Supertargets: Verkenning naar voorspellende en verklarende factoren voor slachtofferschap van cybercriminaliteit

Earth, Life & Social Sciences Kampweg 5 3769 DE Soesterberg Postbus 23 3769 ZG Soesterberg

TNO-rapport

www.tno.nl

TNO 2015 R11499

Supertargets: Verkenning naar voorspellende en verklarende factoren voor slachtofferschap van cybercriminaliteit

Datum

januari 2016

Auteur(s)

Dr. R. Wijn Dr. H. van den Berg Dr. I.M. Wetzer C.C.M.T. Broekman MSc.

Aantal pagina's Aantal bijlagen Projectnaam Projectnummer

44 (incl. bijlagen) 1 Supertargets 060.13786

Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke andere wijze dan ook, zonder voorafgaande toestemming van TNO. Indien dit rapport in opdracht werd uitgebracht, wordt voor de rechten en verplichtingen van opdrachtgever en opdrachtnemer verwezen naar de Algemene Voorwaarden voor opdrachten aan TNO, dan wel de betreffende terzake tussen de partijen gesloten overeenkomst. Het ter inzage geven van het TNO-rapport aan direct belanghebbenden is toegestaan. © 2016 TNO

T +31 88 866 15 00 F +31 34 635 39 77

Managementuittreksel Titel : Auteur(s) :

Datum

:

Rapportnr. :

Supertargets: Verkenning naar voorspellende en verklarende factoren voor slachtofferschap van cybercriminaliteit Dr. R. Wijn Dr. H. van den Berg Dr. I.M. Wetzer C.C.M.T. Broekman MSc. januari 2016 TNO 2015 R11499

Deze rapportage beschrijft een literatuuronderzoek naar voorspellende en verklarende factoren van slachtofferschap van cybercriminaliteit. De resultaten zullen worden geïntegreerd om inzicht te verkrijgen in generieke gedrags- en persoonlijkheidskenmerken van mensen die slachtoffer zijn van (cyber) criminaliteit. Dit inzicht in generieke gedrags- en persoonlijkheidskenmerken vormt de basis voor effectieve technische of gedragsinterventies om slachtofferschap tegen te gaan. Jaarlijks wordt 4-8% van de privé internetgebruikers (of 16% “wel eens” of “regelmatig”) slachtoffer van het hacken of cracken van email accounts of sociale media profielen, 17% treft malware aan op hun computers, en 60% van de gebruikers ontvangt wel eens of vaak phishingmails. Het Nationaal Cyber Security Centrum (2015) stelt dat phishing een bedreiging blijft vormen voor heel Nederland. Voor de private sector schat IBM (2015) dat er in 2014 per groot bedrijf (1000-5000 werknemers) gemiddeld 100 cyberincidenten plaatsvonden. Schattingen van de schade lopen uiteen. Ponemon Institute (2015) schat de kosten van cybercriminaliteit in Australië (in de steekproef het best vergelijkbare land met Nederland op basis van bevolkingsomvang en economie) op 3,5 miljard dollar. Volgens het Center for Strategic and International Studies (CSIS, 2014) is de schade van cybercriminaliteit voor Nederlandse bedrijven zo’n 12 miljard euro op jaarbasis. De betrouwbaarheid van de beschikbare gegevens over de omvang van cybercriminaliteit in bedrijven is onduidelijk. Mogelijk is er onderrapportage omdat veel incidenten niet worden gemeld door concurrentie en reputatieoverwegingen. De veel gebruikte ‘cyber kill chain’, die de processtappen visualiseert van een cyberaanval, heeft expliciete aandacht voor de rol van de mens in cyberaanvallen. Gebruikers van systemen worden regelmatig gebruikt als ingang tot IT-systemen. Gebruikers kunnen verschillende dingen doen om de kans op slachtofferschap te verkleinen, variërend van het up-to-date houden van software tot niet ingaan op malafide verzoeken. Toch houden veel IT-gebruikers zich daar niet aan. Onderzoek naar kenmerken van slachtoffers laat zien dat leeftijd en internetactiviteiten de belangrijkste voorspellers van slachtofferschap zijn. Risicobewustzijn en beschermende IT-maatregelen (zoals virusscanners) zijn risicoverlagende factoren, maar alleen bij hacken (gedefinieerd als toegang verschaffen tot een systeem) en niet voor bijvoorbeeld identiteitsfraude.

TNO-rapport | TNO 2015 R11499

3 / 39

Deze bevindingen kunnen worden verklaard vanuit de Routine activiteiten theorie, die stelt dat een delict waarschijnlijk wordt wanneer online activiteiten van internetgebruikers hen blootstellen aan daders in een omgeving waar geen controle (bijvoorbeeld toezicht, firewall, virusscanner) is. Onderzoek naar de rol van persoonlijkheid laat verbanden zien tussen kans op online slachtofferschap en de drie persoonlijkheidstrekken ordelijkheid, mildheid en emotionele stabiliteit. Daarnaast is er ook onderbouwing gevonden dat de persoonlijkheidstrekken ‘behoefte aan kennis (need for cognition)’ en ‘nadenken over consequenties van gedrag’ verband houden met meer veilig internet gedrag. Kennis uit de sociale psychologie is nog niet toegepast op het cyberdomein, maar geeft wel veel aanknopingspunten om slachtofferschap te verklaren. Vanuit een theoretisch perspectief kunnen we aangeven waar in het menselijk denken en handelen zwakke processtappen zitten. Die kunnen worden gebruikt als aanvalsvector van cybercriminelen. De manier waarop mensen informatie cognitief verwerken en de invloed die een situatie, taakkenmerken of de werken organisatiesituatie daarop hebben, bepalen voor een groot deel het getoonde gedrag. Voor cognitieve informatieverwerking onderscheiden we twee manieren: bewust/gecontroleerd en automatisch. Deze twee manieren van informatieverwerking kunnen worden beschreven met de zogenaamde OODA-cyclus. Volgens deze cyclus komt informatie via de zintuigen binnen (Observe), wordt dat geïnterpreteerd (Orient), waarna een gedragsintentie wordt gevormd (Decide), die uiteindelijk leidt tot het uitvoeren van gedrag (Act). Wanneer de cyclus geheel wordt doorlopen is sprake van een gecontroleerd (bewust) proces. Een voorwaarde voor het juiste gedrag na het doorlopen van het gecontroleerde proces is dat de relevante informatie wordt waargenomen en op waarde geschat, dat men voldoende kennis en kunde heeft om goede beslissingen te maken, en de vaardigheid om het uit te voeren. Dit gecontroleerde verwerkingsproces kost relatief veel tijd en energie. Daarom zijn de meeste handelingen die mensen uitvoeren niet het gevolg van dit bewuste proces waarbij alle vier stappen van de OODA-cyclus worden doorlopen, maar hanteren mensen ook min of meer geautomatiseerde verwerkings- en beslisprocessen. Wanneer informatie die direct uit zintuigen komt, gedachteloos leidt tot een gedraging, zoals het wegklikken van een systeem prompt, dan is dat een automatische handeling. Dit is verreweg de meest tijds- en energiebesparende modus voor mensen. Iets minder efficiënt, maar nog steeds efficiënter dan de geheel bewuste route is het gebruik van heuristieken. Dat zijn beslisregels of mentale shortcuts om snel informatie te beoordelen en efficiënt beslissingen te nemen. Heuristieken kunnen nuttig zijn wanneer ze goed geleerd zijn en passen bij een situatie maar ze kunnen mensen ook misleiden wanneer ze verkeerd worden toegepast. Dit kan bijvoorbeeld gebeuren wanneer de situatie verkeerd wordt geïnterpreteerd. In de digitale wereld veranderen aspecten van de situatie door technologische ontwikkelingen of kan de waargenomen situatie gemanipuleerd worden door kwaadwillenden. In beide gevallen kunnen verkeerde beslisregels worden toegepast waardoor mensen misleid worden.


4 / 39

De automatische en heuristische manier van informatieverwerking is de menselijke default. Omdat we weten dat dit ook kan leiden tot verkeerde gedragingen is het wenselijk dat mensen, waar nodig, hun heuristieken bewust corrigeren. Daarvoor moeten mensen gemotiveerd worden om uitgebreider na te denken over hun handelingen (dus om de bewuste gecontroleerde route te doorlopen). Mensen kunnen gemotiveerd worden door allerlei zaken die positief voor ze zijn, zoals het behalen van tijdswinst, status, geld, et cetera. Maar ook door zaken die negatief zijn, zoals de waargenomen ernst van een dreiging, of in een organisatie regels en daaraan verbonden sancties. Maar omdat mensen niet de mentale capaciteit hebben om alle informatie bewust en gecontroleerd te verwerken, is een van de uitdagingen om te bepalen voor welke kwesties IT-gebruikers wel en voor welke ze niet gemotiveerd zouden moeten worden om bewuste beslissingen te nemen. Naast persoonlijkheidsfactoren en informatieverwerkingsprocessen wordt gedrag van mensen in een werksetting ook door andere factoren beïnvloed, zoals officiële (regels) of officieuze (normen) voorschriften voor correct gedrag. Die regels en normen vormen een bedrijfscultuur. In de literatuur worden zes principes beschreven die bij kunnen dragen aan een goede cyber security cultuur. De effectiviteit van deze zes principes is niet empirisch onderzocht. Op basis van de bestaande kennis kunnen we de volgende onderzoekslijnen definiëren die bij kunnen dragen aan veiliger gedrag, betere trainingen, toegepast op de specifieke behoefte en noden, organisatorische interventies om veiliger gedrag van werknemers te bereiken, en interventies om risico’s te mitigeren: 1) Gepersonaliseerde cyber security awareness/training programma’s. 2) Veilige cybercultuur. 3) Verstoren van het cybercrime ecosysteem. 4) Cyberincident crisismanagement. 5) Kenniselicitatie van succesvolle cybergebruikers en –analisten.


