Er is meer nodig dan kennis alleen om veilig gedrag tot stand te laten komen. Eerder liet ik al zien dat ook motivatie en gelegenheid ertoe doen als het erop aankomt, bijvoorbeeld in de vorm van een veilige werksfeer. Zo’n sfeer ontstaat niet door mensen te straffen als ze op een verkeerde link klikken. Die negatieve benadering zorgt er vooral voor dat mensen incidenten niet meer melden, met alle gevolgen van dien. In plaats daarvan zouden organisaties het melden van incidenten moeten aanmoedigen. IT’ers hebben niet per definitie verstand van menselijk gedrag, laat staan dat ze gedragsverandering kunnen realiseren. Je vraagt mij als psycholoog toch ook niet om een computerprogramma te schrijven? Je moet mensen met een IT-achtergrond dan ook niet vragen om zich bezig te houden met gedragsvraagstukken (zie ook Van der Kleij, 2023). De eenzijdige kijk op mensen waarmee beveiligingsbewustzijn wordt toegepast betekent automatisch dat andere belangrijke aspecten worden vergeten. Er bestaan immers technische- en organisatorische oplossingen die het delen van persoonsgegevens met personen buiten de organisatie voorkomen. Het ophogen van securitymaatregelen kan echter ook contraproductief werken stelt Van Rijsewijk, directeur Cyber Defense bij Thales. Hij betoogt dat we cybersecurity niet het probleem moeten maken van de eindgebruikers.85 Oplossingen die het eindgebruikers makkelijk maken om veilig te werken zijn beter. Denk aan een applicatie die de gebruiker waarschuwt als deze op het punt staat om vertrouwelijke informatie te versturen. Deze feedback is cruciaal in dat het eindgebruikers helpt om de (negatieve) uitkomsten van hun actie te overzien en daarmee fouten te voorkomen. Dit feedbackmechanisme ontbrak vermoedelijk in de e-mailapplicatie van pensioenfonds ABP. Iedereen maakt fouten. Hoe goed opgeleid en gemotiveerd we ook zijn. Dat mensen fouten maken, moeten we accepteren. De uitdaging is dus om fouttolerante systemen te ontwikkelen die rekening houden met de kenmerken Cybersecurity-arbeidsmarkt, onderwijs en cyberweerbaar gedrag 85 https://www.techzine.nl/blogs/security/465326/maak-cybersecurity-niet-het- probleem-van-eindgebruikers/ ‘Een restrictief security-beleid zorgt uiteindelijk altijd voor olifantenpaadjes’, is zijn mening. ‘Een omgeving 100% dichtzetten is naast onmogelijk, ook gewoon onwenselijk. Het zorgt alleen maar voor meer frictie en ongewenst eigen initiatief van medewerkers.’ 72
RkJQdWJsaXNoZXIy ODY1MjQ=