Iedere onderneming die een product of een service verkoopt doet dat voor een bepaalde doelgroep. Meestal komt in de omschrijving van de doelgroep één criterium duidelijk naar voren: leveren wij aan de consument, of aan de zakelijke markt. Dit klassieke onderscheid tussen B2B en B2C wordt echter voor steeds meer zaken irrelevant. Zo ook voor it-security.
Al lange tijd kennen we de trend van het vervagen van de scheidslijnen van werk en privé. Werk wordt thuis afgemaakt en op het werk worden even wat privézaken afgehandeld. Maar niet alleen qua tijd lopen werk en privé door elkaar heen, in toenemende mate is dit ook het geval voor technologie. Waar werknemers nog maar een paar jaar geleden alleen misschien een mobiele telefoon van de zaak hadden waarmee zij ook privételefoontjes pleegden, inmiddels is er een enorm arsenaal aan apparaten dat zowel privé als zakelijk kan worden gebruikt: de laptop, de smartphone, de tablet-pc, de usb-stick, en wat ons allemaal nog te wachten staat in de toekomst.
Een belangrijk kenmerk dat er mede voor verantwoordelijk is dat de scheidslijn tussen werk en privé afneemt, is de hoge mate van mobiliteit van de hedendaagse technologische hulpmiddelen. Dit is handig, omdat het de bereikbaarheid van werknemers – en hopelijk ook hun efficiency – vergroot, maar er kleeft ook een groot nadeel aan. Zodra de apparaten het kantoorpand verlaten, heb je als bedrijf nauwelijks nog controle op hoe mensen met deze apparaten omgaan. Dat geldt in de hoogste mate voor de apparaten die werknemers zelf hebben aangeschaft en niet alleen thuis, maar ook op kantoor gebruiken. Denk hierbij aan een mp3-speler die op kantoor even aan de computer wordt gehangen om op te laden, een navigatiesysteem dat op kantoor even wordt geüpdate en een smartphone die met Outlook wordt gesynchroniseerd. Deze apparaten worden ook elders aan een netwerk gekoppeld, evenals de laptop die op een beurs of vliegveld even gebruik maakt van een gratis WiFi-hotspot.
Kortom, het wordt voor ondernemingen steeds belangrijker dat werknemers zich op een verantwoorde manier ‘digitaal’ gedragen. Zij moeten risico’s uit de weg gaan met alle apparatuur die ooit direct of indirect in aanraking komt met het netwerk van het bedrijf en adequate maatregelen nemen om hun digitale apparaten en netwerken tegen gevaren te beschermen.
Nu is er een groot probleem. Verantwoord digitaal gedrag kan namelijk pas plaatsvinden als er voldoende kennis is over wat digitaal verantwoord gedrag precies is. En daar blijkt het nogal aan te schorten, volgens onderzoek onder ruim zevenhonderd Nederlanders tussen de achttien en 65 jaar dat G Data door SSI liet uitvoeren in februari van dit jaar. Er bestaat een aantal hardnekkige mythes rondom virussen en malware die moeilijk blijken uit te roeien. Zo gelooft ruim de helft van de Nederlanders dat hun pc niet geïnfecteerd kan raken bij het bezoeken van een geïnfecteerde website. Zij denken dat zij op z’n minst ergens op moeten klikken of een bestand moeten openen, om de malware op de computer toe te laten: een idee dat al jaren achterhaald is.
En helaas blijft het daar niet bij. Zo is het bijvoorbeeld onbekend bij ruim 80 procent van de consumenten dat gratis anti-virussoftware minder elementen van beveiliging biedt dan betaalde producten. Meer dan de helft van de mensen met een gratis anti-viruspakket denkt dan ook over een volledige beveiligingssuite te beschikken en dat die hen zal beschermen tegen drive-by-downloads. Ook dit is een misvatting: geen enkel gratis anti-virusproduct beschikt over een http-scan. Bescherming tegen geïnfecteerde websites bieden zij dan ook geen van alle.