5 / 39

Inhoudsopgave Managementuittreksel ............................................................................................. 2 1 1.1

Inleiding .................................................................................................................... 6 Mens vs. Machine ...................................................................................................... 6

2 2.1 2.2

Omvang slachtofferschap cybercriminaliteit ....................................................... 8 Privé-slachtofferschap ............................................................................................... 8 Organisatieslachtoffers ............................................................................................ 11

3

Risicogedragingen en mitigerende maatregelen van IT-gebruikers ................ 12

4 4.1 4.2

(Super)targets ........................................................................................................ 14 Demografische factoren .......................................................................................... 14 Routine activiteiten .................................................................................................. 14

5 5.1 5.2 5.3 5.4 5.5 5.6 5.7

Psychologische factoren van online slachtofferschap ..................................... 16 Hoe komt gedrag tot stand ...................................................................................... 16 Gecontroleerde processen ...................................................................................... 17 Geautomatiseerde processen, heuristieken en biases ........................................... 19 Motivatie .................................................................................................................. 21 Persoonlijkheid ........................................................................................................ 22 Basale behoeften ..................................................................................................... 24 Beinvloeden van gedrag van (super)targets ........................................................... 25

6 6.1

Een speciale omgeving: organisaties ................................................................. 27 Cyber security cultuur .............................................................................................. 27

7 7.1 7.2 7.3 7.4 7.5

Voorstel voor kennisontwikkeling ....................................................................... 30 Gepersonaliseerde cyber security awareness/training programma’s ..................... 30 Veilige cybercultuur ................................................................................................. 30 Verstoren van het cybercrime ecosysteem ............................................................. 31 Cyber incident crisismanagement ........................................................................... 32 Kenniselicitatie van succesvolle computergebruikers en analisten ......................... 34

8

Literatuur ................................................................................................................ 35 Bijlage(n) A Variabelen uit studies die veilig en onveilig gedrag maten


1

6 / 39

Inleiding Onlangs werd in de media zichtbaar dat de Verizon privé emailaccount van CIA-baas John Brennan recent was gehackt. Om toegang te krijgen tot zijn emailaccount gebruikten de hackers Brennans persoonlijke informatie zoals zijn klantnummer, email-adres en zijn bankrekeningnummer om daarmee een wachtwoordreset aan te vragen. Die gevoelige informatie hadden de hackers eerder verkregen bij een Verizon-medewerker door zich voor te doen als een Verizon-collega (Zetter, 2015). In een ander recent voorbeeld saboteerden Amerikaanse en Israëlische overheden Iraanse kerncentrifuges door de computers van de centrales te infecteren met de Stuxnetworm. Die worm werd (waarschijnlijk) met USB sticks verspreid, wachtend op de Iraanse gebruikers die de stick zouden gebruiken en zo de worm in het systeem zouden brengen (Falliere, Murchu, & Chien, 2011). Deze twee voorbeelden laten zien hoe zwakke plekken in een organisatie gebruikt worden om een IT-systeem te compromitteren en in deze beide gevallen waren gebruikers van IT-systemen een belangrijk onderdeel van de zwakke plek. Ook criminelen maken in toenemende mate gebruik van de gebruiker als schakel om toegang te krijgen tot systemen om daarmee financieel gewin te bereiken. Door de brede toegankelijkheid van internet (88% van de Nederlanders gebruikt 1 dagelijks internet, nog eens 10% wekelijks ) bieden consumenten voor criminelen volop gelegenheid om in redelijke anonimiteit criminele activiteiten te ondernemen.

1.1

Mens vs. Machine Veel technische inspanningen worden verricht om systemen te beveiligen tegen cyberaanvallen, zoals gebruik van firewalls, detecteren van binnengekomen virussen en malware of forensisch onderzoek. Om verschillende redenen is dit een goede benadering: computersoftware kan in hoog tempo grote hoeveelheden data verwerken en toetsen op verborgen malware of ongewenste berichten. Het doet dit zonder beïnvloed te worden door vermoeidheid, afleiding of verveling en is dus in zijn taakuitvoering erg betrouwbaar. Misschien wel juist door de toenemende algemene informatiebeveiliging, lijken cybercriminelen hun aandacht te verleggen naar de kwetsbaarheid van de gebruikers van systemen die ze willen compromitteren (Security.nl, 2012). Door de gedane investeringen in (software) technische systemen zijn mensen relatief een zwakkere schakel geworden. In tegenstelling tot IT-systemen zijn mensen snel afgeleid, vermoeid, en nemen ze bewuste en onbewuste risico’s. Het leidt ertoe dat volgens sommige bronnen bij 95% van de beveiligingsincidenten menselijk handelen (een deel van) de oorzaak van het incident is (IBM, 2015).

1

http://statline.cbs.nl/Statweb/publication/?VW=D&DM=SLNL&PA=71098NED&D1=0-14,3334,41-47,55-59,65-84,114-133&D2=0&D3=a&HD=150811-1716&HDR=G1,G2&STB=T


7 / 39

Maar mensen hebben ook hun sterke kanten. Mensen kunnen nadenken, wat hen in staat stelt om te leren. Ze kunnen deze kennis vervolgens creatief toepassen. Dat wil zeggen, ze kunnen die kennis anders ordenen en later gebruiken in nieuwe situaties. Bovendien kunnen mensen vrij gemakkelijk en beter dan computers patronen herkennen (Baird, Coates, Fateman, 2003). Door deze vaardigheden zijn mensen mogelijk beter dan computers in staat om bijvoorbeeld nieuwe vormen van spam te herkennen of om te herkennen dat een bericht door computers in plaats van mensen is gegenereerd (de zogenaamde Turing-test; Turing, 1950). Gegeven de constatering dat menselijk gedrag een belangrijke factor is in de cyber security keten, is hier ook de mogelijkheid om het risico in de keten te verkleinen. Een veel toegepaste aanpak is het organiseren van security awareness trainingen voor personeel waarbij kennis en bewustzijn over risico’s moeten leiden tot veiliger gedrag. Er is echter discussie over het nut van security awareness trainingen (Aitel, 2012; McGraw & Migues, 2012; Schneider, 2013). Andere interventies om veilig gedrag te stimuleren richten zich op het vergroten van de beveiligingsmotivatie (bijvoorbeeld Johnston & Warkentin, 2010), of op formele sancties bij het overtreden van beveiligingsregels (D’Arcy, Hovav, & Galletta et al. 2009). Welke interventies wel of niet werken, is afhankelijk van de oorzaken van het menselijk falen bij cyberincidenten. Waarom kiezen mensen bijvoorbeeld een zwak wachtwoord? Waarom houden ze hun systeem niet up-to-date? Waarom laten ze zich overreden door iemand aan de andere kant van de lijn om gevoelige informatie te verstrekken? En waarom klikken mensen op foute links in e-mails? Zijn er gemeenschappelijke kenmerken van mensen, of zijn er situaties waarin mensen meer of juist minder van dergelijke potentieel onveilige handelingen verrichten? Deze vragen leiden tot de onderzoeksvraag: Wat zijn onderscheidende, gemeenschappelijke kenmerken van slachtoffers (persoonskenmerken, demografische kenmerken, situationele kenmerken) van cybercriminaliteit? Deze onderzoeksvraag en de vragen die tot de onderzoeksvraag leidden, leggen impliciet ook de focus op de doorsnee eindgebruiker van IT-systemen. Dit rapport richt zich dus niet op het gedrag van professionals in de IT-beveiliging, hoewel sommige inzichten mogelijk wel op hen kunnen worden toegepast. We beantwoorden de onderzoeksvraag door de wetenschappelijke inzichten in voorspellers van cyber-slachtofferschap te verzamelen. De nadruk ligt op persoonskenmerken, persoonlijkheidskenmerken en situationele factoren die het gedrag van mensen beïnvloeden. We zoeken daarom voornamelijk in criminologische en psychologische literatuur. De kennis die dit oplevert moet helpen om handvatten en handelingsopties te krijgen om slachtofferschap tegen te gaan.


2

8 / 39

Omvang slachtofferschap cybercriminaliteit Om meer inzicht in slachtoffers van cybercriminaliteit te krijgen, beschrijven we in dit hoofdstuk de omvang van het probleem voor privégebruikers en voor organisaties. De belangrijkste reden voor een onderscheid tussen privéslachtofferschap en organisatieslachtofferschap is dat mensen zich als privépersoon deels anders gedragen dan als werknemer. Hoewel privé- en zakelijk online gedrag voor veel mensen verweven zijn (bijvoorbeeld facebook bezoeken tijdens werk, Bring Your Own Device [BYOD], thuiswerken) verschilt de inhoud van professionele online activiteiten van de inhoud van privé online activiteiten en zijn er in organisaties officiële (regels) of officieuze (normen) voorschriften voor correct online gedrag. Een tweede reden voor het onderscheid tussen privéslachtofferschap en organisatieslachtofferschap is dat de inspanningen en doelen van cybercriminelen en andere indringers en de consequenties zoals de schadeomvang vaak sterk verschillen.

