Technologie alleen is niet genoeg om organisaties weerbaar te maken tegen cyberdreigingen. Dat stelt het Nationaal Cyber Security Centrum (NCSC) in een recente publicatie waarin zes principes worden gepresenteerd voor het ontwikkelen van een positieve cybersecuritycultuur. De nadruk ligt op gedrag, samenwerking en psychologische veiligheid binnen organisaties – niet op technische maatregelen of compliance-eisen.
Met de handreiking ‘Ontwikkel een positieve cybersecuritycultuur’ wil het NCSC bestuurders, beleidsmakers en securityteams helpen om digitale veiligheid structureel te verankeren in de organisatiecultuur. Niet door regels aan te scherpen, maar door bewust te investeren in meldcultuur, voorbeeldgedrag en het bespreekbaar maken van twijfels en fouten.
Mensen als sterkste schakel
Het NCSC stelt in haar nieuwe handreiking ‘Ontwikkel een positieve cybersecuritycultuur’ mensen expliciet centraal. De handreiking biedt zes principes die organisaties helpen de culturele omstandigheden te creëren waarin mensen het gewenste cyberveiligheidsgedrag kunnen uitvoeren.
Het eerste principe verbindt cybersecurity direct met organisatiedoelen. Als cybersecurity wordt losgekoppeld van andere bedrijfsdoelen, begrijpen medewerkers onvoldoende hoe het hun dagelijks werk raakt. Dit kan ertoe leiden dat cybersecurity als belemmerend wordt ervaren, waarschuwt het NCSC.
Deze koppeling tussen bedrijfsdoelen en cybersecurity ontbreekt vaak in Nederlandse organisaties. Lector Rick van der Kleij, die zich als gedragswetenschapper verdiept in de menselijke kant van digitale veiligheid, illustreert dit met een voorbeeld van een schoonmaakbedrijf uit zijn onderzoek: “Die vroeg: Waarom moet ik dit? Ik heb toch helemaal geen dingen die cybercriminelen zouden willen hebben. Pas toen een andere deelnemer uitlegde dat het bedrijf codes heeft van klantpanden, personeelsgegevens en klantinformatie, viel het kwartje.”
Psychologische veiligheid als basis
Het tweede NCSC-principe benadrukt het belang van veiligheid en vertrouwen binnen de organisatie. “Digitale weerbaarheid vereist dat mensen om hulp kunnen vragen, problemen kunnen melden, fouten durven toegeven of nieuwe ideeën kunnen aandragen”, aldus de handreiking. Zonder psychologische veiligheid trekken mensen zich terug en vertonen ze zelfbeschermend gedrag.
Dit raakt de kern van het Nederlandse probleem. Waar organisaties vaak straffen wanneer medewerkers ‘fout’ klikken, pleit het NCSC voor een cultuur waarin fouten bespreekbaar zijn en mensen zich veilig voelen om incidenten te melden. “Het erkennen van de input van medewerkers en daarop te handelen, kan een positieve feedbackloop creëren die toekomstige bijdragen stimuleert”.
Verandering als kerncompetentie
Een derde cruciaal principe betreft het vermogen om aan te passen aan veranderingen. Het vermogen om aan te passen aan veranderingen en continu te verbeteren, is de kern van een weerbare organisatie. Dit geldt vooral voor cybersecurity en digitale weerbaarheid, stelt het NCSC. Cybersecurity moet telkens evolueren met nieuwe technologieën en verhoudt zich tot een steeds veranderend dreigingslandschap.
Naast het aanpassen aan marktveranderingen en veranderingen in wet- en regelgeving, het omgaan met onverwachte gebeurtenissen – waaronder cyberincidenten – doen organisaties er goed aan deze situaties te zien als kansen voor verbetering. Hoewel het handhaven van de status quo misschien eenvoudiger en veiliger lijkt, maakt dit de organisatie juist kwetsbaar.
Dit sluit aan bij wat Van der Kleij benadrukt over de noodzaak van weerbaarheid in plaats van pure preventie. “Weerbaarheid zegt: je moet ook nadenken over het moment dat het misgaat. Je moet capaciteit hebben om adequaat te kunnen reageren, om te kunnen herstellen, maar ook om te kunnen leren van dat wat is misgegaan.”
