Inloggen
Open menu
Digitale weerbaarheid
Artikel

Menselijk gedrag: De sleutel tot effectieve cybersecurity

Beeld: Getty Images
26 februari 2025

Onze wereld digitaliseert in hoog tempo en dit raakt ook de samenleving. Enkele voorbeelden hiervan zijn het toegenomen remote werken, versneld door de COVID-19 pandemie, en de groeiende inzet van kunstmatige intelligentie (AI). Deze digitale transformatie biedt de overheid aanzienlijke voordelen, maar brengt ook risico’s met zich mee op het gebied van informatiebeveiliging. Waar cyberincidenten twintig jaar geleden zelden het nieuws haalden, worden ze in 2024 dagelijks gemeld.

Cybercriminaliteit neemt drastisch toe in zowel frequentie als complexiteit, met een groeiende impact. Een duidelijk voorbeeld hiervan is de explosieve toename van ransomware-aanvallen sinds de opkomst van remote werken door de COVID-19 pandemie. De frequentie van ransomware-aanvallen wereldwijd wordt geschat te vervijfvoudigen tussen 2021 en 2031, van een aanval elke 11 seconden naar elke 2 seconden. De geraamde financiële impact van deze aanvallen wordt geschat op 265 miljard dollar in 2031. De European Union Agency for Cybersecurity (ENISA) heeft ransomware-aanvallen dan ook als een toprisico bestempeld. Ook binnen de overheid wordt cybersecurity als een toprisico beschouwd.

Tussen de 50% - 95% van de cyberincidenten zijn het gevolg van menselijk handelen.

Complexiteit van cyberaanvallen neemt toe

Naast de toename in frequentie en impact, wordt ook de complexiteit van cyberaanvallen steeds groter. Hoewel AI de overheid veel voordelen biedt, creëert het ook nieuwe mogelijkheden voor hackers. AI-ondersteunde aanvallen, zoals ‘deep fake phone calls’ waarbij openbaar videomateriaal wordt gebruikt om de stem van bijvoorbeeld een bestuurder na te bootsen, komen al voor en zullen naar verwachting toenemen. Deze incidenten vereisen niet alleen een solide technische beveiliging, zoals actuele anti-malware capaciteiten, intrusion detection, EDR en next-generation firewalls, maar benadrukken ook de noodzaak van een proactieve beveiligingshouding en -cultuur. Hierbij staan voortdurende bewustwording en training op het gebied van informatiebeveiliging centraal.

Desondanks is binnen marktstandaarden, zoals de Baseline Informatiebeveiliging Overheid (BIO), zeer beperkt aandacht voor training en bewustwording van medewerkers. Technische maatregelen alleen zullen nooit volledig in staat zijn om cyberaanvallen te voorkomen. Uit onderzoek van IBM blijkt dat een groot deel van de cyberaanvallen het gevolg is van menselijk handelen, zoals het verlies van inloggegevens, phishing en andere vormen van social engineering. Bovendien toont hetzelfde onderzoek aan dat van alle beveiligingsmaatregelen, training in informatiebeveiliging voor medewerkers de impact van cyberincidenten het meest vermindert.

Gerichte training kan de impact van cyberincidenten aanzienlijk verminderen.

Het belang van gerichte training

Diverse onderzoeken bevestigen dat de menselijke factor een cruciaal aspect is binnen informatiebeveiliging. Deze studies noemen percentages variërend van 50% tot 95% waarbij cyberincidenten het gevolg zijn van menselijk handelen. Hoewel de percentages verschillen, zijn de onderzoeken het over één ding eens: menselijk handelen speelt een belangrijke rol in het verminderen van cyberincidenten.

Ondanks het belang van menselijk handelen, zien we in de praktijk dat veel organisaties, en ook overheidsinstellingen, hun inspanningen voornamelijk richten op technische oplossingen en minder op training en bewustwording op het gebied van informatiebeveiliging. Het feit dat de gehele BIO slechts één control bevat gerelateerd aan informatiebeveiliging training en bewustwording is hier een illustratief voorbeeld van. Zelfs wanneer training en bewustwording wel aandacht krijgen, blijkt uit onderzoek dat training zich vaak niet direct vertaalt in veiliger gedrag. Bij het analyseren van de relatie tussen informatiebeveiligingstraining en veiliger gedrag is het belangrijk om de ‘conversiestappen’ van training naar veiliger gedrag te begrijpen.