2.1

Privé-slachtofferschap Er zijn drie belangrijke bronnen voor recent inzicht in de omvang van slachtofferschap. Dit zijn de Eurobarometer cyber security 2015 (European Commission, 2015), Domenie en collega’s (2013) en de Nationale Veiligheidsmonitor (Centraal Bureau voor de Statistiek [CBS], 2015). Deze drie bronnen hebben op basis van vragenlijsten onder grote groepen respondenten schattingen van de omvang van slachtofferschap van cybercrimes gedaan. Tabel 1 geeft de bevindingen van de gerapporteerde prevalenties van slachtofferschap in die bronnen weer. Tabel 1: Gerapporteerde frequenties van verschillende typen online delicten volgens de Eurobarometer cyber security 2015 (European Commission, 2015), Domenie en collega’s (2013) en de Nationale Veiligheidsmonitor (Centraal Bureau voor de Statistiek [CBS], 2015). De verschillen tussen de bronnen in frequenties van delicten is waarschijnlijk vooral verklaarbaar door de verschillende afbakeningen van periode waarover respondenten rapporteerden. EU barometer 2015 NL

Domenie et al., 2013

Veiligheidsmonitor (CBS, 2015)

definitie

“soms of

“slachtoffer definitie

“slacht-

regelmatig

in de

offer in

slachtoffer”

afgelopen

2014”

definitie

12 maanden” identiteits-

diefstal van

3%

diefstal

persoonlijke informatie

diefstal

offer

en het zich voordoen

en/of fraude

phishing

als iemand anders frauduleuze

Verzoeken om

mails of

computertoegang of

telefoontjes

persoonlijke details via email of telefoongesprekken

59%

Identiteits-

0,8%

Slacht-

0,4%


9 / 39

EU barometer 2015 NL

Domenie et al., 2013

Veiligheidsmonitor (CBS, 2015)

definitie

“soms of

“slachtoffer definitie

“slacht-

regelmatig

in de

offer in

slachtoffer”

afgelopen

2014”

definitie

12 maanden” Online fraude

Betaalde goederen

16%

gekochte

niet geleverd, of

spullen niet

geleverde goederen

geleverd

niet betaald

verkochte

2,4%

3,9%

0,3%

0,2%

spullen niet betaald Voorschot-

0,2%

fraude totaal online

3,5%

totaal

4,1%

fraude inclusief ID fraude totaal Bereikbaar-

Websites down of

heids-

onbereikbaar door

problemen

cyberaanvallen

43%

van websites Hacking

hacken of cracken van 16%

hacken

email accounts of

sociale

1,5%

2,1%

sociale media

media

accounts

accounts 2,9%

3,2%

hacken PC

0,7%

1,2%

Hacken als

0,8%

hacken mail accounts

anders

2,1%

onderdeel MO hacken

4,3%

7,9%

totaal Online

8%

bankieren fraude Cyber

Eisen van geld in ruil

afpersing

voor het vrijgeven van

10%

device Malware

kwaadaardige

62%

16,7%

software geïnstalleerd op device

Een aantal zaken valt onmiddellijk op in de tabel. Ten eerste worden 4-8% van de internetgebruikers per jaar (of 16% “wel eens” of “regelmatig”) slachtoffer van het hacken of cracken van email accounts of sociale media profielen. Dit is vergelijkbaar met een veelvoorkomende criminaliteit als fietsendiefstal in Nederland (Domenie, et al., 2013).


10 / 39

Minstens zo opvallend en mogelijk gerelateerd is het aantal internetgebruikers dat malware tegenkomt op hun computers: jaarlijks bijna 17% van alle gebruikers. Een specifieke vorm van malware die in opkomst is, is ransom-ware. Devices (in geval van ransomware) of bestanden (in geval van cryptoware) van slachtoffers worden vergrendeld en kunnen tegen betaling worden bevrijd. Eveneens in opkomst zijn phishingmails die bijna 60% van de gebruikers wel eens of vaak zegt te ontvangen. Verwacht wordt dat dit getal zal stijgen omdat phishingmails succesvoller worden omdat ze steeds overtuigender ingezet worden (Nationaal Cyber Security Centrum, 2015). Er zijn flinke verschillen tussen de drie bronnen te zien: De Eurobarometer rapporteert veel hogere waarden dan de andere twee bronnen. De belangrijkste reden hiervoor is dat de periode waarop de vragen betrekking hebben sterk verschilt. In de Eurobarometer (2015) geven de percentages weer hoeveel mensen wel eens of vaak in hun leven slachtoffer van de betreffende feiten zijn geworden. In de andere twee bronnen beperkt de p eriode waarin respondenten hun slachtofferschap rapporteren tot één jaar. Daardoor zijn de percentages in de laatste twee bronnen beduidend lager. De bronnen waarin slachtofferschap per jaar is gerapporteerd geven daardoor een beter te interpreteren beeld van de huidige mate van dreigingen die internetgebruikers tegenkomen. Een tweede reden voor de verschillen tussen de bronnen is dat er verschillende definities zijn van delicten en de wijze waarop die delicten bij respondenten zijn bevraagd. Zo operationaliseert de Eurobarometer (2015) identiteitsdiefstal als diefstal van persoonlijke informatie en het zich voordoen als iemand anders, Domenie en collega’s (2013) operationaliseren het vergelijkbaar maar iets ruimer als identiteitsdiefstal en –fraude en in de Veiligheidsmonitor wordt in het kader van identiteitsfraude gesproken over slachtofferschap van phishing (CBS, 2015). 2.1.1

Onderschatting De oorsprong van de cijfers van bovengenoemde bronnen ligt in zelfrapportages. Een typisch probleem van cybercriminaliteit is dat mensen niet altijd weten dat ze slachtoffer zijn geworden (Domenie, et al., 2013). Zelfrapportages kunnen daardoor een flinke onderschatting geven van de daadwerkelijke prevalentie van de delicten (PriceWaterhouseCoopers [PWC], 2013). Een mogelijk voorbeeld hiervan is het cijfer dat de Veiligheidsmonitor (CBS, 2015) geeft voor slachtofferschap na phishingmails. Volgens de Veiligheidsmonitor worden jaarlijks vier op elke 1000 (0,4%) internetgebruikers slachtoffer van phishingpogingen. Dit lijkt in contrast te staan met een schatting van Google dat bijna 14% van de phishingmails succesvol is (Bursztein, et al., 2014) en al helemaal met onderzoek dat laat zien dat de slagingskans van een phishingmail stijgt van 16% naar 72% als die van een vriend afkomstig lijkt (Jagatic et al., 2007, geciteerd in Krombholz, 2014). Bijna 60% van de Nederlanders geeft aan wel eens phishingmails te ontvangen (Eurobarometer, 2015). Als ongeveer 14% van de mensen die een phishingmail ontvangt (60%) slachtoffer wordt (conservatieve schatting op basis van bovenstaand onderzoek), dan zou de prevalentie van slachtofferschap rond de acht per duizend internetgebruikers moeten liggen, dus tweemaal zo hoog als de Veiligheidsmonitor schat.


2.2

11 / 39

Organisatieslachtoffers Het inschatten van de omvang van cybercriminaliteit in organisaties is nog lastiger dan het maken van de inschatting van privéslachtofferschap. Daarvoor zijn verschillende redenen. Ten eerste worden de meeste cybercrime incidenten niet gemeld (The Economist, 2015). In sommige gevallen is dat omdat men niet weet dat ze slachtoffer is geworden, soms omdat het binnen de organisaties niet gerapporteerd wordt, en soms omdat de (financiële) gevolgen, ook voor derden, zo groot kunnen zijn dat bedrijven het incident liever onder het tapijt schuiven. Ten tweede verschillen organisaties sterk in omvang en markt waarin ze bedrijvig zijn. Dat veroorzaakt grote verschillen in de mate waarin ze getroffen worden. Dat maakt het lastig om een beeld van de omvang van organisatieslachtofferschap te geven. Ten derde is er geen consensus over de manier om cybercriminaliteit te meten of welke schadeposten onderdeel zouden moeten zijn van de totale schadeschatting (Ponemon Institute, 2015, Center for Strategic and International Studies [CSIS], 2014). Niettegenstaande bovenstaande voorbehouden, zijn er wel degelijk schattingen gemaakt van de (financiële) omvang van cybercriminaliteit. Zo stelt IBM (2015) dat er in 2014 per groot bedrijf (1000-5000 werknemers) gemiddeld 81 miljoen events (een gedetecteerde gebeurtenis), 12 duizend werkelijke aanvallen die uiteindelijk leidden tot 109 incidenten plaatsvonden. Het CSIS (2014) schat de totale kosten van cybercriminaliteit wereldwijd op 400 miljard dollar. Voor Nederland berekende 2 ze dat de schade met 1,5% van ons BBP op ca. 12 miljard euro. Ook McAfee komt met schattingen die wereldwijd oploopt tot duizend miljard (McAfee & SAIC, 2011). Het probleem van deze bronnen is echter dat ze niet onafhankelijk zijn en dat kan hun schattingen beïnvloeden (Maass, & Rajagopalan, 2012; The Economist, 2015). Een bescheidener inschatting komt van het Ponemon Institute (2015). Die schatte de totale jaarlijkse schadelast voor de VS op ruim 15 miljard en voor Australië 3,5 miljard dollar (vergelijkbaar land met Nederland op basis van bevolkingsomvang en economie). Deze bedragen zijn de kosten die organisaties maken met betrekking tot cybercrime incidenten, inclusief detectie-, herstel-, onderzoekskosten en incidentreactie (bijvoorbeeld PR) en gevolgschade zoals ontwrichting van de markt en verlies van klanten.

2

Een rapport van TNO is een van de door CSIS geraadpleegde bronnen. Mogelijk is dat een rapport dat sterk op een Brits rapport van advies- en technologiefirma Detica was gebaseerd. Dat rapport van Detica ontving kritiek omdat sommige schadeposten zoals reputatieschade niet te kwantificeren zouden zijn. In de TNO rapportage werden de Detica-cijfers geëxtrapoleerd naar de Nederlandse situatie. Maar volgens een artikel in NRC-Next (Stelling, 2012) verzuimde het daarbij om rekening te houden met de omvang van het taalgebied (en dus de aantrekkelijkheid om er in actief te zijn als crimineel) en de Nederlandse wetgeving (niet alles wat illegaal is in Groot Brittannië is ook illegaal in Nederland). De inschatting van TNO dat cybercriminaliteit jaarlijks 10 miljard euro schade toebrengt aan de Nederlandse economie werd daardoor niet door iedereen serieus genomen (Stelling, 2012).


