Oktober is de Europese Maand van de Cyber Security. Ook de HU vraagt deze maand extra aandacht voor digitale veiligheid. Waarom dat zo belangrijk is? We vragen het aan Martine Groen, docent-onderzoeker bij het lectoraat Cyber Security, aan de hand van vijf prikkelende stellingen.
Cyber Security Maand, dat is een maand voor IT-ers
“Cyber security is ongeveer voor een derde een technische issue. Dan gaat het om zaken als firewalls en software hacks. Een derde betreft het proces: hebben niet te veel mensen rechten tot gevoelige data? Werk je op security-gevoelige plekken wel volgens het vier-ogen-principe? Een derde ten slotte gaat over de menselijke kant: ons gedrag. Wat deel je met collega’s en wat met externen? Wat doe je als je een link niet vertrouwt? Cyber security is lang niet zo technisch als veel mensen denken. We hebben er allemaal mee te maken, in welk vakgebied je ook werkt.”
Mijn software is up-to-date, ik heb een virusscanner: ik ben veilig

“Helaas niet. Een gemeente verloor onlangs ruim 200.000 euro door een scam. Wat was er gebeurd? Een crimineel had, zich voordoend als directeur van een partnerorganisatie, een gemeenteambtenaar gebeld met een verhaal over een onbetaalde rekening. Die moest onmiddellijk voldaan worden, anders waren de gevolgen ernstig. De crimineel gebruikte daarbij allerlei details over de gemeente en de werknemer die hij gewoon online had opgezocht. Hierdoor kwam hij vertrouwd over. De ambtenaar maakte uiteindelijk het geld over. Het was goed dat de gemeente de schuld niet bij hem legde maar bij het proces: er waren geen controlemomenten ingericht. De les: het is onzin te denken dat je een organisatie met techniek alleen veilig gaat krijgen. Goede processen en security-bewustzijn van mensen zijn net zo belangrijk.”
Ik zou daar nooit in trappen, zoiets gebeurt mij niet
“Je hoort het vaak: De mens is de zwakste schakel. Dat is onzin. We zijn gewoon één van de schakels. Dit soort dingen kan iedereen overkomen. Je hebt haast, je leest niet goed, je wordt onder druk gezet, je klikt ergens op en het is gebeurd. Je kan de kans wél verkleinen, door te werken aan je security-bewustzijn. Als ik jouw huissleutels vraag, geef je die dan? Zou je iedereen zomaar je adres geven? Nee. Dat voelt niet goed. Dat onderbuikgevoel ontbreekt vaak nog online, of mensen durven er niet op te vertrouwen. Dat gevoel is echter online net zo belangrijk als in de echte wereld.”
“Gaat het toch eens mis? Twijfel je achteraf of een link wel te vertrouwen was? Meld het gewoon! Het is menselijk te denken: als ik hiermee naar mijn manager ga, vindt ze me vast dom, het komt wel goed, ik laat het maar zitten. Maar fouten maken we allemaal en melden is de verantwoorde keuze. Security kan de echte problemen dan vaak nog voor zijn. Er zijn nooit repercussies, ze zijn alleen maar blij als ze tijdig worden ingeschakeld.”
Security is zo omslachtig. Ik weet dat ik SurfFileSender moet gebruiken, maar ik ben gewend aan een ander programma
“Als veilig gedrag meer moeite kost dan een shortcut, dan gaan mensen logischerwijs de shortcut nemen. Ons lectoraat doet hier momenteel onderzoek naar, samen met het lectoraat Human Experience & Media Design. Organisaties moeten hun services en tools zó inrichten dat er geen reden is een andere weg te kiezen. Als jouw route niet alleen de veiligste maar ook de makkelijkste is, ontstaan er geen olifantenpaadjes. Ons onderzoek laat zien dat security-professionals hier nog veel kunnen leren uit design. Security-ontwikkelaars denken vaak onvoldoende vanuit de user experience. Hetzelfde geldt voor beleidsmakers. Meer aandacht voor de user experience helpt bij de acceptatie van security-beleid.”
Maar cyber security is toch niet mijn verantwoordelijkheid? Het is de verantwoordelijkheid van de HU
“De HU, de organisatie, dat zijn de mensen die hier werken. Dus ook jij en ik. Security is iets van ons allemaal. Als we de techniek en de processen op orde hebben en ons als gebruikers bewust zijn van de risico’s en ons verantwoord gedragen, dán pas ken er werkelijk sprake zijn van cyber security.”
Wat kan jij doen? Lees hier meer over de Cyber Security Maand bij de HU.
Heb je vragen, of ideeën voor nieuw onderzoek, neem dan contact op met het lectoraat via Martine Groen.