Rapporten van Verizon hebben in de afgelopen jaren telkens vastgesteld dat de mens betrokken is bij meer dan 80% van datalekken wereldwijd (zie bijvoorbeeld Verizon, 2024). Het is een bekend feit dat bij veel cyberaanvallen het gedrag van werknemers wordt geëxploiteerd (Leukfeldt, 2014; Leukfeldt, Kleemans, & Stol, 2017). Ongeacht hoe veilig een systeem is, is de eindgebruiker vaak een kritieke achterdeur naar het netwerk (Bulgurcu, Cavusoglu, & Benbasat, 2009; Dodge, Carver, & Ferguson, 2007; Talib, Clarke, & Furnell, 2010). Aanvallers zoeken naar kwetsbaarheden om toegang te krijgen tot systemen; deze kunnen voortkomen uit gebruikers die risicovol gedrag vertonen, zoals het niet volgen van beleid of het onthullen van te veel persoonlijke informatie op sociale netwerksites. De mens is de zwakke schakel in cybersecurity, hoor je dan ook vaak. Als eindgebruikers nu eens goed zouden snappen waar de risico’s liggen dan zou de organisatie een stuk minder kwetsbaar zijn voor allerhande cyberellende, zo is de gedachte bij veel securityteams. Maar is het wel zo dat menselijke fouten verantwoordelijk zijn voor cyberincidenten zoals datalekken? Als je goed kijkt, is er vaak meer aan de hand. Want ja, mensen maken fouten, vergeten dingen en zijn daarmee een kritieke achterdeur naar het netwerk, maar wat veroorzaakt deze fouten? Eerder in deze rede noemde ik al de zogenoemde enkelvoudige en lineaire incidentmodellen (Ebert e.a., 2023). Enkelvoudige modellen schrijven incidenten toe aan één duidelijk omschreven gebeurtenis (bijvoorbeeld een aanval of een technische fout), terwijl lineaire modellen uitgaan van falen op meerdere (maar onderling verbonden) niveaus. Deze kijk op cybersecurity verklaart een succesvolle cyberaanval door deze toe te schrijven aan bijvoorbeeld het onveilige gedrag van een eindgebruiker, zoals een IT-beheerder die een cloudaccount verkeerd configureert. Of dus een medewerker die e-mailadressen invult in het verkeerde veld. Ondanks dat deze kijk op cybersecurity helaas nog veel in gebruik is, is al ruime tijd geleden aangetoond dat er betere modellen zijn om incidenten te verklaren (Zimmermann & Renaud, 2019). Incidenten hebben veelal geen enkele oorzaak, zoals een medewerker die e-mailadressen invult in het verkeerde veld, maar ontstaan door fouten op verschillende niveaus in het systeem. Cybersecurity-arbeidsmarkt, onderwijs en cyberweerbaar gedrag 70
RkJQdWJsaXNoZXIy ODY1MjQ=