Goedbedoelde cybersecurity-maatregelen kunnen nadelige effecten hebben voor legitieme gebruikers – in het bijzonder voor zogenoemde kwetsbare groepen. Dit, zonder dat de persoon die ze inschakelt het opmerkt. Met zijn human-centred cybersecurity-onderzoek richt Simon Parkin de schijnwerpers op deze onbedoelde nadelige effecten.
Het lijkt zo logisch. Om een bedrijf te beschermen tegen phishing-aanvallen – waarbij de aanvallers frauduleuze berichten naar medewerkers sturen om zo achter gevoelige informatie te komen – installeert de IT-afdeling software om zulke berichten voortaan automatisch te filteren.
Maar dit kan leiden tot zelfgenoegzaamheid bij de gebruikers wat betreft de e-mails die hen wél bereiken, terwijl zulke anti-phishing software zeker niet feilloos is.
‘Onveilige normen, in dit geval het creëren van een afhankelijkheid van technische controlemiddelen, is een de zeven categorieën van onbedoelde nadelige effecten die we hebben onderscheiden,’ zegt Simon Parkin, universitair docent in het cybersecurity-team van de faculteit Techniek, Bestuur en Management aan de TU Delft. ‘Toegenomen kosten is er ook een. Dit komt, bijvoorbeeld, tot uiting als werknemers extra training krijgen in het herkennen van phishing-aanvallen.'
'Het gevolg hiervan is dat zij nu meer van hun werktijd aan cybersecurity zullen besteden, ten koste van hun eigen taken. Nog los van het feit dat nu misschien – onterecht – van hen verwacht wordt dat ze elke zorgvuldig geformuleerde kwaadaardige e-mail als zodanig zullen herkennen.’
Botte aard
In het voorgaande voorbeeld was het vooral het bedrijf (en zijn werknemers) dat schade leed, maar de gevolgen van een goedbedoelde maatregel kunnen veel verder reiken. Zo kan een online datingwebsite er bij zogenoemde romantische oplichterij bijvoorbeeld voor kiezen om drempels op te werpen die alle gebruikers – zowel legitieme als kwaadaardige - in een bepaalde regio raken, alleen maar omdat het profiel van een aanvaller te algemeen is.
‘Dit is wat wij de botte aard noemen die veel cybersecurity-maatregelen kenmerkt,’ legt Parkin uit. ‘Met cybersecurity zo prominent in het nieuws zijn we al gauw geneigd om extra maatregelen in te zetten. “Hoe meer, hoe beter” is de algemene overtuiging. Wat echter ontbreekt, is een check of legitieme gebruikers hier schade van ondervinden. Met ons onderzoek stellen wij vraagtekens bij de aanname dat “als ik goede bedoelingen heb met het configureren van een cybersecurity-maatregel, dan kan er alleen maar iets goeds van komen".’
We moeten niet-technische gebruikers niet belasten met een rits ingewikkelde instructies.'
Kwetsbare groepen
In een eerste poging om zulke onbedoelde neveneffecten een halt toe te roepen ontwikkelde Parkin een framework dat als een soort oefening dient. Hij deed dit samen met een groep co-auteurs met een achtergrond in de computer- en sociale wetenschappen. ‘Het framework bestaat uit vragen,’ zegt Parkin. ‘Ze zijn zo geformuleerd dat ze de gebruiker aansporen om een reeks aan mogelijke schadelijke gevolgen van een tegenmaatregel te overwegen – zowel wat betreft de infrastructuur van het platform, de gebruikers ervan, en hun gedrag.’
Het framework richt zich in het bijzonder op kwetsbare groepen. ‘Voordat je een maatregel activeert, moet je stilstaan bij de behoeften van een bepaalde gebruikersgroep. De maatregel moet passen binnen hoe zij met informatietechnologie omgaan. Het kan bijvoorbeeld verstandig zijn om advies uit te sturen over hoe je bepaalde apparaten beveiligd.'
'Maar het moet niet zo zijn dat we gebruikers die niet technisch onderlegd zijn belasten met een rits ingewikkelde instructies. Het is ook mogelijk dat goedbedoelende beveiligingsexperts bepaalde maatregelen uitsturen die goed passen bij grote, goed uitgeruste organisaties, maar niet bij kleine startups met slechts een handvol werknemers.’