3

12 / 39

Risicogedragingen en mitigerende maatregelen van IT-gebruikers In dit hoofdstuk schetsen we een beeld van de risicogedragingen en mitigerende maatregelen die IT-gebruikers kunnen treffen. We doen dat door eerst de manier waarop een cyberaanval tot stand komt en de rol van IT-gebruikers daarin te beschrijven. Een cyberaanval is doorgaans niet een individuele handeling, maar een heel proces van handelingen. Dit wordt bijvoorbeeld verbeeld in de Cyber Kill Chain (Figuur 1). Volgens de Cyber Kill Chain wordt op basis van een beveiligingslek in IT-systemen malafide software (malware) gemaakt of gekocht en afgeleverd bij de slachtoffers. Eenmaal afgeleverd kan de malware automatisch of door handelingen van de gebruiker worden geactiveerd of geïnstalleerd. Vervolgens kan de aanvaller controle overnemen van het systeem en dat uitbuiten (Hutchins, Cloppert, Amin, 2011). Aanvallen variëren in de stappen die doorlopen worden en de volgorde waarin dat gebeurd. In de cyber kill chain onderscheiden we twee dimensies: technical engineering (gericht op systeem) en social engineering (gericht op mens). Ook al suggereert technical engineering een proces waar de meeste gebruikers geen rol in hebben, de gebruikers spelen wel een kritische rol bij het al of niet slagen van een aanval. Veel inspanningen om systemen te beschermen tegen indringers of de schade die ze kunnen toebrengen zijn nutteloos als de gebruikers van die systemen software niet updaten, beveiligingsupdates negeren of andere risicovolle handelingen uitvoeren. De rol van ITgebruikers is dus aanwezig langs de hele lijn van de kill chain. Figuur 1: Cyber kill chain van Lockheed Martin.

Daarnaast is er een specifieke invalshoek die gericht is op de mens, en een gebruiker van een IT-systeem gebruikt om in dat IT-systeem te komen. 3 Die invalshoek is social engineering en kent vele definities. De meest populaire daarvan (Mouton, Leenen, Malan, Venter, 2014) definieert social engineering als het gebruik van invloed en overreding om mensen te misleiden en gebruik te maken 3

Dit werkt soms verwarrend. Bijvoorbeeld, in het Cybersecuritybeeld Nederland (NCSC, 2015) worden de aanvalsvectoren phishing en spearphishing beschreven als social engineering terwijl daar tegelijkertijd dezelfde term gebruikt wordt om te refereren aan de beïnvloedingsstrategie van aanvallers.


13 / 39

van hun vertrouwen teneinde informatie te verkrijgen (Mitnick, 2011). Ook termen als manipulatie, vermommingen, valstrik en psychologische trucs worden veel geassocieerd met social engineering (Mouton, et al. 2014). Voor het tegengaan van aanvallen kunnen gebruikers van IT-systemen zowel handelingen verrichten die aangrijpen op de technische componenten van een aanval als op de sociale componenten van een aanval. De cyber kill chain laat zien dat gebruikers van systemen in veel gevallen gebruikt kunnen worden als ingang tot die IT-systemen. Er zijn verschillende handelingen die gebruikers verrichten die hen kwetsbaar maken en er zijn verschillende handelingen die gebruikers verrichten om zich tegen indringers te weren. Domenie en collega’s (2013) noemen exposure (zichtbaar zijn op internet door ongericht surfen, downloaden, msn’en, skypen, chatten, fora en profielsites bezoeken en Twitteren) en conduct (gericht informatie zoeken op internet en e-mailen) als risicogedragingen en stellen daar tegenover het gebruik van computervaardigheid (kennis over besturingssysteem, internetverbinding, browser en virusscanner) als mitigerende maatregelen. Onder de noemer risicobewustzijn scharen ze een scala aan handelingen die moeten voorkomen dat gebruikers foute links aanklikken of foute bestanden binnenhalen. Egelman en Peer (2015) beschrijven een lijst van veilig gedrag op basis van een uitgebreide literatuurstudie en interviews met experts. Die lijst van gedragingen delen ze op in 4 categorieën: device securement (afsluiten of locken van computer), password generation (gebruik en regelmatige aanpassing van sterke wachtwoorden), proactive awareness (vergelijkbaar met risicobewustzijn volgens Domenie et al. (2013); alert zijn op foute links, foute sites e.d.), en updating (installeren van updates en beveiligingspatches). Domenie en collega’s (2013) noch Egelman en Peer (2015) noemen zaken die gerelateerd zijn aan social engineering, zoals alert zijn op misleiding of overreding, bijvoorbeeld om gevoelige informatie te delen. Deze items komen wel naar voren in een andere studie (Buchanan, Paine, Joinson, & Reips, 2007), al worden deze items daarin als intentie of attitude gemeten en niet als gedrag. De items van Buchanan, Paine, Joinson, & Reips (2007), Domenie en collega’s (2013), en Egelman en Peer (2015) zijn opgenomen in Bijlage A. Tezamen geven ze een vrij uitgebreid beeld van risicovolle en risicomitigerende handelingen die gebruikers kunnen uitvoeren. Hoewel het vermijden van die risicovolle handelingen en juist het uitvoeren van de risicomitigerende handelingen niet complex lijken, houden veel mensen zich toch niet aan deze richtlijnen (zie bijvoorbeeld Aytes en Connolly, 2004; Bryant, et al., 2008; Gross en Acquisti, 2005). Om te begrijpen waarom mensen zich toch niet altijd veilig gedragen, ook als ze wel de kennis hebben om zich veilig te gedragen, is een beter begrip nodig van wat mensen drijft, wat hen motiveert en hoe informatie wordt verwerkt en hoe mensen risico’s inschatten. In de volgende hoofdstukken gaan we daar op in.


4

14 / 39

(Super)targets Of mensen al of niet vallen voor phishingmails, klikken op onveilige links, persoonlijke informatie delen, et cetera, kan gedeeltelijk voorspeld worden uit individuele kenmerken van de potentiële slachtoffers en uit kenmerken van de situatie. Om cyberslachtofferschap beter te begrijpen, kijken we in dit hoofdstuk daarom naar de kennis over slachtoffers en voorspellende factoren die reeds is opgebouwd en toegepast op cybercriminaliteit. Supertargets is een term die wordt gebruikt voor mensen die bepaalde kenmerken delen die hen aantrekkelijk of kwetsbaar maakt voor criminelen. Door die kenmerken die hen aantrekkelijk of kwetsbaar maken, zijn deze supertargets vaker dan gemiddeld slachtoffer van criminaliteit (Farrell, Clark, Ellingworth, & Pease, 2005; Junger, Wachs, Broekman, & Lastdrager, 2014). Onder criminelen is er dan ook een levendige handel in lijsten van mensen die eerder slachtoffer zijn geweest van delicten en dus een makkelijke prooi zijn (zogenaamde suckers lists; Fraud.org, 4 2014). Naast de gedeelde kenmerken wordt eerder slachtofferschap daarom zelf ook als een voorspeller van toekomstig slachtofferschap gezien (Tseloni & Pease, 2003). Het onderzoek naar supertargets heeft zich tot op heden voornamelijk gericht op demografische factoren.

4.1

Demografische factoren Onderzoek naar demografische voorspellers van cybercriminaliteit levert een gemêleerd beeld op. Studies uit Noord-Amerika en Groot-Brittannië wijzen op de voorspellende waarde van sekse, etniciteit, leeftijd en inkomen, waarbij niet altijd al deze variabelen naar voren komen en soms aangevuld worden met andere kenmerken. Ook zijn er verschillen in de sterkte van de invloed van die kenmerken tussen studies (Allison et al 2005; Copes et al 2010; Reyns, 2011). Echter, de Nederlandse bevolkingssamenstelling en cultuur verschillen zo sterk van de NoordAmerikaanse dat we deze bevindingen niet zonder meer kunnen toepassen op de Nederlandse situatie. Deze terughoudendheid wordt ondersteund door de resultaten van een recent, grootschalig onderzoek van Domenie en collega’s (2013) in Nederland. Zij tonen alleen een relatie tussen de kans op slachtofferschap van diverse online delicten en leeftijd, waarbij de kans op slachtoffer afneemt met de leeftijd.

4.2

Routine activiteiten De manier waarop demografische kenmerken samenhangen met gedrag en de kans op slachtofferschap is uitgebreider gemodelleerd in de routine activiteiten theorie (Cohen & Felson, 1979). Die theorie stelt dat voor een delict een aantrekkelijk slachtoffer, nabijheid van een gemotiveerde dader en gebrek aan toezicht nodig is. De routine activiteiten theorie is ook toegepast op de online omgeving waarin deze elementen zijn vertaald naar online activiteiten die 4

Suckers lists zijn gebaseerd op het idee dat sommige mensen een gemakkelijker doelwit vormen dan anderen, maar louter het feit dat door deze lijsten eerdere slachtoffers vaker benaderd worden door criminelen, neemt hun kans op slachtofferschap toe, nog ongeacht het werkelijk bestaan van gedeelde kenmerken van slachtoffers.


