Column


Charlotte van Hout van Motiv...

‘Sorry, u bent de zwakste schakel'

“De mens is de zwakste schakel. Niet de technologie.” Deze uitspraak heeft u vast vaker gehoord. Hij komt vaak langs in artikelen over IT-security. Maar hij schijnt ook te gelden voor bijvoorbeeld de (financiële) rapportageketen

Frank Boerkamp (Deloitte Risk Services) merkte in dit artikel uit 2016 op: “De mens is inherent feilbaar in haar handelen. In economische termen is zij niet volledig rationeel, beschikt ze niet over volledige informatie en heeft soms tegengestelde belangen ten opzichte van anderen.” Je zou er spontaan bescheiden van worden.

Ook in het verkeer is de mens de zwakste schakel. Een gevaar op de weg. Want hij wordt afgeleid. En er is vandaag de dag nogal wat afleiding voor de gemiddelde chauffeur. Denk aan de smartphone, het navigatiesysteem, eten en drinken tijdens het rijden, luisteren naar muziek en zelfs het kijken naar reclameborden. Ik zou zeggen, kom maar op met die zelfrijdende auto.

Waar heb ik mijn USB-stick gelaten?
Een overzicht van de datalekken die in 2017 werden gemeld bij de Autoriteit Persoonsgegevens (AP) onderstreept het concept van ‘de mens als zwakste schakel’ maar weer eens. Een ontstellende 47 procent van alle datalekken in 2017 was van het type 'Persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger' – een menselijke handeling. Een aantal van de overige typen datalekken is eveneens terug te voeren op de mens als 'boosdoener'. Zo is het kwijtraken van een 'apparaat, gegevensdrager of papier' (14 procent) ook meestal niet de schuld van het apparaat zelf…

Het woord 'boosdoener' zet ik hierboven bewust tussen haakjes. Want de meeste mensen die een mailtje sturen naar de verkeerde ontvanger hebben geen kwaad in de zin. Vergissen is menselijk. En security-eisen vanuit je werkgever moeten wel redelijk blijven. Zoals Michel van Eeten, hoogleraar aan de TU Delft, ook aangaf tijdens de masterclass Interconnectiviteit en Cybersecurity in februari 2018: “Je kent dat wel – van die officials in de organisatie die jou steeds weer dwingen tot het verzinnen van ingewikkelde wachtwoorden. Die kun je niet onthouden, dus schrijf je ze op – wat natuurlijk niet de bedoeling is. Maar... wie is er hier nu fout bezig? Ik zeg: niet jij als gebruiker, maar degene die verzint dat die moeilijke wachtwoorden nodig zouden zijn.”

De kunst is om een evenwicht te vinden tussen individuele verantwoordelijkheid (wat kun je redelijkerwijs van een gemiddelde werknemer verwachten), en organisatiebrede verantwoordelijkheid (hoe kan de werkgever zijn werknemers tegen hackers – en tegen zichzelf – beschermen). 


Tools to the rescue?
Ik vroeg me af in hoeverre UEBA-tools op dit punt kunnen helpen. Voor degenen die niet bekend zijn met UEBA: de afkorting staat voor ‘User and Entity Behavior Analytics’. En met ‘entity' wordt in deze context bijvoorbeeld bedoeld: host, applicatie, netwerkverkeer of datarepository (bron: Gartner). Wat UEBA-tools doen, is het analyseren van gedrag (van gebruikers en entiteiten), en een signaal geven als er afwijkingen van de 'baseline' (het normale gedrag) worden geconstateerd.

Een voorbeeld: in een bedrijf werkt men in principe van 8.30 tot 18.00 uur, en er worden gemiddeld 200 bestanden per dag gedownload (dit is de baseline, het normale gedrag). Ineens bemerkt de tool echter een download van 2.000 bestanden in een keer, en nog wel om 4.00 uur ’s ochtends. Hier zien we een duidelijke afwijking van de baseline, en een reden voor een UEBA-tool om een seintje te geven aan de beheerder: waarschijnlijk wil je even controleren wat hier is gebeurd.

Zo'n UEBA-tool kan op die manier natuurlijk enorm waardevolle ondersteuning bieden aan de beheerder. Op basis van machine learning en slimme algoritmes doorzoekt en analyseert de tool een hoeveelheid informatie die de beheerder in z’n eentje nog niet in een jaar had kunnen verwerken.

