De mens is een essentiële schakel in cybersecurity

“De zwakke schakel is de mens.” Het is een uitspraak die vaak voorbij komt als je met security-experts praat en ik verwachtte van Jelle Niemantsverdriet een vergelijkbare uitspraak. Niemantsverdriet is Director Cyber Risk Services bij Deloitte en gespecialiseerd in het onderzoeken en oplossen van beveiligingsincidenten. “Helemaal niet,” was het antwoord dat ik onverwachts kreeg. Dat heeft alles met olifanten te maken.

Als je de taak hebt om je bedrijf veilig te houden, heb je het druk de laatste tijd: cyber security staat in de spotlight na een aantal high-profile hacks met verstrekkende gevolgen, zoals ziekenhuizen die opeens niet meer kunnen functioneren. WannaCry, Petya, gehackte zonnepanelen, gevoelige informatie die opeens op straat ligt, elke week lijkt er een nieuwe dreiging. Het kan soms lijken op onbegonnen werk, maar in de praktijk kan je als IT-specialist juist het verschil maken.

“Het lijkt misschien wel alsof de hemel op ons hoofd gaat vallen, maar als specialist kun je beter de James Bond-achtige technieken laten voor wat ze zijn. Dat soort technieken zorgen voor een goed verhaal, maar de manieren waarop je systemen worden aangevallen zijn vaak veel banaler. Het is toch vaak een geraden of gestolen wachtwoord of een geklikt linkje in een phishing mail.”

Toch de mens als zwakke schakel dus? “Uiteindelijk kun je als er iets gebeurd is altijd de keten terug volgen en dan bij de eerste menselijke fout zeggen dat je het gevonden hebt”, aldus Niemantsverdriet. “Daar los je echter niks mee op. Beter: als IT- of security-specialist dien je te kijken hoe slordigheden ontstaan en moet je daar iets aan doen.”

Olifanten

Misschien ken je de term olifantenpaadjes wel. Het zijn de uitgesleten paden die door grasvelden en heuveltjes lopen, doorgaans niet ver van de ‘echte’ route. Dat moeten de ontwerpers van de paden zien als een signaal dat ze iets gemist hebben. “Zo werkt het in security ook”, zegt Niemantsverdriet.

“Security heeft de neiging om in systemen te denken, om zo veel mogelijk alles dicht te timmeren. Dat zorgt soms voor systemen die helemaal niet aansluiten op de gebruikerservaring, waardoor mensen sluiproutes nemen om toch te doen wat ze willen of nodig hebben. Dat leidt vaak tot minder veiligheid. Je moet je als bedrijf dan afvragen of je de juiste methode hebt gekozen.”

“Maar het moet zo, anders is het niet helemaal veilig”, zal de security-afdeling dan zeggen. Daar zijn een aantal argumenten tegen. Vaak staat de IT of security afdeling bekend als het ‘department of no’, omdat soms zonder enige context of nuance ‘nee’ zeggen tegen elk verzoek.

Gebruikers met een vraag of issue zullen dan niet snel langsgaan om te vragen hoe iets op te lossen is. Die afstand zou je moeten zien te overbruggen en om dat te doen zou de security-sector wel wat meer naar sectoren als psychologie, marketing en economie kunnen kijken. Die weten wel hoe je een gebruikerservaring kunt maken die effectief is en toch doet wat nodig is om de veiligheid van je bedrijf voorop te zetten. Deloitte is gespecialiseerd in cyber security en streeft ernaar om bij haar klanten cyber security centraal te laten staan. Alleen wanneer Security samenwerkt met overige delen van het bedrijf, kan de meest veilige situatie gecreëerd worden.

‘Better than perfect’

Niet dat er een werkbaar systeem bestaat dat op alles is voorbereid. Dit is namelijk ook afhankelijk van de grootte van het bedrijf. “Kleine bedrijven kunnen gewoon de gangbare applicaties gebruiken van de Apples en Googles van de wereld”, volgens Niemantsverdriet. “Want die zijn heel veilig, hebben twee-factor authenticatie en omdat de belangen groot zijn wordt er snel geschakeld in het geval van problemen. Het is een acceptabel risico.”

Dat laatste is sowieso een term die je moet omarmen als security-verantwoordelijke, want honderd procent veilig bestaat niet. “Moet je ook niet najagen”, aldus Niemantsverdriet. Bij Facebook zeggen ze ‘done is better than perfect’ en dat is de spijker op de kop. “Ik heb liever drie dingen die 70 procent effectief zijn dan één ding dat zogenaamd perfect is.”

Je zou kunnen zeggen dat het niet meer te doen is voor een IT-medewerker of zelfs IT-afdeling om alles bij te houden en te weten wat de juiste keuzes zijn qua veiligheid. Zeker als het al werkt, is het de vraag waarom je zou gaan rammelen aan systemen. “Het is ook heel lastig, maar je kunt de tijd van je IT-personeel beter benutten. Stuur ze naar een security-training, in plaats van ze bezig te houden met gewoontes die in de IT nog bestaan maar eigenlijk niet meer relevant zijn.”

Daar hoort bijvoorbeeld het ouderwetse wachtwoordbeheer bij. We weten al dat een kort wachtwoord met allerlei rare tekens niet helpt, maar ook elke drie maanden het wachtwoord moeten veranderen is contraproductief. Goed monitoren, twee-factor authenticatie verplicht maken of one-time codes gebruiken, dat zijn dingen die helpen zelfs als er iemand een steek laat vallen.

“In plaats van veel tijd te steken in het aantonen van (vaak al bekende) fouten in systemen, kan een security-verantwoordelijke beter tijd steken in het beter bouwen van systemen“, zegt Niemantsverdriet. Maak systemen die mensen omarmen en zorg dat je bottlenecks oplost in plaats van de schuld bij de zogenaamd ‘domme’ gebruikers te leggen. Er is uitdaging genoeg in die rol, maar de traditionele IT’er die alleen maar met systemen bezig is, past niet meer in deze tijd.

Er is een ander type mens nodig in de IT-rol, die meer met zijn gebruikers bezig is en dezelfde adaptieve en innovatieve mindset aanneemt die de kwaadwillende hackers van tegenwoordig ook hebben. Als je in die rol zit: kijk in de spiegel en zorg dat je meegaat met de tijd. Security gaat om mensen en die zijn nou eenmaal niet perfect. Er is meer – en er moet meer zijn – dan technische kennis alleen om succesvol de zaak veilig te houden.

Dit artikel is in samenwerking met Deloitte geschreven.

[Afbeelding © Tomasz Zajda – Adobe Stock]