Rutger Leukfeldt is senior onderzoeker cybercrime bij het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving in het mkb bij De Haagse Hogeschool. Rutger heeft een recent uitgebracht onderzoek begeleidt, waarin aan het licht komt dat mensen denken zich veilig te gedragen op het internet, maar dit feitelijk helemaal niet doen. Daar wilden wij meer van weten, dus hebben we Rutger om een toelichting gevraagd.
Hoe staat het met jouw cyberbewustzijn?
‘Ons onderzoek is gedaan in opdracht van het ministerie van Justitie en Veiligheid, die zich afvroeg hoe het is gesteld met het cyberbewustzijn van de Nederlandse burger. Respondenten dachten echter dat het ging om hun online gedrag, zoals bijvoorbeeld het al dan niet doen van aankopen in een webshop. Ze wisten niet dat het ging om een onderzoek naar (on)veilig gedrag’, vertelt Rutger.
Experimenten
‘In het onderzoek hebben we ook een aantal experimenten ingebouwd, die we niet als zodanig hebben aangekondigd. Zo vroegen we de respondenten een account aan te maken. Op een aantal manieren hebben we berekend hoe sterk de gebruikte combinaties van gebruikersnaam en wachtwoord waren. Ook werden de deelnemers gedurende het onderzoek gevraagd een video te bekijken. Maar helaas… de video wilde niet goed laden en in een pop-up verscheen de vraag of men een bepaald stukje software wilde downloaden. We hebben gekeken wie welk gedrag vertoonde: wie installeert de (nep-)software wel, wie deed dat niet, wie belt de helpdesk, et cetera. Tenslotte hebben we wat phishingmails en wat echte mails voorgelegd, om te zien of mensen het onderscheid daartussen altijd helder hebben.’
Persoonlijke gegevens
‘Door het type vragen – herken je phishingmails, weet je wat malware is, hoe groot acht je de kans dat je slachtoffer van ransomware wordt – waren mensen zich op een gegeven moment wel behoorlijk bewust van het onderwerp’, vervolgt Rutger. ‘Verrassend was dus dat aan het einde van het onderzoek mensen vrij gemakkelijk persoonlijke gegevens vrijgaven, zoals naam, e-mailadres, e-mailadres van iemand anders, tot en met de laatste drie cijfers van het bankrekeningnummer.’
Eigen beoordeling versus gedrag
‘Zo hebben we goed zicht gekregen op wat mensen denken te weten over cyberrisico’s. Denken ze dat ze iets kunnen herkennen, denken ze te weten hoe ze zich moeten gedragen en denken ze te weten wat ze zouden moeten doen? Daarnaast hebben we het daadwerkelijke gedrag gemeten én hebben we hun kennis getest, zodat we van elke respondent wisten hoe onderlegd ze waren op IT-gebied. Al die resultaten hebben we naast elkaar gelegd. Onze verwachting was natuurlijk dat mensen die meer weten van IT en zich bewuster zijn van de risico’s, zich ook veiliger gedragen. De werkelijke resultaten waren op z’n minst opvallend te noemen. Bij twee van de drie experimenten – het aanmaken van een account en het downloaden van software – bleek dat mensen met meer IT-kennis zich onveiliger gedragen. Alleen bij het afgeven van de persoonlijke gegevens gedroegen de mensen die hoger scoorden op kennis, zich iets veiliger.’
Uitkomsten van vragenlijsten zijn niet altijd betrouwbaar
‘Wat mensen zeggen en denken te doen is dus blijkbaar heel anders dan wat ze daadwerkelijk doen’, zegt Rutger. ‘Dat is goed te weten. Er worden namelijk heel veel onderzoeken gedaan op basis van vragenlijsten. Zo meten bedrijven bijvoorbeeld of hun medewerkers zich bewust zijn van cybergevaar. Uit ons onderzoek blijkt dat die uitkomsten dus niet zoveel betekenen. Die mensen denken wel dat ze heel veel weten en dat ze zich heel veilig gedragen, maar wat ze werkelijk doen, staat dat daar vaak haaks op.’
Meer bewustzijn betekent niet automatisch veiliger gedrag
‘Tegelijkertijd gaan we er met z’n allen heel erg van uit dat het verhogen van kennis van mensen helpt om ze zich veiliger te laten gedragen. Hoeveel campagnes worden er binnen bedrijven niet opgetuigd om mensen bewust te maken van cybergevaar? Uit dit onderzoek blijkt dus dat dit verband er zeker niet per definitie is en dat in een aantal gevallen mensen met meer kennis zich zelfs onveiliger gedragen. Hoe dat precies komt, hebben we niet in het onderzoek meegenomen, maar we vermoeden dat mensen zichzelf gaan overschatten. Er is uiteraard ergens een omslagpunt. Waar dat precies ligt, hebben we niet onderzocht, maar we durven rustig te stellen dat cybersecurityexperts zich wel veilig gedragen. Maar voor de ‘gewone burger’ geldt dus niet per definitie: hoe meer kennis, hoe veiliger het gedrag.’
Mogelijke interventies
‘Veel van wat we nu doen is gebaseerd op de gedachte dat als we mensen informeren, ze zich veiliger gedragen. Dat is dus niet zo. Maar ja, wat nu? De oplossing moeten we misschien eerder zoeken in de hoek van wat we noemen ‘security by design’. Dat houdt in dat je een aantal mogelijke risico’s weghaalt bij de gebruiker. Aangetekend Mailen® is daar een goed voorbeeld van; je borgt de security in de functionaliteit die je mensen biedt’, besluit Rutger.
Meer weten?
Benieuwd wat de digitale postbodes van Aangetekend B.V. voor jouw organisatie kunnen betekenen? Neem gerust vrijblijvend contact met ons op, we denken graag met je mee.