De hele organisatie moet samenwerken om veranderingen door te voeren in een tempo dat past bij alle bedrijfsfuncties, met het besef dat als een functie stagneert of juist vooruitgaat zonder bredere consensus, dit de organisatie kan schaden. Het cybersecurityteam speelt hierin een actieve rol, waarbij ervoor wordt gezorgd dat de balans tussen risico’s en kansen zorgvuldig wordt toegewezen aan de teams en personen die het beste zijn uitgerust om deze te beheren.
Sociale normen belangrijker dan regels
Bijzonder relevant is het vierde principe over sociale normen. “Naast formele regels heeft elke groep, inclusief de werkplek, ongeschreven regels over hoe men zich hoort te gedragen”, stelt het NCSC. Deze ongeschreven regels kunnen veilig gedrag sterk aanmoedigen, maar ook ondermijnen.
Van der Kleij herkent dit in de Nederlandse praktijk: “Als je alleen in IT investeert, maar je mensen niet meeneemt in waarom tweefactorauthenticatie dient, wat het betekent en hoe het werkt, dan gaat het nog steeds mis.” Hij verwijst naar het Uber-incident van 2022, waarbij een hacker binnen kwam door WhatsApp-berichten naar medewerkers te sturen met de tekst: “Ik ben van de IT-servicedesk. Er gaat iets mis met inloggen. Kun je even op ja klikken als die pop-up weer komt?”
Leiderschapsverantwoordelijkheid
Het vijfde principe benadrukt de rol van leiderschap. “Leiders die hun verantwoordelijkheid om de beveiligingscultuur positief te beïnvloeden negeren, kunnen juist een belemmering vormen voor cultuurverandering”, waarschuwt het NCSC. Mensen die hen als voorbeeld zien, zullen hun gedrag volgen.
Dit geldt des te meer omdat sinds enkele jaren de turbulente geopolitieke tijden hun weerslag hebben op de digitale dreiging, zoals het Cybersecuritybeeld Nederland 2024 constateert. Nederland is doelwit van cyberaanvallen, of ondervindt de impact van cyberaanvallen die doorwerken binnen het digitale ecosysteem.
Van regels naar begeleiding
Het zesde en laatste principe pleit voor duidelijke maar flexibele cybersecurityregels. “Regels die te gedetailleerd en strikt zijn, kunnen uiteindelijk schadelijk zijn voor de digitale weerbaarheid, omdat ze snel onhandelbaar en verouderd raken”, staat er in de handreiking. Tegelijkertijd kunnen te vage richtlijnen medewerkers onzeker maken.
Voor Van der Kleij ligt hier de sleutel tot echte cyberweerbaarheid. “We moeten gewoon afscheid nemen van cybersecurity. Dat werkt gewoon niet.” Zijn alternatief is cyberweerbaarheid: “Je moet ook nadenken over het moment dat het misgaat. Je moet capaciteit hebben om adequaat te kunnen reageren, om te kunnen herstellen, maar ook om te kunnen leren van dat wat is misgegaan.”
Cultuurverandering als uitdaging
De NCSC-handreiking erkent dat elke organisatie uniek is en dat er geen one-size-fits-all-aanpak bestaat voor het ontwikkelen van een goede cybersecuritycultuur. “Deze principes beschrijven de gewenste eindtoestanden die in gezonde culturen voorkomen, in plaats van een voorschrijvende ‘how-to’-gids om daar te komen”.
Dat is precies wat Nederlandse organisaties nodig hebben. Van der Kleij’s onderzoek toont aan dat Nederland weliswaar een overvloed heeft aan cybersecurity-initiatieven, maar steeds dezelfde partijen bereikt. “Die twee miljoen mkb’ers die achterblijven, die zien we gewoon niet”, constateert hij.
De overgang van cybersecurity naar cyberweerbaarheid met de mens centraal is meer dan semantiek. Het is een erkenning dat absolute veiligheid een illusie is, en dat organisaties moeten leren leven met risico terwijl ze hun vermogen om te herstellen en te leren maximaliseren. Of zoals Van der Kleij het stelt: “We moeten stoppen met denken dat we cyberincidenten kunnen voorkomen. Het gaat er niet om óf je wordt aangevallen, maar wanneer – en hoe effectief je daarop reageert.”