Mens als zwakke schakel? Fouten maken mag!
In de complexe wereld van cybersecurity lijkt het vaak alsof ‘menselijke fouten’ de oorzaak zijn van cyberincidenten. Maar is het echt zo eenvoudig? Dat het misgaat, ligt niet per se aan de mens zelf, zo betoogt Rick van der Kleij (TNO/Avans Hogeschool) in deze blogbijdrage.
Is de mens de zwakke schakel?
Het nieuws staat vol met organisaties die slachtoffer zijn van een datalek. Zo heeft Pensioenfonds ABP in 2023 per ongeluk de e-mailadressen gelekt van 500 gepensioneerden. Het fonds spreekt van een 'menselijke fout'. De e-mailadressen zijn ingevuld in het verkeerde veld, zegt het ABP. In plaats van in het zogeheten BCC-veld werden ze in het CC-veld ingevoerd. Bij BCC kunnen de ontvangers niet zien wie de mail nog meer heeft gekregen, bij CC is die lijst wel zichtbaar.
Rapporten van Verizon hebben in de afgelopen jaren telkens vastgesteld dat de mens betrokken is bij meer dan tachtig procent van datalekken wereldwijd! De mens is de zwakke schakel in cybersecurity hoor je dan ook vaak. Als eindgebruikers nu eens goed zouden snappen waar de risico’s liggen dan zou de organisatie een stuk minder kwetsbaar zijn voor allerhande cyberellende, zo is de gedachte bij veel securityteams.
Waar ligt de oorzaak?
Maar is het wel zo dat menselijke fouten verantwoordelijk zijn voor cyberincidenten zoals datalekken? Als je goed kijkt is er vaak meer aan de hand. Want ja, mensen maken fouten en vergeten dingen. Maar wat veroorzaakt deze fouten?
Een veelgebruikt incidentmodel verklaart het ontstaan van incidenten aan de hand van afzonderlijke gebeurtenissen, zoals menselijke fouten of technische mankementen. Ondanks dat deze kijk op security nog veel in gebruik is, is al ruime tijd geleden aangetoond dat er betere modellen zijn om incidenten te verklaren. Incidenten hebben veelal geen enkele oorzaak, zoals een medewerker die e-mailadressen invult in het verkeerde veld, maar ontstaan door fouten op verschillende niveaus in een bedrijfssysteem.
Holistische modellen zijn nodig om de complexiteit in het ontstaan van incidenten te verklaren. Deze modellen nemen ook cultuur, beleid, procedures, management en de systemen die we gebruiken mee om te verklaren hoe incidenten ontstaan. Deze factoren vallen vaak niet onder de controle van mensen die het werk uitvoeren. Belangrijk is dat deze modellen menselijke fouten dan ook veelal uitsluiten als primaire bron van incidenten.
Want de ‘menselijke fout’ blijkt meestal gewoon een fout die elders in het systeem ligt. En doordat we niet verder kijken dan menselijke fouten worden de werkelijke redenen van incidenten vaak niet aangepakt.
Lance Spitzner, directeur van het SANS instituut en expert op het gebied van security awareness, stelt dat we cyberbeveiliging zo ingewikkeld hebben gemaakt dat mensen hierdoor falen. ‘En als medewerkers denken te weten wat ze moeten doen in geval van een securityprobleem, is het hun al zo moeilijk gemaakt dat ze vaak de verkeerde optie kiezen.’
Digitaal weerbaarder systeem
Vaak wordt security awareness gezien als oplossing voor menselijk falen. Maar het vertellen aan mensen dat ze voorzichtiger moeten zijn, is niet het antwoord. Hoewel het redelijk is om van mensen te verwachten dat ze opletten en voorzichtig zijn, is het hierop vertrouwen niet voldoende om cybersecurityrisico's te beheersen. De eenzijdige kijk op mensen waarmee security awareness wordt toegepast betekent automatisch dat andere belangrijke aspecten worden vergeten. Er zijn verschillende maatregelen die betere controles bieden, waaronder het meer mensgericht ontwerpen van securitymaatregelen, procedures en beleid.
Er bestaan technische- en organisatorische oplossingen die het delen van persoonsgegevens met personen buiten de organisatie voorkomen. Maar het ophogen van securitymaatregelen kan ook contraproductief werken stelt Roel van Rijsewijk, directeur Cyber Defense bij Thales, in zijn betoog dat we cybersecurity niet het probleem moeten maken van de eindgebruikers. ‘Een restrictief security-beleid zorgt uiteindelijk altijd voor olifantenpaadjes’, is zijn mening. ‘Een omgeving 100 procent dichtzetten is naast onmogelijk, ook gewoon onwenselijk. Het zorgt alleen maar voor meer frictie en ongewenst eigen initiatief van medewerkers.’
Beter zijn oplossingen die het eindgebruikers gemakkelijk maken om veilig te werken (en moeilijk om onveilig te werken). Bijvoorbeeld doordat de applicatie de gebruiker waarschuwt als deze op het punt staat om vertrouwelijke informatie te versturen. Deze feedback is cruciaal in dat het eindgebruikers helpt om de (negatieve) uitkomsten van hun actie te overzien en daarmee fouten te voorkomen. Dit feedbackmechanisme ontbrak vermoedelijk in de e-mailapplicatie van pensioenfonds ABP.
Iedereen maakt fouten. Hoe goed opgeleid en gemotiveerd we ook zijn. Dat mensen fouten maken moeten we accepteren. De uitdaging is om fouttolerante securitysystemen te ontwikkelen die rekening houden met de kenmerken en beperkingen van de menselijke onderdelen. We hebben dan ook niet meer security awareness nodig bij de eindgebruiker, maar meer human awareness bij de securityteams.
Rick van der Kleij is Lector Cyberweerbare organisaties @ Avans Hogeschool | Sr. cybersecurity onderzoeker @ TNO.