dat organisaties te weinig doen als het om de bewustwording van risico’s op het gebied van informatiebeveiliging gaat, omdat de medewerkers (on)bewust er vanuit gaan dat zoiets toch niet gebeurt. Zoals we weten (bewust), gebeurt het gewoon wel……

We zullen -willen we als maatschappij iets doen met dit gegeven- elkaar dus moeten bewegen om WEL ons gedrag aan te passen. En dan heb ik het niet over bewust gedrag, want dat blijkt genoegzaam heel slecht te beïnvloeden.

Wat werkt wel?
Als gedachtegoed zou ik hier de 7 logische niveau’s van Bateson willen introduceren:

Zie hier dan ook een mogelijke verklaring waarom veel communicatie rond dit thema niet leidt tot het gewenste resultaat. Overheidscampagnes richten zich vooral op gedragsbeïnvloeding. Je kent de commercial wel; click niet op een bestand als je de afzender niet kent of vertrouwt. De vraag is of dit effect heeft als mijn overtuiging is, dat de informatie die ik heb, niet interessant is voor the bad-guys. Sterker nog, op identiteit niveau ben ik een onderdeel van het grote geheel en daarom zou informatie met alles en iedereen gedeeld moeten worden; de samenleving, dat ben ik! Als mijn bijdrage aan deze maatschappij kan zijn dat ik mijn kennis kan delen, dan is mijn leven zinvol.

Kijk ter vergelijk eens naar de meest succesvolle campagne ooit om gedrag van burgers te beïnvloeden: de BOB campagne. 100% BOB, daar kom je mee thuis! En dat wil iedereen, want thuis zit je vriendin of vrouw of kinderen, zij willen dat jij thuiskomt. De boodschap is niet: “Je mag maar 2 glazen bier drinken als je gaat rijden”, maar de boodschap is: “Je neemt je verantwoordelijkheid als je 100% BOB bent”. En dat laatste is erg effectief. Dat is communicatie op een hoger niveau.

Mijn advies aan de overheid (en aan mijn mede burgers): communiceer op een hoger niveau. Dan, en alleen dan, hebben wij wellicht een goede stap gezet op weg naar (on)bewustwording als het gaat om informatie beveiliging. En ja, psychologen kunnen ons hierbij helpen. Coaches met een NLP achtergrond overigens ook.

En inderdaad, ik ken information security specialisten die zich richten op de psychologie van de mens om bewustwording te creëren.

print