Holistische modellen zijn nodig om de complexiteit in het ontstaan van incidenten te verklaren. Deze modellen nemen ook cultuur, beleid, procedures, management en de systemen die we gebruiken mee om te verklaren hoe incidenten ontstaan (Ebert e.a., 2023). Deze factoren vallen vaak niet onder de controle van mensen die het werk uitvoeren. Belangrijk is dat deze modellen menselijke fouten dan ook veelal uitsluiten als primaire bron van incidenten. Want de ‘menselijke fout’ blijkt meestal gewoon een fout die elders in het systeem ligt. En omdat we niet verder kijken dan menselijke fouten worden de werkelijke redenen van incidenten vaak niet aangepakt. Security awareness als oplossing? Vaak wordt beveiligingsbewustzijn, oftewel security awareness, gezien als oplossing voor menselijk falen. Security awareness is de mate waarin mensen risico's herkennen en zich ervan bewust zijn dat deze de veiligheid van te beschermen belangen in gevaar kunnen brengen.82 Door goede praktijken of cyberveilig of -hygiënisch gedrag, zoals het gebruiken van sterke wachtwoorden en adequaat reageren op (bijna) incidenten, kunnen werknemers helpen de organisatie cyberweerbaarder te maken. Het vertellen aan mensen dat ze voorzichtiger moeten zijn, is echter niet de oplossing. Hoewel het redelijk is om van mensen te verwachten dat ze opletten en voorzichtig zijn, is het hierop vertrouwen niet voldoende om cyberrisico's te beheersen. In een TED talk in 2023 tijdens het KPN SecureID event83 mocht ik mijn visie geven op dit onderwerp: hoe gaan we van bewustzijn naar veilig gedrag? Veilig gedrag zou het doel moeten zijn. Niet het beveiligingsbewustzijn van medewerkers. Het is niet kennis die hackers buiten de deur houdt, maar veilig gedrag. We weten allang dat gedrag niet tot stand komt op basis van kennis alleen. Bijna iedereen weet wel dat groente en fruit goed voor ons zijn, maar toch eet lang niet iedereen ook daadwerkelijk de minimale voorgeschreven hoeveelheid. Ook op gebied van cybersecurity is deze kloof tussen kennis en gedrag aangetoond. Wetzer, gedragswetenschapper bij Secura, ontdekte dat mensen veelal zeggen dat ze zich veilig gedragen, bijvoorbeeld sterke wachtwoorden gebruiken, maar als je dan kijkt naar het daadwerkelijke gedrag, blijkt maar een klein gedeelte het ook echt te doen (zie ook Van der Kleij, Van 't Hoff-de Goede, Van de Weijer, & Leukfeldt, 2020).84 Cybersecurity-arbeidsmarkt, onderwijs en cyberweerbaar gedrag 82 Zie: Cybersecurity woordenboek: https://cyberveilignederland.nl/woordenboek 83 TED Talk op NLSecure[ID] 24/01/2023: Het is tijd voor security awareness nieuwe stijl. https://youtu.be/ScgVOD2F5dg 84 Zie bijvoorbeeld: https://www.secura.com/nl/services/mens/safe/analyzing-behavior- cyber-resilience 71
RkJQdWJsaXNoZXIy ODY1MjQ=