15 / 39

internetgebruikers blootstellen aan daders in een omgeving waar geen controle is (Reyns, 2011). Dit leidde tot het inzicht dat wanneer rekening gehouden wordt met het online gedrag van mensen zoals bankieren, shoppen, e-mailen en downloaden, onder andere de effecten van etniciteit en geslacht op slachtofferschap verdwijnen (Reyns, 2011). Met andere woorden, die demografische variabelen leiden niet direct tot een grotere kans op slachtofferschap, maar beïnvloeden relevante gedragingen zoals het online gedrag. Dat online gedrag is vervolgens wel een directe voorspeller voor slachtofferschap. Domenie en collega’s (2013) operationaliseren de drie kernconcepten van de routine activiteiten theorie (online activiteiten, blootstelling aan daders, geen controle) enigszins ruim. Ze voegen online activiteiten en blootstelling aan daders bij elkaar en operationaliseren die als conduct (online informatie zoeken en emailen) en exposure (ongericht surfen, downloaden, msn’en, skypen, chatten, fora en profielsites bezoeken en Twitter gebruiken) . Gebrek aan toezicht operationaliseren ze als beschermende maatregelen zoals een virusscanner. Daarnaast brengen ze in hun analyses de invloed van computervaardigheid en risicobewustzijn op slachtofferschap in kaart. Domenie en collega’s concluderen op basis van hun onderzoek dat leeftijd en internetactiviteiten (conduct of exposure, afhankelijk van het type delict) de belangrijkste voorspellers van slachtofferschap zijn. Mensen die veel informatie zoeken op het internet worden vaker slachtoffer van phishing. Een mogelijke verklaring hiervoor is dat mensen die veel informatie zoeken ook veel websites bezoeken, die weer geïnfecteerd kunnen zijn met malware. Risicobewustzijn en beschermende maatregelen zoals virusscanners werken risicoverlagend, maar alleen voor hacken (gedefinieerd als toegang verschaffen tot een systeem) en niet voor bijvoorbeeld veilingfraude of identiteitsfraude. De routine activiteiten theorie leidt tot gemixte bevindingen (Williams, 2015). Dat komt deels doordat routine activiteiten verschillend gedefinieerd of ten minste geoperationaliseerd worden. Bovendien zijn veel van die routine activiteiten (zoals online activiteiten) in Nederland en wereldwijd tegenwoordig gemeengoed en hebben daardoor weinig onderscheidend vermogen meer om slachtofferschap te voorspellen. Hoewel het gebruik van routine activiteiten theorie heeft gezorgd voor een nauwkeuriger analyse van voorspellende factoren, specifiek door gedrag van het slachtoffer op te nemen in de analyse in plaats van uitsluitend demografische kenmerken, mist de theorie de mogelijkheid om de interactie van verschillende gedragingen van potentiële slachtoffers te beschrijven. Bovendien lijkt er een ander raamwerk nodig om ook de relevante voorspellers van gedrag op te nemen om te kunnen begrijpen waarom precies mensen slachtoffers worden. Dit raamwerk presenteren en bespreken we in het volgende hoofdstuk.


5

16 / 39

Psychologische factoren van online slachtofferschap Het onderzoek uit het voorgaande hoofdstuk is niet in staat geweest om gedegen verklaringen te leveren voor de vraag wanneer of waarom mensen risicogedrag vertonen en wanneer of waarom ze beschermend gedrag laten zien. In het huidige hoofdstuk gaan we in op psychologische factoren die slachtofferschap kunnen voorspellen en verklaren. We doen dit aan de hand van een model dat menselijke, cognitieve informatieverwerking beschrijft: van de totstandkoming van gedrag, via het opnemen en interpreteren van informatie, maken van overwegingen, gebruik van heuristieken en intenties. In dat model is ook ruimte voor de rol van persoonlijkheidseigenschappen en situationele omstandigheden.

5.1

Hoe komt gedrag tot stand Er zijn verschillende fasen in de menselijke informatieverwerking te onderscheiden. Wanneer gefocust wordt op gedrag in een toegepaste setting, dan is de OODA cyclus van Boyd (1995) een veel gebruikt model. De zogenaamde OODA cyclus (Observe, Orient, Decide, Act, zie Figuur 6.1; Boyd, 1995; Essens en Van Delft, 2000) is afkomstig uit de militaire wetenschappen, en kan worden gebruikt om het proces te beschrijven dat plaatsvindt tijdens het omgaan met complexe situaties en daaropvolgend gedrag. In Figuur 2 staat een cyclisch gedragsmodel weergegeven, gebaseerd op de OODA cyclus. Het is in lijn met diverse andere 5 gedragsmodelleringen. In de OODA cyclus worden vier fasen onderscheiden:  Observeer, dit is het proces waarbij signalen over de situatie worden verkregen.  Verwerk, het proces waarbij deze signalen worden geïnterpreteerd. Dit kan worden beïnvloed door omstandigheden zoals cultuur en ervaringen van mensen.  Beslis, is het proces van het maken van de beslissing op basis van de eerste twee stappen, maar ook op basis van de uitgangspunten en mogelijkheden die een individu heeft (bijvoorbeeld competenties en mogelijkheden).  Gedrag, is het proces de handeling, de uitvoering van de beslissing. Het eigen gedrag, of de gevolgen daarvan bij anderen of in de veranderde situatie, vormen het begin van een nieuwe cyclus.

5

Dit model sluit ook aan op (sociaal) psychologische literatuur op gebied van dual processing, zoals het Elaboration Likelihood Model ((ELM), dual-process theorie die beschrijft hoe attitudes ontstaan en veranderen; Petty & Cacioppo, 1986b), Heuristic-Systematic Model of Information Processing (HSM, communicatiemodel dat uitlegt hoe mensen overtuigende boodschappen ontvangen en verwerken; Chaiken, 1980), en de twee systemen van denken van Kahneman (Systeem 1 is snel, instinctief en emotioneel en Systeem 2 is langzamer, bedachtzamer en logischer; Kahneman, 2011).

17 / 39

automatisch


Figuur 2: Een cyclisch model van het besluitvormings- en gedragsproces, gebaseerd op de OODA cyclus.

Niet alle onderdelen van de OODA-cyclus worden altijd bewust en gecontroleerd doorlopen. Mensen hanteren regelmatig (bewust, dan wel onbewust) bepaalde ‘shortcuts’ waarmee ze onderdelen uit de OODA cyclus overslaan. Deze ‘shortcuts’ zijn automatismen of heuristieken (in Figuur 2 weergegeven met blauwe pijlen). In zijn algemeenheid is een nadeel van gecontroleerde processen om tot gedrag te komen dat het in verhouding lang duurt en veel mentale investering vergt als alle fases bewust worden doorlopen. In de praktijk zullen alleen die processen waar men voldoende gemotiveerd voor is, een dergelijke gecontroleerde verwerking hebben. De overige cognitieve processen zullen mensen willen uitvoeren met zo min mogelijk investering; met behulp van al dan niet juiste heuristieken. Als gevolg daarvan kan gedrag voortkomen uit een gecontroleerd proces, een geautomatiseerd proces, of een combinatie van beiden. We beschrijven hieronder gecontroleerde en geautomatiseerde processen die relevant kunnen zijn voor het gedrag van potentiële slachtoffers. 5.2

Gecontroleerde processen Wanneer de OODA cyclus volledig wordt doorlopen (van observeren, naar verwerken, naar beslissen naar gedrag), is er sprake van een gecontroleerd proces, wat betekent dat men het gedrag bewust (met aandacht) uitvoert. De theorie van gepland gedrag beschrijft uitgebreider hoe gecontroleerd gedrag tot stand komt via gedragsintenties (Ajzen, 2011). Volgens deze theorie komt gecontroleerd gedrag voort uit de intentie om dit gedrag te gaan uitvoeren, die op zijn beurt wordt voorspeld door drie onderdelen: de attitude ten opzichte van het specifieke gedrag (alle oordelen die iemand kan hebben over het gedrag), de subjectieve norm (wat men denkt dat anderen zullen vinden van dit gedrag) en de waargenomen controle over dit gedrag (in hoeverre men denkt dat men in staat is dit gedrag ook uit te voeren). Deze inschattingen vinden in de OODA-cyclus plaats in de verwerkingsfase. Bij de eerste stap in het proces (de observatie-fase) is het van belang dat de relevante informatie wordt waargenomen en op waarde geschat (bijvoorbeeld dat er sprake was van mogelijk risicovol gedrag).


18 / 39

Is dat het geval maar heeft men desondanks besloten het risicovolle gedrag toch uit te voeren, dan kan dat te maken hebben met tegengestelde doelen of motieven. De afweging van de risico’s kan dan weloverwogen zijn verlopen. Desalniettemin kunnen de kosten en baten gekleurd zijn door biases en daardoo r de besluitvorming beïnvloeden (bijvoorbeeld wanneer men de afweging moet maken tussen een onmiddellijke, concrete beloning en een abstracte en ongewisse consequentie in de toekomst). Bij de tweede stap in het proces van de OODA-cyclus is het van belang dat men voldoende kennis en kunde heeft om goede beslissingen te maken. Twee categorieën van kennis en informatie zijn relevant voor cybersecurity: kennis van de veiligheidsrisico’s en consequenties, en kennis over hoe men zich kan wapenen tegen aanvallers (Howe et al., 2012). Onder kennis van veiligheidsrisico’s vallen bewustzijn van wat veilig handelen behelst, bewustzijn van de mogelijk negatieve consequenties van het onveilig handelen en de kosten van negatieve consequenties. Onder kennis over verdedigend veiligheidsgedrag vallen bewustzijn van de beschikbaarheid van middelen om veilig gedrag te kunnen vertonen en de inschatting van waarschijnlijkheid van negatieve consequenties (Aytes en Connolly, 2004). Op basis van te weinig of verkeerde kennis en begrip kan men een verkeerde inschatting maken van de gevolgen van gedrag of het belang van informatie verkeerd inschatten. Mensen met veel kennis van IT-systemen blijken dan ook de consequenties van risicovol gedrag beter te kunnen inschatten dan mensen met weinig kennis op dit gebied (Byrne et al., 2012). Echter, de kennis over cybercriminaliteit laat sterk te wensen over bij veel mensen (Bryant, Furnell, en Phippen, 2008). Dat verklaart mogelijk waarom mensen zich vaak niet consequent gedragen. Een studie laat zien dat het (on)veilige gedrag van studenten een onderlinge lage correlatie heeft (Aytes & Connolly, 2004). Dit suggereert dat mensen tamelijk willekeurig sommige dingen op een veilige manier doen en andere op een onveilige. 5.2.1