De socio-technische risico’s van cybersecurity-maatregelen
In daaropvolgend onderzoek richtte Parkin zich specifiek op diegenen die het dichts bij de besluitvorming betrokken zijn, en die dus mogelijk de socio-technische risico’s van cybersecurity-maatregelen kunnen beperken. ‘Als we ons framework aan IT-managers voorleggen, dan zullen ze inzien dat dit nut heeft, maar zich misschien niet realiseren hoe dit op henzelf betrekking heeft,’ zegt hij. ‘We hebben daarom geprobeerd om de socio-technische risico’s in te bedden in managementprocessen waar ze al bekend mee zijn. Waar in hun infrastructuur-systeem kunnen ze sporen van nadelige effecten vinden?’
De gebruiker ontlasten
Alhoewel sommige nadelige effecten van goedbedoelde maatregelen misschien aanvaardbaar zijn, kunnen andere effecten ondervangen worden zodat de voordelen van een maatregel behouden kunnen blijven. ‘Het is niet alleen ons doel om de onbedoelde nadelige gevolgen aan het licht te brengen, maar ook om ze mee te kunnen nemen in de dagelijkse praktijk van risicomanagement,’ zegt Parkin.
‘In plaats van besluitvorming compleet een tot stilstand te brengen kunnen we een afgewogen keuze maken in waar we risico’s willen verminderen, waar we ze willen overdragen en waar accepteren.’ Bij wachtwoorden is er nu bijvoorbeeld een tendens om legitieme gebruikers te ontlasten.
Hier wordt het gebruik van de netwerken op de achtergrond nauwlettend gemonitord – om zo de patronen van verdacht inlog-gedrag te herkennen. ‘Dit in plaats van nog weer een ander authenticatiebeleid in te voeren waarbij de gebruiker nu echt, echt, echt moet aantonen dat zij het zelf zijn die inloggen. Zo verhoog je de beveiliging én ontlast je de gebruiker.’
Het voelt alsof we binnen Leiden-Delft-Erasmus een groot deel van de op dit gebied openstaande uitdagingen kunnen aangaan door de verschillende disciplines bij elkaar te brengen; cybercrime, veiligheidsbeleid, risicomanagement en governance.’
Met alle belanghebbenden
Voordat Parkin bij de TU Delft kwam, was hij senior onderzoeker en docent aan de University College London (UCL). ‘Ik hield me daar voornamelijk bezig met het vergaren van bewijs wat betreft de socio-technische aspecten van cybersecurity. Hier op de TU Delft kan ik de menselijke component combineren met inzicht in wat zich daadwerkelijk binnen deze IT-systemen afspeelt. Als we iemand vragen bepaalde instructies te volgen om kwaadaardige software van zijn slimme apparaat te verwijderen, dan kunnen we bijvoorbeeld ook de netwerkdata monitoren om te zien of het probleem inderdaad is opgelost.’
In zijn huidige onderzoek zoekt hij naar manieren waarop de uitdaging van onbedoelde nadelige gevolgen zo kan worden geformuleerd dat alle belanghebbenden bij eventuele beslissingen worden betrokken – van cybersecurity-probleemeigenaren tot vertegenwoordigers van diegenen die door maatregelen geraakt worden. ‘Het voelt alsof we binnen Leiden-Delft-Erasmus een groot deel van de op dit gebied openstaande uitdagingen kunnen aangaan door de verschillende disciplines bij elkaar te brengen: cybercrime, veiligheidsbeleid, risicomanagement en governance.’
Breed toepasbaar
Door de jaren heen zijn er genoeg voorbeelden geweest waarbij bedrijven hun klanten mogelijk wegjoegen terwijl ze alleen maar hun website beter wilden beveiligen. Denk bijvoorbeeld aan mensen die geen kaartjes konden kopen omdat ze die rare CAPTCHA-karakters niet konden ontcijferen waarmee je kan aantonen dat je een mens bent en niet een geautomatiseerde “bot”.
Het besef dat slechte cybersecurity mensen benadeeld is groeiende, maar is er nog een lange weg te gaan.’
Het wordt nog veel problematischer als deze onbedoelde neveneffecten zich voordoen bij essentiële diensten, zoals websites van de overheid of van financiële instellingen. Alleszins redelijk dus om te stellen dat het onderzoek van Parkin breed toepasbaar is. Met al die onbedoelde nadelige effecten die gebruikers nopen hun gedrag aan te passen, of zelfs om een systeem de rug toekeren, kun je je afvragen of elke IT-afdeling misschien een socioloog in dienst zou moeten nemen.
‘Dat is de keerzijde van het feit dat IT een rol speelt bij alles wat we doen, het maakt het een mensenkwestie,’ zegt Parkin. ‘Het besef dat slechte cybersecurity mensen benadeeld is groeiende, maar is er nog een lange weg te gaan.’
Tekst: Merel Engelsman
