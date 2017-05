Wetenschappers analyseren hersengolven van computergebruikers om erachter te komen hoe ze waarschuwingen voor gevaar (malware, aanvallen) kunnen verbeteren. Nou, sorry hoor, maar het zorgen voor meer aandacht voor security is geen hersenoperatie. Het gaat om geld en baanzekerheid. Trouwens, baanzekerheid draait ook om geld, dus eigenlijk is geld de enige motivatie en het enige dwangmiddel dat je als IT-er kan gebruiken.

Het onderzoek kwam naar voren in een artikel van Bloomberg, waarin wordt gesteld: "Veel computergebruikers klikken terugkerende dialoogboxen weg die waarschuwen voor naderend onheil, vooral als ze bezig zijn met andere activiteiten. Nu gebruiken engineers data-analyse gebaseerd op het volgen van gebruikers om te ontdekken wat kan helpen in het zorgen dat gebruikers aandacht schenken aan waarschuwingen. Software-engineers zoeken naar nieuwe technieken, zoals het veranderen van de achtergrondkleuren van de waarschuwingen en het hanteren van een ander formaat om de waarschuwingen beter te kunnen onderscheiden van meer algemene notificaties. Door in het brein van de mensen te kijken kunnen de engineers meer effectieve user-interfaces maken."

Vooral als ze bezig zijn met andere activiteiten? Andere dan welke dan precies? Het probleem is dat deze aanpak niet gericht is op het werkelijke probleem. Het veranderen van achtergrondkleuren en het ontwerpen van andere formaten zou misschien, mogelijk, het probleem oplossen als dat probleem is dat de gebruikers die waarschuwingen niet opmerken.

In werkelijkheid is het probleem dat gebruikers niets geven om die waarschuwingen. Sterker nog, gebruikers geven helemaal niets om security als zij bezig zijn met die andere activiteit, namelijk hun werk.

Dat is tevens het probleem met securitytraining. Het onderwijst, het preekt en drilt en ondervraagt, alles met het doel om gebruikers bekend te maken met de juiste security-procedures. Maar het helpt weinig om hen te overtuigen dat deze procedures prioriteit hebben boven het werk dat tegen zijn deadlines oploopt.

Neem bijvoorbeeld werknemer Emma. Emma weet alles over phishing en dat e-mailbijlagen virussen en trojans kunnen bevatten.Maar als Emma koortsachtig werkt aan het afronden van een project en een e-mail ziet van haar baas met als titel "Urgent, projectverandering", en het een Word-document als bijlage heeft, wat zal ze dan naar alle waarschijnlijkheid doen?

De juiste procedure in dergelijke situaties is (een e-mail met onverwachte bijlage) is dat Emma direct haar baas belt of e-mailt (niet in antwoord van het bewuste mailtje) om te controleren of haar baas inderdaad haar een mailtje heeft gestuurd. Ze zou daarentegen ook het bericht kunnen openen om te zien wat het is. Immers, zou ze het risico moeten nemen dat ze haar deadline niet haalt omdat ze het 'urgente' en mogelijk projectgerelateerde mailtje van haar baas heeft genegeerd?'

Het ondergraven van de prikkel voor werknemers om de juiste dingen te doen vanwege de security is het feit dat een overgroot deel van de e-mailbijlagen van een chef in feite een legitieme e-mailbijlage is van de baas. Zelfs met de enorme toename van het aantal phishingaanvallen zijn de meeste e-mailbijlagen legitiem, op eenzelfde manier dat de meeste mensen die bij je deur aanbellen geen moordende maniakken zijn.

De statistische realiteit daargelaten, hebben medewerkers nu eenmaal het idee dat ze niet of nauwelijks kans lopen om een geïnfecteerde bijlage te openen, met alle schade van dien, en dat die schade terug te leiden is tot het handelen van de werknemer.

Kort gezegd, werknemers zijn haastig en ze denken dat het een goede gok is om attachments te openen die op zijn minst legitiem eruit zien.

Als een bedrijf serieus is in het zorgen dat hun mensen zich strikt en routinematig houden aan de juiste security-procedures, moet het zorgen dat dat dieper raakt geworteld in de dagelijkse activiteiten van de medewerkers. Chefs zouden attachments moeten versturen aan hun mensen die ze niet verwachten. Iedereen die dat attachment opent zou daarvan de consequenties moeten ondervinden.

Dat kan een klein geldbedrag zijn, of het tegenovergestelde: een klein geldbedrag dat aan mensen wordt gegeven die - over een periode van een maand - geen enkele keer hebben geklikt op die attachments.

Noem het bijvoorbeeld het betrappen van mensen op het juiste gedrag, als je dat wilt. Maar op een of andere manier zal je mensen moeten overtuigen om zich goed te gedragen, en geld is de enige effectieve motivator die je hebt.