Voorspellen van intentie tot veilig gedrag Hoewel de theorie van gepland gedrag (en de compleet doorlopen OODA-cyclus) met de nadruk op gecontroleerde processen vaak gebruikt wordt vanwege de eenvoud en vaak relatief hoge voorspellende waarde van gedrag, leidt de gecontroleerde route vaak niet tot gewenst, veilig gedrag. In een onderzoek naar de relatie tussen kennis over risico’s en veilig cybergedrag bleken ook mensen die redelijk uitgebreide kennis bezitten (zoals k ennis over begrippen als identiteitsdiefstal, “spyware”, “worm”, “trojan horse”, en “phishing”), dit niet een-opeen om te zetten in gewenst gedrag zoals het installeren van software om bedreigingen tegen te gaan (Bryant, et al., 2008). In ander onderzoek werd mensen verteld dat ze risico’s liepen door hun gedrag. Dat leidde er wel toe dat deze mensen aangaven de intentie te hebben om veiliger gedrag te vertonen, maar hun gedrag daar niet werkelijk op aanpasten (Aytes en Connolly, 2004). Ook zorgen die mensen uitten over privacy in een andere studie had geen invloed op de persoonlijke informatie die ze prijsgaven op sociale netwerksites (Gross en Acquisti, 2005). Andere studies rapporteren eveneens verschillen tussen zorgen, intenties, en gedrag, zoals een discrepantie tussen zelfrapportage van de installatie van veiligheidssoftware en de daadwerkelijke installatie (zelfrapportage van installatie was in deze studie 58 procent, tegenover 37 procent daadwerkelijke installatie;


19 / 39

National Cyber Security Alliance, Norton by Symantec, & Zogby International, 2010). Blijkbaar zijn attitudes, kennis en begrip alleen niet voldoende om veiliger online gedrag te bewerkstelligen. Naast de discrepantie tussen intenties en gedrag valt het ook niet altijd mee om intenties zelf te voorspellen. Bulgurcu en collega’s constateerden dat ruim 35% van de intentie om veilig gedrag uit te voeren verklaard werd door de variabelen uit de theorie van gepland gedrag (Bulgurcu, Cavusoglu, & Benbasat, 2010). Hoewel dat een flinke portie is, geeft het ook duidelijk aan dat een veel groter deel (65%) van de variantie in de gerapporteerde intentie om zich veilig te gedragen verklaard wordt door nog onbekende of niet in de theorie onderzochte variabelen. Attitudes, sociale normen en waargenomen controle (de ingrediënten van de theorie van gepland gedrag) verklaren dus ten dele intenties tot gedrag die een persoon kan hebben, en die intenties op hun beurt verklaren maar ten dele het gedrag dat werkelijk wordt uitgevoerd. Geautomatiseerde processen, heuristieken en biases kunnen voor een deel deze discrepanties verklaren. Daarover gaat de volgende paragraaf. 5.3

Geautomatiseerde processen, heuristieken en biases Mensen kunnen niet elk gedrag laten voorafgaan door een bewuste beslissing: een deel van ons gedrag wordt uitgevoerd zonder dat wij daar expliciet over nadenken. Soms gaat dat helemaal automatisch, zoals wanneer mensen zachter gaan praten als ze denken aan een bibliotheek (Aarts & Dijksterhuis, 2003). Dit soort gedrag wordt ook wel gewoontegedrag genoemd. In de cyber context is een voorbeeld het gedachteloos accepteren van systeemprompts (of van malafide pop-ups vermomd als systeemprompt), of invoeren van je eigen privégegevens op een site die zich profileert als sociale netwerksite. Geautomatiseerd gedrag kan ook op een goede manier ingezet worden: Er kunnen bijvoorbeeld gewoontes worden gecreëerd van veilig gedrag (laRose et al., 2005).

5.3.1

Het nut van heuristieken Een heuristiek is een beslisregel of een mentale snelkoppeling die mensen gebruiken om informatie te evalueren, of om snel en efficiënt beslissingen te nemen. Heuristieken zijn aangeleerd door ervaring. Net zoals gedrag kunnen ze automatisch geactiveerd worden door signalen uit de fysieke of online omgeving. Die signalen activeren geassocieerde kennis, waaronder heuristieken die de perceptie van de beschikbare of gewenste gedragsmogelijkheden kleuren of heel direct het gedrag aansturen. Zelfs wanneer mensen gecontroleerd gedrag uitvoeren maken ze afwegingen vanuit hun eigen subjectieve perspectief of gebruiken daarin heuristieken. In het algemeen hebben mensen de neiging om korte termijn voordelen sterker te wegen dan lange termijn risico’s (Myers & Hansen, 2011). Het gevolg hiervan is bijvoorbeeld zichtbaar bij wachtwoorden die mensen kiezen. Uit verschillende onderzoeken blijkt dat mensen de voordelen van sterke wachtwoorden begrijpen, maar de huidige procedures voor hen teveel investering vergen. Dat leidt tot onveilig wachtwoordgedrag, zoals het hergebruik van wachtwoorden, opslaan van wachtwoorden op onveilige plekken, of het delen van wachtwo orden (Yan, Blackwell, Anderson, en Grant, 2004; Shay et al., 2010; Florencio en Herley, 2007). Volgens Howe et al. (2012), zijn de voorwaarden van veiligheidsexperts zo groot


20 / 39

(denk aan het bijhouden van een groot aantal wachtwoorden, en de vereisten per wachtwoorden) dat deze het onthouden van wachtwoorden hinderen, en daarmee aanzet tot onveilige omgang met wachtwoorden. Experts maken veel gebruik van heuristieken doordat ze in het domein waarin ze expertise hebben, hebben geleerd welke handelingen passen bij welke taaksituaties. Vaak wordt gedacht dat expertise, en het gebruik van heuristieken op basis van die expertise een voordeel is. Volgens Kahneman en Klein (2009) is dat echter alleen zo onder specifieke condities. Wanneer er sprake is van een situatie met stabiele relaties tussen oorzaak en gevolg, en mensen leren die relatie impliciet of expliciet, dan kan die kennis leiden tot heuristieken. De toepassing van die heuristieken kan dan goed werken. Maar wanneer oorzaak en gevolg niet altijd optreden of niet observeerbaar zijn, kunnen verkeerde heuristieken geleerd en toegepast worden. In een cyberomgeving betekent dit dat mensen met veel kennis van de digitale wereld en van de risico’s die zij lopen, op basis van heuristieken goede beslissingen kunnen nemen wanneer de situaties stabiel zijn en dus bepaald gedrag vaak of altijd leidt tot bepaalde gebeurtenissen. Lang niet altijd is op voorhand duidelijk of er sprake is van een omgeving met stabiele relaties tussen gedrag en gebeurtenissen en dus of er betrouwbare heuristieken beschikbaar zijn. En in helemaal nieuwe situaties bestaan mogelijk nog geen geschikte heuristieken. In de digitale wereld veranderen aspecten van de situatie constant, wat de toepassing van de juiste heuristieken kan bemoeilijken. Door het associatieve karakter van heuristieken kunnen dan de verkeerde heuristieken geactiveerd worden waardoor mensen misleid worden en verkeerd (onveilig) gedrag uitvoeren. Een voorbeeld in het cyberdomein is dat men wel opmerkt dat een site van de bank er iets anders uitziet maar men toch persoonlijke gegevens invoert omdat er nog steeds een veiligheidskeurmerk op staat. Met de heuristiek “als ik een veiligheidskeurmerk zie hoe ik niet verder na te denken”, zal men dan toch fouten maken. Een bias is in feite een verkeerd toegepaste heuristiek. Een voorbeeld is de zogenaamde ‘confirmatie bias’. Dit is de neiging om informatie te zoeken die overeenkomt met eerdere ideeën, of om signalen zo te interpreteren dat zij ideeën lijken te bevestigen. Iemand die bijvoorbeeld gelooft dat linkshandigen creatiever zijn dan rechtshandigen zal bevestiging hiervan eerder opmerken dan ontkenning. Hij kan zelfs actief op zoek gaan naar deze bevestiging. Het voorkomen van alle biases kost wellicht teveel cognitieve investering. Het corrigeren voor een (zeer) ongewenste beoordelingsfout als gevolg van bias is echter wel wenselijk. Hiervoor is onder meer kennis en bewustzijn over het bestaan en de invloed van biases op oordelen en gedrag nodig. We groeperen biases in drie categorieën. In Figuur 3 staan voor elk van deze drie categorieën een aantal voorbeelden: 1

2 3

Aandacht (relevant voor “observeren”): deze biases relateren aan a. de beperkte capaciteit van mensen om dezelfde aandacht aan alle signalen te geven en b. de irrationele manier waarop mensen informatie verzamelen (bijvoorbeeld confirmatie bias). Categorisatie (relevant voor “oriënteren”): deze biases relateren aan a. hoe mensen anderen zien en b. de manier waarop zij informatie organiseren Interactie (relevant voor “oriënteren” en “beslissen”):


21 / 39

deze biases zijn gerelateerd aan obstakels in a. de communicatie met mensen en b. de communicatie tussen mens en machine (denk bijvoorbeeld aan een computersysteem).

Figuur 3: Selectie van biases die relevant zijn in de context van militaire operaties, gecategoriseerd in categorieën. Bron Figuur: FP7 EU programma TACTICS.

