Security kampt niet alleen met dreigingen van buitenaf maar moet juist opboksen tegen gevaar van binnenuit. Staar je niet blind op de kwaadwillende werknemer, maar hou rekening met de moderne, ‘puberende’ werknemer. Die wil gewoon zijn werk doen, maar dan wel op eigen wijze.
Eigen wijze en eigenwijs liggen dicht bij elkaar. Beide kunnen beveiligingsdreigingen opleveren. Security moet gezien worden als een ‘mensenprobleem’, concludeert securitymanager Fred Noordam van Cisco uit onderzoek naar werknemersgedrag. De netwerkleverancier heeft duizend mensen in het Nederlandse bedrijfsleven uitgebreid laten ondervragen over de maatregelen die zij treffen om digitale veiligheid te borgen.
De werknemer is de ingang
Net iets meer dan de helft (51 procent) van de respondenten geeft aan dat werknemersgedrag de op één na grootste bedreiging is voor it-beveiliging. Het grootste gevaar komt van georganiseerde cybercrime, stelt 67 procent van de ondervraagde werknemers. Deze rangschikking is echter discutabel, aangezien veel aanvallers juist rekenen op onveilig gedrag van medewerkers in een organisatie die ze op de korrel nemen.
Het mikken op werknemers kent namelijk een hoge succesfactor. Zo trekt, volgens het Cisco-onderzoek, zo’n 38 procent van de werknemers zich niet veel aan van het it-beveiligingsbeleid. Erger nog is dat één op de twintig medewerkers dit beleid zelfs actief omzeilt. Gebruikers moeten dus in de kern zitten van elke securitystrategie, raadt Cisco aan.
Noordam wijst op de dagelijkse realiteit van werknemers die blind op linkjes klikken. “Daarmee loopt een organisatie toch risico, ongeacht hoeveel technologie er is opgetuigd,” verzucht hij.
Het gouden pistool
Hij trekt de vergelijking met de James Bond-film ‘The Man With the Golden Gun’. Daarin reist een huurmoordenaar ongezien langs beveiligingscontroles op luchthavens met een gedemonteerd wapen. Zijn moordmiddel bestaat uit een pen, aansteker, sigarettendoosje, manchetknopen en nog enkele componenten. Alle gemaakt van goud. Zogeheten point-in-time security ziet alleen die losse elementen, maar niet de potentiële dreiging van de optelsom.
Cyberdreigingen anno nu bestaan ook uit dergelijke ogenschijnlijk onschuldige onderdelen. “Daar valt niet tegenop te scannen,” bekent Noordam. “Wij kunnen niet alles, wij zijn niet ‘God’s gift to security’. Iedereen wordt op een gegeven moment gehackt, of ís al gehackt maar weet het nog niet.”
Angst, onzekerheid, onwetendheid, onkunde
Een groot deel van het beveiligingsprobleem zit al binnen; letterlijk binnen. De bekende humoristische it-uitdrukking PEBCAK (Problem Exists Between Chair And Keyboard) is voor security de wrange waarheid. Toch erkent de it-beveiliging dat nog altijd niet goed. “De focus ligt ten onrechte op systemen,” stelt onderzoekswetenschapper Esther Oprins van TNO. Zij legt uit dat gebruikers geplaagd worden door angst, onzekerheid en stress over en door technologie. Tegelijkertijd zijn gebruikers grotendeels onwetend van de risico’s, mede door hun eigen technologische onkunde.
“Cybersecurity moet leren van de luchtvaartindustrie,” aldus Oprins, die eerder een carrière had in de luchtvaartsector. Ze raadt het Swiss cheese-model aan om bedreigingen en incidenten te analyseren. Met dat model worden vliegtuigongelukken nauwgezet herleidt door elke laag in de organisatie, de technologie en de betrokken mensen onder te verdelen in plakjes. “Elk van die plakjes kan enkele gaten hebben en zodra er een gat of gaten in meerdere plakjes ‘op één lijn’ liggen, is er sprake van een volledig gat. Voor cybersecurity moeten zaken als laptopdiefstal, jobhopping en phishing ook in beschouwing worden genomen.”
Analist Peter Vermeulen van Pb7 Research waarschuwt voor de traditionele reactie van veel managers en it-beheerders. “Pas op voor verbiedkramp! Gebruikers zijn niet dom of lui, maar wel zijn ze immuun geworden door de vele rampscenario’s die in securitypresentaties worden uiteengezet.” Hoe IT dan toch met de noodzaak van security kan doordringen, bij werknemers en managers? Door mee te denken met die gebruikers, die tegenwoordig veel mondiger zijn.
De vier pubers van (in)security
Het krampachtige verbieden is volgens Vermeulen een heilloze weg. “Gebruikers doen vaak toch wat ze zelf willen en kunnen daarmee voor onveiligheid zorgen.” Hij trekt de vergelijking met pubers die verzuchten ‘Jullie begrijpen me niet’ en ondertussen Dropbox, iPads en Facebook gebruiken op en voor werk.
Vermeulen stipt aan dat die ‘puberende’ gebruiker niet verward moet worden met de manager, inclusief topbestuurder. “Dat zijn ook pubers die zich onbegrepen voelen, terwijl zij de it-afdeling omzeilen met gebruik van Salesforce.com, iPads enzovoorts. En vergeet evenmin de it-medewerker. De it’er wil soms als een ware puber nog graag zelf knutselen met bijvoorbeeld Amazon Web Services en klaagt daarbij ook ‘Jullie begrijpen me niet’. Tot slot is er nog het hoofd informatiebeveiliging, die hardnekkig hamert op security en door de andere mensen in de eigen organisatie ook al niet begrepen wordt. Dit vierzijdige, wederkerige onbegrip zorgt in de praktijk voor securityproblemen.”
Gebruiksgemak
Vermeulen breekt echter een lans voor de moderne, eigenwijze gebruiker. “Vanuit traditioneel onbegrip valt die te beschouwen als mondig, intuïtief gebruiksgemak vereisend, IT omzeilend, onbewust van gevaar maar wel naar IT wijzend als het misgaat.” Het slim, haast opvoedkundig, omgaan met deze puber kan die negatieve eigenschappen juist omzetten in iets positiefs. Mondigheid wordt dan meedenken over nieuwe oplossingen. Intuïtief gebruiksgemak vereisen wordt snel inspelen op nieuwe mogelijkheden. Eigen spullen gebruiken wordt dan vrijwillig privétijd omzetten in werktijd en daarvoor ook de apparatuur aandragen. Cloud gebruiken wordt dan nieuwe kansen voor de organisatie identificeren en benutten. “Desondanks ziet de gebruiker het gevaar nog steeds niet,” relativeert Vermeulen zijn eigen betoog.
Levenlang leren
TNO-onderzoeker Oprins vult aan dat hier niet alleen voor de it-beheerder een rol is weggelegd. “Managers buiten de it-afdeling en zelfs het onderwijs moeten aan de bak om gewone gebruikers competenties bij te brengen.” Competenties bestaan uit het geheel van kennis, vaardigheden en houding. Dat laatste omvat ook de persoonlijkheid van mensen; zijn ze risicomijdend of zoeken ze juist kansen?
“Het ontwikkelen van competenties voor veiliger it-gebruik loopt van onderwijs tot en met beroepspraktijk,” benadrukt Oprins. “Er is continu bewustwording nodig. Voorheen lag de focus op het aanleren van vaardigheden, maar tegenwoordig is life-long learning de norm. De IT-manager speelt daarin een rol, maar ook de algemeen manager, het afdelingshoofd, de HR-manager en natuurlijk de werknemer zelf.”