Veiligheidsvestjes en ironie
Maar zelfs zo’n slimme tool is niet zaligmakend. Ten eerste omdat de scope van zo’n UEBA-tool beperkt is tot de digitale wereld. Wanneer een medewerker een vergissing begaat in de fysieke wereld – bijvoorbeeld iemand een kantoor binnenlaat waar diegene niet mag komen - krijgt de beheerder geen seintje. En zo’n vergissing begaan mensen nog maar al te vaak, zo waarschuwde bijvoorbeeld F-Secure in een artikel. “De meeste CISO’s zijn onvoorbereid op fysieke aanvallen: echte mensen die het bedrijf binnendringen. Dat is overigens veel makkelijker dan men denkt. Het enige dat je nodig hebt, is een veiligheidsvestje en een papiertje met een werkopdracht. Veiligheidsvestjes werken beter dan de onzichtbaarheidsmantel van Harry Potter: trek ze aan en iedereen laat je door zonder vragen te stellen.”

De tweede reden dat een UEBA-tools (en securitytools in het algemeen) nooit 100 procent bescherming kunnen bieden, is nogal ironisch. Om het artikel van F-Secure nog eens te citeren: “Wanneer je werknemers in de waan laat dat de nieuwste beveiligingstechnologie alles onder controle heeft, geef je hen onterecht het gevoel dat ze veilig zijn. En dat is precies waar aanvallers op hopen.” Kortom, als je medewerkers denken dat ze veilig zijn – omdat ze weten dat hun bedrijf allerlei securitytools in gebruik heeft – gaan ze juist onveilig gedrag vertonen. Hun alertheid verliezen. Klikken op links waar ze niet op moeten klikken. Hun zakelijke inloggegevens zomaar ergens invullen. En zo komen hackers alsnog het systeem binnen.

Wat is dus wijsheid, als het gaat om ‘de menselijke factor’? De oplossing zal voorlopig een combinatie blijven van goede securitytools en security-awareness. Waarbij het vermoeden bestaat dat de huidige (standalone) UEBA-tools een standaardonderdeel worden van bijvoorbeeld SIEM- of IAM-tools, als we Gartner-analist Avivah Litan mogen geloven. Met die ontwikkeling wil je als organisatie misschien nu al rekening houden. En wat betreft de security-awareness moeten we ons volgens mij realiseren dat medewerkers niet per se overtuigd worden door bangmakerij.

Security-awareness: het mag luchtig, het mag constructief
De gewoonte binnen securityland is nog te vaak: mensen zo bang mogelijk proberen te maken voor hackers, zodat ze hun gedrag veranderen en alerter worden op security. Zoals onderzoeker Jessica Barker echter al zei in 2016: “Het is belangrijk dat we als cybersecurity-industrie niet alleen het angstverhaal vertellen. Dat doen we ook al jaren op het gebied van de schadelijke gevolgen van roken, maar mensen steken nog steeds sigaretten op. Je zou internetters veel meer oplossingen moeten bieden. Leg mensen uit waarom iets voor hen van belang is en wat ze concreet kunnen doen om zich te beschermen. Kunnen ze wachtwoorden niet onthouden, leg dan uit hoe een wachtwoordmanager werkt, een programma waarmee je veilig je wachtwoorden kunt opslaan.” Maak het laagdrempelig, maak het concreet, maak het constructief.

Een manier om security-awarenesscampagnes wat luchtiger te maken – en nog steeds heel effectief – is de inzet van VR (Virtual Reality). De meeste mensen voelen wel aan dat als je laptop eenmaal een keer gestolen is uit je auto, je het voortaan wel uit je hoofd laat om je laptop in de kofferbak te laten liggen. Precies die ervaring kun je simuleren met de hulp van VR. Een laagdrempelige en zelfs leuke manier om medewerkers te informeren en hun gedrag te laten veranderen, als het gaat om security.

'Leuk' is in deze context een gevaarlijk woord. VR-pionier Avinash Changa merkt op in Vrij Nederland: “Iedereen heeft wel eens iets gehoord over VR: het is met een achtbaan waar je misselijk van wordt. Het zijn videogames. Het is zo’n 3D-bril als in de bioscoop. Het is zo’n kartonnen doosje waar je je telefoon in stopt. Er bestaat een groot gat met de realiteit. Je kan erover lezen, filmpjes zien, maar niks representeert VR beter dan VR.''

Je moet VR zelf ervaren om het nut te kunnen zien voor security-awareness. En dat geldt voor securityspecialisten én voor 'gewone' medewerkers.

U bent bij deze uitgenodigd bij Motiv.


Lees meer over