Sommige heuristieken worden door de omgeving of situatie geactiveerd. Maar andere heuristieken doen zich vrijwel altijd voor. Een voorbeeld is de beschikbaarheidsheuristiek. Dat is het gegeven dat iets wat iemand makkelijker voor de geest kan halen, wordt ingeschat als een waarschijnlijker gebeurtenis dan iets wat minder makkelijk voor de geest kan worden gehaald. Omdat dingen waar mensen bekend mee zijn makkelijker voor de geest kunnen worden gehaald, zullen mensen geneigd zijn gebeurtenissen waarmee ze onbekend zijn als minder waarschijnlijk inschatten (Tversky & Kahneman, 1974). Dit betekent dat mensen die weinig ervaring hebben met (bepaalde vormen van) cybercrime, zich ook moeilijker kunnen voorstellen dat ze hier slachtoffer van zouden kunnen worden. Dit beïnvloedt hun risicoperceptie. 5.4

Motivatie In het menselijke informatieverwerkingsproces zijn geautomatiseerde processen de ‘default’ in menselijke informatieverwerking (Fazio, 1990). Of mensen over gaan tot gecontroleerde verwerking is afhankelijk van de gelegenheid die mensen denken te hebben en hun motivatie. Bevorderen van de (waargenomen) gelegenheid die mensen hebben om gecontroleerd gedrag uit te voeren, bevorderen van de motivatie die mensen hebben om gecontroleerd gedrag uit te voeren, of een combinatie van beide zijn belangrijke ingrediënten voor het daadwerkelijk gecontroleerder verwerken van informatie. Vaak zijn mensen niet erg gemotiveerd lang stil te staan bij hun online veiligheid. Een studie naar het downloaden van software van het internet liet zien dat mensen in de eerste plaats afgaan op het nut dat de software voor hen heeft en dat ze zich


22 / 39

daarbij niet erg bezig houden met veiligheid (Good et al., 2005). Bij de keuze voor twee gelijkende softwarepakketten waren mensen geneigd om degene te kiezen met de bekendste merknaam en waarmee ze eerdere ervaringen hadden. Dergelijke kenmerken zeggen niets over de kwaliteit of de veiligheid maar worden vaak wel zo ervaren. Die kenmerken (het merk en bekendheid met het product) worden daarom perifere argumenten genoemd en staan in contrast met een grondige analyse van centrale argumenten (Petty & Cacioppo,1986a; Petty & Cacioppo,1986b). Er kan dus gesteld worden dat mensen bereid zijn om online (meer) risico te nemen wanneer zij daarvoor iets krijgen dat ze de moeite waard vinden, en dat zij op dit moment te weinig bereid lijken om veel energie en tijd te investeren om veilig gedrag te vertonen. Motivaties kunnen bijvoorbeeld worden verhoogd door beloningen in het vooruitzicht te stellen of mogelijke negatieve gevolgen weg te nemen. Beloningen hoeven niet alleen te maken te hebben met financiële- of tijdswinst. Een onderzoek liet zien dat mensen gemotiveerd zijn om te doen wat hun vrienden doen (Burke et al., 2009). Ander onderzoek liet zien dat veiliger gedragsintenties gekoppeld zijn aan waargenomen statusverhoging door de uitkomsten van dit gedrag (laRose et al., 2005). Dus, wanneer mensen denken dat zij hun status ermee verhogen, krijgen ze ook meer de intentie om veiliger online gedrag te gaan vertonen. In het geval van motivatieverhoging via het wegnemen van mogelijke negatieve consequenties speelt dreiging vaak mede een rol. Een relevante theorie is de Protection Motivation Theorie (PMT; Rogers, 1975). De motivatie om aan (zelf)bescherming te doen hangt af van de waargenomen ernst van de dreiging, de waargenomen kans dat de dreiging ook daadwerkelijk gebeurt, en de waargenomen doeltreffendheid van respons die nodig is om de dreiging weg te nemen (Herath & Rao, 2009). Uit een onderzoek bleek dat de intentie om veilig online gedrag te vertonen, positief gerelateerd was aan wat mensen dachten te kunnen bereiken met onveilige gedragingen (laRose et al., 2005). Mensen die weten dat ze gedrag vertonen dat onveilig kan zijn, wapenen zich dus tegen die mogelijke dreiging met veilige gedragsintenties. Het motiveren van mensen kan ook indirect plaatsvinden, door de naleving van regels te belonen of te straffen. De beloning van naleving, de kosten die ermee gepaard gaan en de kosten van niet naleven van de regels zijn in dat geval relevant (Bulgurcu et al., 2010). Hoewel binnen de beloning van naleving van regels in principe ook de beloning van het veilig handelen op de computer inhoudt, is het de vraag of het belonen op naleving van regels de beloning van het veilig handelen niet in de weg kan gaan zitten. 5.5

Persoonlijkheid Persoonlijkheidsfactoren zijn eigenschappen van personen die stabiel zijn over tijd en situaties. Deze stabiele eigenschappen beïnvloeden de manier waarop mensen reageren op situaties en informatie verwerken. In de OODA-cyclus heeft persoonlijkheid daarom op vrijwel alle procesdelen invloed: het beïnvloedt aan welke zaken mensen in hun omgeving aandacht besteden, de manier waarop ze informatie interpreteren en de gedragsopties die ze voor zichzelf zien die kunnen


23 / 39

leiden tot intenties. In deze paragraaf staan deze persoonlijkheidsfactoren centraal en we bespreken hoe ze verband houden met cyberslachtofferschap. 5.5.1

Big five Een van de meest gebruikte indelingen van persoonlijkheid is de Big Five (Goldberg, 1992). De theorie van de Big Five geeft vijf dimensies waarmee de persoonlijkheid van mensen kan worden beschreven. Dit zijn extraversie, mildheid, ordelijkheid, emotionele stabiliteit en autonomie. Op elk van die dimensies kunnen mensen hoger of lager scoren. De scores op sommige van de dimensies hangen samen met gedragingen die iemand kwetsbaar of juist weerbaar maakt tegen criminele delicten. Verbanden tussen online slachtofferschap en de big five dimensies zijn aangetoond voor ordelijkheid, mildheid en emotionele stabiliteit (McBride, Carter en Warkentil, 2012). Mensen die hoog scoren op deze drie dimensies gaven in hun studie aan dat ze zich op eenzelfde manier zouden gedragen als personen in fictieve scenario’s die online veilig gedrag vertoonden. In een studie van Shropshire en collega’s (2015) wordt dit bevestigd voor de dimensies ordelijkheid en mildheid. Deze waren gerelateerd aan veilige gedragsintenties en ook aan werkelijk veilig gedrag (de frequentie waarmee deelnemers veiligheidschecks voor hun computers uitvoerden).

5.5.2

Zelf-controle Naast de populaire Big Five persoonlijkheidsschaal, bestaan er diverse andere vragenlijsten om stabiele persoonlijkheidsfactoren te meten. Onderzoek naar gedrag in de fysieke wereld laat zien dat slachtofferschap wordt voorspeld door zelf-controle (Gottfredson & Hirschi, 1990; Pratt, Turanovic, Fox, & Wright, 2014). Zelf-controle beïnvloedt de mate waarin mensen zich weerhouden van riskant gedrag, en daarmee indirect de kans op slachtofferschap (Reisig & Holtfreter, 2013; Holtfreter, Reisig, Pratt, & Holtfreter, 2015). In een eerder onderzoek van Van Wilsem (2010) leidde een lage mate van zelf-controle tot een grotere kans op online slachtofferschap. Echter, in het onderzoek van Domenie en collega’s (2013) komt dat verband niet naar voren. Als verklaring daarvoor geven ze een plafond-effect: Iedereen is tegenwoordig vindbaar op internet, en bijna is iedereen actief op sociale media. Ook over mensen met hoge zelf-controle, die terughoudend zijn met wat ze over zichzelf delen, zijn daardoor voor criminelen voldoende persoonlijke details te vinden.

5.5.3

Overige persoonlijkheidsvariabelen Egelman en Peer (2015) ontwikkelden een meetmethode (zie bijlage A voor deze en andere vragenlijsten) om specifiek veilig IT-gedrag bij eindgebruikers te kunnen meten. Hun vragenlijst bestond uit een serie gedragingen die veilig of onveilig genoemd kunnen worden, afkomstig uit literatuur en interviews met experts. Ze onderscheidden vier componenten van veilig gedrag: wachtwoord (bijvoorbeeld sterk en periodieke wijziging), apparaatbeveiliging (bv. toegangscode voor de telefoon, vergrendelen van computer wanneer men erbij weg gaat), proactief bewustzijn (bekijken waar een link naartoe leidt alvorens erop te klikken) en updaten van software. Egelman en Peer correleerden de afzonderlijke maten vervolgens met antwoorden van deelnemers op vragen die risicobereidheid, besluitvormingsstijl, kennisbehoefte (need for cognition), impulsiviteit en nadenken over de consequenties van gedrag maten.


