De mens als zwakste schakel

Op 19 maart 2016 opent John Podesta zijn e-mail-box en treft een berichtje van Google. Denkt hij. Of ie z’n e-mailaccount wil herbevestigen. In het campagne-hoofdkwartier van de democratische presidentskandidaat Hillary Clinton in Brooklyn is het die zaterdag hectisch. Er is minder dan acht maanden te gaan tot de Amerikaanse verkiezingen.  

Een oplettende medewerker ruikt onraad en stuurt een mailtje naar de it-afdeling, of het in orde is dat Podesta herbevestigt en krijgt per kerende post dit berichtje terug: “This mail is legitimate. John must immediately change his password.” Dus dat doet Podesta met enkele muiskliks en toetsaanslagen… die hun stempel zullen drukken op de wereldgeschiedenis. Waarschijnlijk reeds de minuten daarna wordt Podesta’s e-mailbox leeggeroofd en verdwijnt een vracht aan vertrouwelijke informatie naar Rusland. Zonder deze voor Clinton desastreuze lek had zij nu hoogstwaarschijnlijk in het Witte Huis gezeten, en niet Donald Trump.

Catastrofe verborgen in een klein hoekje

Zeker, aan de cybersecurity in Clintons campagne-organisatie viel technisch veel te verbeteren maar de waakzaamheid van Podestas staf was voorbeeldig. Dat het toch mis ging lag aan it-medewerker Charles Delavan die de verwarrende mail terugzond. Tegenover de Times verklaarde hij later in de haast een typefout te hebben gemaakt. Er had moeten staan: “This mail is illegitimate…” De toevoeging dat Podesta zijn wachtwoord moest aanpassen was standaard bij elk veiligheidsincident. In de digitale samenleving kan een catastrofe verborgen zitten in een klein hoekje.

Neurobiologisch probleem

Van kwaadaardige attachments heeft meer dan 99 procent menselijke interactie nodig. Voor URL’s in kwaadaardige mails is dat 98 procent, zo schat de Amerikaanse producent van beveiligingssoftware Proofpoint. Cybersecurity is daarmee behalve een technisch vooral een menselijk… een neurobiologisch probleem. Toetsenborden en computermuizen worden meer en meer het verlengstuk van onze handen. We typen en klikken zo routinematig dat het bericht al is verzonden en het malafide attachment al is aangeklikt voor we er bewust toe hebben besloten. Het zijn niet gedachten maar vingers die de beslissing nemen.

Reptielenbrein

Die routine danken we hersenstem en kleine hersenen, ons ‘reptielenbrein’, dat vaak uitgevoerde handelingen overneemt, net als bij traplopen en fietsen. Op het reptielenbrein ligt het zoogdierenbrein gestapeld, dat het veiligheidsrisico nog eens vergroot. Deze zogenoemde ‘middenhersenen’, die onze emoties reguleren, laten zich namelijk gemakkelijk hacken. Phishing mails spelen daar massaal op in. Zo suggereerde Podesta’s Google-mailtje dat er haast geboden was. Angst blokkeert kritisch oordeelsvermogen. Het wekte tegelijkertijd vertrouwen (met de naam Google) en de helpende hand (met hulpvaardige taal). Onze middenhersenen zijn ontvankelijk voor bekende gezichten en logo’s en voor aardigheid. Voor cadeautjes en attentie. Volgens het voor-wat-hoort-wat-principe moeten we iemand die aardig doet ter wille zijn. Tenslotte suggereerde de mail dat herbevestiging van het account nodig was om de vijand buiten de deur te houden. Heel slim want de vijand van je vijand die voelt als je vriend.

Verizon

Zo laten we ons manipuleren, en gaan gemakkelijk in de fout. En dan? Ja, dan maakt datzelfde zoogdierbrein de zaak nóg erger door ons een gevoel van gêne te bezorgen: we hebben iets stoms gedaan. En bij gêne willen we ons verbergen. IT-bedrijf Verizon analyseerde wat er gebeurd was met 636 duizend gesanctioneerde phishing mails die in 2015 binnen allerlei bedrijven aan medewerkers waren gestuurd om de risico’s in kaart te brengen: dertig procent werd geopend, in twaalf procent werd op het attachment geklikt. En hoeveel van deze medewerkers deden een melding? Dat was drie procent. Drie procent! De rest stak gegeneerd zijn kop in het zand of dacht: waait wel over.

Open foutenmentaliteit

Daar hebben we het grootste risico te pakken: de gêne van medewerkers over hun fouten. De kop in het zand is fnuikend voor beveiliging én voor het leerproces van de medewerker. De kans dat hun vingers dezelfde fout weer maken zou veel kleiner zijn als medewerkers durfden uit te komen voor hun fouten, blijkt uit onderzoek. Dat vergt een bedrijfscultuur die ervan is doordrongen dat fouten maken erbij hoort en dat erbij stilstaan dé manier is om samen te leren. Veel kwetsbare bedrijven als vliegtuigmaatschappijen, banken en procesindustrie investeren al jaren in zo’n open foutenmentaliteit.

De mens als zwakke schakel

Bovenop ons reptielen- en zoogdierenbrein ligt de cortex gedrapeerd: “het mensenbrein”. Dit is de plek waar medewerkers verantwoordelijkheid nemen. En dat gaat het best, zo blijkt uit onderzoek, wanneer ze trots zijn op hún bedrijf en op hun rol daarbinnen. Er is geen complete technische oplossing tegen digitale bedreiging. Daarom vraagt de veilige organisatie van de toekomst om oplettende, trotse, zelfbewuste, lerende en gelukkige medewerkers. Want die leren sneller, maken daardoor minder fouten en nemen meer verantwoordelijkheid. Ze botsen bijvoorbeeld ook minder deuken in bedrijfsauto’s. Dat de mens de zwakke schakel is, dwingt bedrijven om cybersecurity als een strategisch vraagstuk te zien.

Mark Mieras is wetenschapsjournalist gespecialiseerd in hersenen en leren. Hij was een van de sprekers op Bright & Cloudy 2017.