Uit onderzoek blijkt dat er vier stappen te onderscheiden zijn:

1.  Training over informatiebeveiliging kan leiden tot een hoger
2.  (Informatie)beveiligingsbewustzijn, wat kan resulteren in veiliger
3.  Voorgenomen gedrag, dat uiteindelijk moet resulteren in
4.  Daadwerkelijk veilig gedrag.

Deze vier stappen zijn hiernaast visueel weergegeven. Omdat training en communicatie (1) zich niet altijd goed vertalen naar daadwerkelijk gedrag (4), is er sprake van zogenaamd ‘conversieverlies’ bij elke stap.

Enkele voorbeelden en oorzaken hiervan zijn:

  • Training en communicatie (1) leiden onvoldoende tot beveiligingsbewustzijn (2) doordat de relevantie van informatiebeveiliging (het waarom) onvoldoende wordt overgebracht aan de deelnemer.
  • Beveiligingsbewustzijn (2) leidt niet tot veiliger voorgenomen gedrag (3) doordat een deelnemer niet begrijpt wat hij/zij anders moet doen.
  • Voorgenomen gedrag (3) leidt niet tot daadwerkelijk veiliger gedrag (4) doordat een deelnemer niet begrijpt hoe hij/zij zich daadwerkelijk veiliger moet gedragen.

Een proactieve beveiligingscultuur

Een mogelijke verklaring hiervoor is dat organisaties vaak investeren in generieke informatiebeveiligingstrainingen. Hierdoor begrijpt de ontvanger de informatie niet altijd, is de informatie niet altijd relevant voor de ontvanger waardoor deze niet goed wordt geregistreerd, is de methode van training niet altijd effectief en/of is de frequentie van training niet altijd voldoende. Het is daarom belangrijk om trainingen te personaliseren naar de behoeften en belangen van medewerkers binnen een organisatie. Deze aanpak, beter bekend als ’tailored training’, kan de impact van training (1) op daadwerkelijk veiliger gedrag (4) sterk verbeteren. Ondersteund door onderzoek stellen wij daarom dat training effectiever ingezet kan worden en zich beter vertaalt naar daadwerkelijk veiliger gedrag wanneer deze rekening houdt met de verschillende doelgroepen waarop zij gericht is. Praktische handvatten voor het vormgeven van dergelijke trainingsprogramma’s ontbreken echter vaak.

EY ontwikkelde daarom de ‘EY Tailored Training Matrix’; een dynamisch model dat organisaties helpt trainingen effectiever in te zetten door medewerkers in te delen in vier profielen op basis van twee eenvoudig te classificeren dimensies: 1) de afdeling waarin een medewerker werkzaam is en 2) het autorisatieniveau van een medewerker, afgeleid van zijn of haar functietype. Deze dimensies leiden tot een indeling in één van de vier volgende profielen: ‘Basic’, ‘Moderate’, ‘Advanced’ en ‘Expert’. Voor elk profiel is een beschrijving uitgewerkt van de benodigde inhoud, complexiteit, frequentie en wijze van verstrekken van training. Naast het verhogen van de informatiebeveiliging van overheidsinstellingen kan dit model bijdragen aan de compliance met standaarden en regelgevingen zoals de BIO en de NIS2 Directive.

Meer weten?

Wilt u meer weten over de EY Tailored Training Matrix, de methodologische achtergrond ervan en hoe het kan worden ingezet? Dan verwijzen wij naar onze publicatie: Veilig omgaan met informatie in een digitaal tijdperk.

Auteurs kennisbijdrage: Peter Kornelisse, EY Nederland Partner Technology Risk en Marten de Bruin, EY Nederland Senior Manager Technology Risk.

Over EY
Dit is een artikel van EY. U kunt meer lezen van deze partner op deze pagina.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren

Meer van EY

Data en AI | EY
AI als sleutel tot productiviteitsgroei in Europa: De noodzaak van AI-vaardigheden
Overheid in Transitie | EY
De transformatieve kracht van AI in de publieke sector
Digitale Weerbaarheid | EY
Informatiebeveiliging: Een prioriteit voor de pensioensector