Maar het meest hardnekkige misverstand in dit kader heeft betrekking op wat malware met de pc doet. Niet minder dan 87procent van de Nederlanders gelooft dat het aan de pc te merken is wanneer die geïnfecteerd is met malware. Zij denken dat het ding crasht, dat bepaalde toepassingen ermee ophouden, er pop-ups zullen verschijnen of de pc tergend langzaam wordt. Maar ze geloven dus niet dat je niets van een besmetting zult merken. Helaas beseffen deze consumenten dus niet dat hun pc geld waard is. Hoe langer de malware onontdekt zijn werk kan doen, des te lucratiever dat is voor de cyberboeven. Dus stellen malwareschrijvers alles in het werk om de schadelijke programma’s zo licht en onopvallend mogelijk te maken. Ontdekking van malware 'met het blote oog' is tegenwoordig dan ook eerder uitzondering dan regel.
Het slechte nieuws voor bedrijven is, dat deze Nederlanders hun werknemers zijn. En dat zij hun onverantwoorde gedrag uitoefenen op hun privé-computers, die door een usb-stickje van het werk indirect aan het bedrijfsnetwerk gekoppeld is. Of waar een mapje op staat met alle bedrijfsgegevens die de werknemer op zaterdag nog even moest nalopen, omdat het op vrijdag niet meer lukte. Wie beschermt de bedrijfsgegevens op de privécomputers van de werknemers?
Maar ook het goede nieuws voor bedrijven is, dat deze Nederlanders hun werknemers zijn. Vanuit bedrijven kan immers voorlichting worden gegeven over digitaal verantwoord gedrag. Goed ingelichte medewerkers komen niet alleen de veiligheid van het bedrijfsnetwerk ten goede, maar ook de gehele internetgemeenschap. Cybercriminaliteit uitroeien zal wel nooit lukken, maar beseffen waar precies de gevaren liggen, is alvast een flinke stap in de goede richting.
“Zodra de apparaten het kantoorpand verlaten, heb je als bedrijf nauwelijks nog controle op hoe mensen met deze apparaten omgaan.”
“Het Nieuwe Werken 3.0 – The Sql”
1. Dus weer allemaal terug aangesloten op de (domme) terminal(server) – mainframe combinatie voor maximale controle en security… Wat zijn we er eigenlijk mee opgeschoten in al die jaren???
2. Lekker “je werk” op je werk laten liggen als je naar huis gaat om te genieten van je priveleven.
Misschien een iets te simpele oplossing voor “deze digitale gedragingen uitdaging”?
De vraag die we vanuit het vakgebied moeten stellen is of de Security Manager de aangewezen persoon is om gedragsveranderingen door te voeren. Natuurlijk moet hij input leveren (over de inhoud) , maar gedragsverandering is veel meer een organisatorisch of management vraagstuk dan een puur beveiligingsvraagstuk. Digitaal verantwoord of onverantwoord gedrag is een afgeleide van de gehele cultuur binnen de organisatie. Het is een utopie om te denken dat we het beveiligingsbewustzijn kunnen vergroten als de cultuur van de organisatie daar haaks op staat.
Wat ik zie is dat nog vaak vergeten wordt het management bewust te maken (en dus de bedrijfscultuur te beïnvloeden). Alle security awareness programma’s ten spijt: het begint met de “tone at the top”. Laten we beginnen met het risicobewust maken van het management, zodat zij keuzes gefundeerder kunnen maken.
Daarnaast richt het merendeel van de bewustwordingscampagnes zich in de praktijk op kennis, maar de belangrijkste (en moeilijkste) aspecten: houding en gedrag komen nauwelijks aan bod. Daarbij moeten we onszelf de vraag stellen waarom de mensen “onveilig” werken en accepteren dat niet iedere medewerker hetzelfde is. Hierbij kun je al snel de parallel trekken met bijvoorbeeld de X- en Y-theorie van McGregor. Verschillende mensen, dus verschillende oplossingen. Beseffen we dat, dan maken we de eerste stap in de goede richting.