Cybersecurity: ‘Voor een echte verandering moet je mensen dieper raken’

Waarom blijven werknemers – ondanks alle waarschuwingen – voorspelbare wachtwoorden gebruiken? En waarom klikken ze toch weer op die phishing-link? “Omdat je meer nodig hebt om mensen in beweging te krijgen”, zegt Inge van der Beijl van Northwave. “Voor een echte gedragsverandering moet je mensen dieper raken.”

‘Tell me, and I will forget. Show me, and I will remember. Involve me, and I will understand.’

“Deze quote geeft precies weer waar het bij gedragsverandering om gaat”, zegt Inge van der Beijl, director behaviour & training bij Northwave. “Het is niet voldoende om mensen alleen te vertellen hoe ze zich moeten gedragen. Je hebt een mix van interventies nodig. Je zult dan zien dat het eerst bewust bekwaam gedrag wordt. Als je het goede gedrag vervolgens blijft stimuleren, verandert dat in onbewust bekwaam gedrag. Hiermee wordt het een onderdeel van de cultuur.”

Welke mix aan interventies heb je nodig?
“Alles begint met bewustzijn. In het geval van de voorspelbare wachtwoorden betekent dit dat mensen moeten weten waarom een voorspelbaar wachtwoord risico’s oplevert. De tweede stap is dat ze écht gaan begrijpen wat er van hen verwacht wordt. Dit betekent dat je hen leert waar een sterk en uniek wachtwoord aan moet voldoen.

De derde stap is dat je het goede gedrag mogelijk maakt, dus dat je het faciliteert. Mensen moeten nu bijvoorbeeld allemaal verplicht thuis werken. Als het vervolgens erg moeilijk is om vanuit huis in te loggen op je zakelijke e-mail, dan is de verleiding groot om je privé-e-mailadres te gebruiken. Dat patroon zie je ook bij ander gedrag. Het is onmogelijk om alle unieke wachtwoorden te onthouden. Met een wachtwoordmanager, die je beschikbaar stelt, lukt het wel.

De vierde en laatste stap is dat mensen het gewenste gedrag ook willen doen. Dit heeft alles met de sociale context te maken. Als iedereen in jouw werkomgeving, en zelfs je manager, verkeerd gedrag laten zien, dan is de kans groot dat je hier zelf in meegaat. Daarom is het zo belangrijk dat je manager het goede voorbeeld geeft.”

Je moet voor een gedragsverandering dus verschillende middelen inzetten. Hoe doe je dat op een goede manier?
“Het is in de eerste plaats belangrijk dat je weet welk gedrag je in jouw organisatie wilt veranderen. En ook: van wie je welke gedragsverandering verwacht. Dat kan voor elke groep medewerkers anders zijn. Voor medewerkers van de financiële administratie is het bijvoorbeeld belangrijk dat zij CEO-fraude herkennen. Zij moeten zich ervan bewust zijn dat criminelen uit naam van de CEO betaalverzoeken kunnen sturen. Het is belangrijk dat zij een gek verzoek herkennen en weten hoe zij hier het beste op kunnen reageren.

Voor medewerkers van personeelszaken is het misschien beter om te focussen op phishing-mail. Zij moeten zich ervan bewust zijn dat het niet verstandig is om zomaar een cv te downloaden. Als je exact weet welk gedrag je wilt veranderen, kun je hier gericht mee aan de slag.”

Hoe ga je hier vervolgens mee aan de slag?
“Het is belangrijk dat medewerkers echt gaan begrijpen wat er van hen verwacht wordt. Voor het gebruik van wachtwoorden kun je bijvoorbeeld afspreken: ‘gebruik een wachtwoordzin van minimaal 20 karakters’ en ‘gebruik een wachtwoordmanager’. Hoe concreter medewerkers weten wat er van hen verwacht wordt, hoe aannemelijker het is dat ze het ook gaan doen.”

Je gaf aan dat het ook belangrijk is dat mensen het graag willen doen. Hoe kun je daarvoor zorgen?
“Ik moet zeggen dat hier wel eens discussie over is. Waarom moet alles leuk gemaakt worden? Sommige dingen moeten werknemers gewoon doen. Toch ben ik ervan overtuigd dat het belangrijk is om het leuk en energiek te brengen, zeker omdat cybersecurity voor veel mensen erg abstract is. Dat vergroot de kans dat mensen er tijd in willen steken. Bovendien, leren mensen meer als ze een onderwerp leuk vinden.”

En hoe kun je ervoor zorgen dat het bewustzijn groter wordt?
“Door te laten zien waar het om gaat. Wij doen dat bijvoorbeeld door de ervaringen van ons Red Team en van ons CERT-team te delen. Zij zien dagelijks wat criminelen doen en kunnen daarover vertellen. Nu zien zij bijvoorbeeld de trend dat criminelen de systemen niet alleen platleggen.

Ze stelen ook de data en dreigen deze te publiceren als er geen losgeld betaald wordt. Het vertellen van deze verhalen zorgt voor een groter bewustzijn. Daarbij vertellen zij ook waar het bij deze cases fout is gegaan en hoe dat voorkomen had kunnen worden.”

Hoe zorg je er vervolgens voor dat mensen dit gedrag ook op lange termijn blijven volhouden?
“Door de boodschap regelmatig te herhalen. Eén keer per jaar een training is te weinig. Je hebt meerdere momenten in het jaar nodig waarop mensen op de boodschap gewezen worden. Dat hoeft niet altijd met een hele training te zijn. Een kattenbelletje is voldoende.

Wij hebben bijvoorbeeld een e-learning die we in 6 korte modules aanbieden. Daarnaast is het goed om het onderwerp ook op andere manieren onder de aandacht te brengen, bijvoorbeeld via een nieuwsbericht op intranet, een speech van de CEO of als agendapunt tijdens reguliere overleggen. Of je kunt er bijvoorbeeld een keer een leuke activiteit van maken voor het hele bedrijf, zoals een challenge, een pubquiz of een andere game. Als je het onderwerp op meerdere manieren tot je krijgt, blijft het beter hangen.”

Is er nog een laatste tip die je wilt meegeven aan bedrijven die met dit onderwerp aan de slag gaan?
“Maak keuzes. Want als je alles wilt aanpakken, wordt het te groot en bereik je niets. Dus richt je eerst op de grootste risico’s. Door het in stappen op te bouwen bereik je uiteindelijk meer.”