24 / 39

Ze concluderen dat meer nieuwsgierige deelnemers (die hoog scoorden op need for cognition) meer veilig internetgedrag vertoonden. Bovendien was nadenken over de consequenties van toekomstig gedrag (consideration for future consequences) sterk gecorreleerd met alle vier de schalen van veilig online gedrag. Dat suggereert dat goede veiligheidsgedragingen te maken hebben met lange termijn denken. 5.6

Basale behoeften Basale behoeften zijn kernmotieven die voor iedereen leidend zijn in het leven. Handelingen die mensen verrichten, doen ze direct of indirect om deze motieven invulling te geven. Ze hebben met persoonlijkheidseigenschappen gemeen dat ze de manier waarop mensen hun omgeving waarnemen en interpreteren en doelgericht gedrag beïnvloeden. Ze zijn echter niet zo stabiel over de tijd als persoonlijkheidseigenschappen. Volgens Fiske (2009) zijn de kernmotieven belonging (bouwen en onderhouden van verwantschappen met anderen waaronder ook liefde, familie en vriendschap), begrip (understanding; de wereld om je heen begrijpen en begrijpen hoe dingen in het leven het werken), controle (controlling; positieve invloed hebben op je omgeving), zelfontplooiing (ontwikkelen van manieren om je goed over jezelf te voelen), en vertrouwen (uitgaan van het goede in anderen om samenwerking mogelijk te maken). Hoewel deze behoeften in relatie tot slachtofferschap van cybercriminaliteit nog niet zijn onderzocht, verwachten we wel verbanden met slachtofferschap. Dit geldt voornamelijk voor het belonging-motief. Dit motief zorgt ervoor dat mensen soms meer dan goed voor ze is delen op sociale media. Het lijkt daarnaast een drijvende kracht achter veel vormen van social engineering, zoals in de casus van de hackers van de mail account van CIA-directeur Brennan die gevoelige informatie kregen van een Verizon-medewerker. In dergelijke gevallen winnen sociale doelen het van het volgen van procedures of het volgen van gezond wantrouwen. Een andere basale behoefte die een rol kan spelen in veilig en onveilig gedrag is controle. Controle gaat vooral over de mate waarin mensen zelf richting aan hun eigen leven kunnen geven. Omdat regels (bijvoorbeeld over de manier waarop mensen de computers van de werkgever mogen gebruiken) per definitie iemands controle verminderen, kan de behoefte ontstaan die regels te ontduiken om controle te herwinnen. Vooral wanneer het nut van regels voor mensen onduidelijk is, kan de behoefte om het eigen gedrag te kunnen controleren het winnen van het willen volgen van regels. Controle en belonging zijn in sommige gevallen tegengestelde krachten: belonging dicteert om mee te doen met anderen, terwijl controle dicteert om een eigen koers te varen. De motieven variëren ook in de kracht die ze uitoefenen: soms is het ene motief meer leidend en soms het andere. En die variatie is er ook tussen mensen: voor de een is het ene motief sterker aanwezig dan het ander. Dit zou een handvat kunnen zijn om ongewenste effecten van de motieven tegen te gaan. Wanneer mensen geleerd wordt om in gesprekken met vreemden het controlling-motief “aan te zetten” (bijvoorbeeld door ze te laten nadenken over wat zij hebben aan de interactie met anderen) dan kan hiermee mogelijk het belonging-motief wat onderdrukt worden waardoor mensen geneigd zouden zijn in te stemmen met verzoeken van de ander.


5.7

25 / 39

Beinvloeden van gedrag van (super)targets De bovenstaande uiteenzetting van gedrag in gecontroleerde en geautomatiseerde processen, als ook (de werking van) motivaties, geeft verschillende aanknopingspunten voor de beïnvloeding van gedrag van potentiële slachtoffers. Twee strategische uitgangspunten kunnen hierbij worden gekozen: 1 Het verminderen van risicovol gedrag en 2 Het verhogen van beschermende gedragingen. In principe bieden gecontroleerde processen een betere garantie om meer beschermend- en minder risicovol online gedrag te vertonen. Echter, geautomatiseerd gedrag is niet uit te sluiten, en daarenboven biedt geautomatiseerd gewenst gedrag de voordelen van weinig investering in tijd en moeite. Wanneer veilig gedrag gewoonte-gedrag wordt, dan wordt het relatief automatisch uitgevoerd in de gewenste context. Het is wel de vraag in hoeverre dit soort gedragingen gewoonten kunnen worden; de context is immers aan veranderingen onderhevig. Bij grote wijzigingen in de situatie kan niet meer gesproken worden van gewoonten, maar van het vertonen van nieuw gedrag. Juist in nieuwe en complexe omstandigheden is het belangrijk om extra checks te (kunnen) maken en hiervoor is gecontroleerd gedrag nodig. Het lijkt erop dat bij het omvormen van (te) weinig aandacht voor bepaalde gedragingen naar gecontroleerde gedragingen, motivatie een sleutelbegrip is. Manieren om mensen te motiveren om aandacht te besteden aan veiligheidsgedrag kan variëren van het proberen te versterken van intrinsieke motivaties bij veilige online privéhandelingen tot het opleggen van sancties van organisaties bij onveilig gedrag van werknemers. Gerichte adviezen over welke motivatie verhogende interventies kunnen worden ingezet kunnen worden ingeschat wanneer de doelgroep, het doelgedrag, en de situationele kenmerken van het doelgedrag bekend zijn. Gecontroleerde verwerking voorkomt fouten op grond van verkeerd toegepaste heuristieken of automatisch gedrag. Maar een gecontroleerde verwerking geeft geen garantie voor veilig digitaal gedrag. Bij gecontroleerde verwerking zijn voor veilig online gedrag de volgende (combinaties van) aspecten van belang: 1 Een kosten-baten analyse van de potentiële slachtoffers. Een kosten-baten analyse kan nadelig uitpakken voor veilig online gedrag, zeker in combinatie met punt 2. 2 Mensen kunnen een verkeerde inschatting maken waarbij risico’s als gevolg van te weinig, of onjuiste informatie worden onderschat. 3 Mensen kunnen ander gedrag laten prevaleren boven veilig online gedrag, bijvoorbeeld omdat ze een grote behoefte hebben aan bepaalde goederen (i.e. software). 4 Mensen kunnen ervoor kiezen om niet teveel aandacht te geven aan een beslissing of (risico)inschatting, omdat de tijd en capaciteit ontbreekt. Dat betekent dat ze er bewust voor kiezen om gebruik te maken van heuristieken.


26 / 39

Naast het bevorderen van de motivatie voor bewust veilig online gedrag is het ook van belang om gecontroleerde processen te faciliteren. Kennis over online veiligheid, en een hoge overtuiging dat men het juiste gedrag uit kan voeren (selfefficacy) zijn belangrijke determinanten van veilig online gedrag. Onderzoek laat zien dat de intentie voor veilig online gedrag groter is bij gebruikers met veel kennis van computervaardigheden. Kennis over risico’s is echter niet voldoende. Zelfs wanneer mensen kennis hebben over veilig en onveilig gedrag, vertonen ze vaak onveilig gedrag als ze daarmee aan een onmiddellijke behoefte kunnen voldoen (zoals het delen van persoonlijke informatie in een sociaal netwerk) of doel kunnen bereiken (zoals het downloaden van software). Mensen laten nu eenmaal vaak onmiddellijke, concrete en nabije baten prevaleren boven meer abstracte risico’s, zelfs als daar gecontroleerde processen aan vooraf zijn gegaan. Manieren om mensen meer veilig online gedrag te laten vertonen liggen dus maar voor een beperkt deel in het beter informeren over risico’s en dergelijke, en lijkt vooral te liggen in motivatieverhoging. Informatie is met name van belang wanneer dit ook de motivatie om ander gedrag te laten plaatsvinden verhoogt. Dit kan in combinatie met het verkleinen van de ‘kosten’ die mensen moeten maken om veilig gedrag te vertonen, met andere woorden, de investering om veilig gedrag te vertonen moet zo klein mogelijk zijn. Een optie is het op maat maken (tailoring) van informatie, educatie en motiveren (Howe, 2012, Davinson & Sillence, 2010). Passende informatie werkt motiverend en verkleint de investering die mensen moeten doen. Informatie die te moeilijk is, vergt investering, net als het verwerken van informatie die al bekend is bij mensen. Adaptieve systemen zijn hiervoor goed geschikt (Jansen et al., 2013). Passende informatie kan niet alleen worden afgestemd op wat mensen al weten, maar kan ook worden afgestemd op specifieke risico’s die mensen lopen. Deze risico’s kunnen niet alleen te maken hebben met de specifieke bevolkingsgroep waartoe men behoort en persoonlijkheidskarakteristieken, maar met name met specifiek online gedrag dat individuen vertonen in een bepaalde context, of aangeven te gaan vertonen in de toekomst.


6

27 / 39

Een speciale omgeving: organisaties In hoofdstuk 2 gaven we al aan dat er een verschil is in hoe men zich gedraagt in privéomstandigheden en als werknemer. Het doel van online activiteiten verschilt tussen privé en werk, werkgevers hebben officiële (regels) of officieuze (normen) voorschriften voor correct gedrag en de machtsmiddelen om dat gedrag af te dwingen. Tegelijkertijd zijn mensen in de uitvoering van hun werk niet totaal andere mensen dan privé. Ze kunnen bijvoorbeeld nog steeds risicomijdend of –zoekend zijn, meer of minder geneigd na te denken over de consequenties van hun gedrag, en in meerdere of mindere mate autonomie nastreven. Bovenop persoonlijke neigingen en stijlen (waarover het in de voorgaande hoofdstukken ging) wordt gedrag van mensen tijdens het werk dus ook door andere factoren gestuurd. We lichten hieronder de rol van organisatiecultuur eruit.

6.1

Cyber security cultuur Een bedrijfscultuur is een set aan normen en waarden die niet alleen passief beleden kunnen worden, maar ook heel actief kan worden onderwezen en nageleefd. Winnefeld, Kirchhoff & Upton (2015) bestudeerden verschillende highreliability organisaties (HRO’s), waarin de consequenties van een enkele fout catastrofaal kunnen zijn, zoals luchtverkeerscentrales, ruimtevaart of kerncentrales. Zij inventariseerden de kenmerken van de cultuur van dergelijke organisaties, om deze vervolgens te vertalen en toe te passen naar een veiligere cyberomgeving voor organisaties. Ze vonden zes principes van een functionele cyber security cultuur: 1 Integriteit  Hier wordt bedoeld het diep geïnternaliseerde ideaal dat mensen zonder uitzondering het protocol volgen en fouten onmiddellijk bekennen. 2 Kennis  Als mensen alle aspecten van een systeem grondig begrijpen (inclusief kwetsbaarheden, hoe het is ontworpen en de procedures die belangrijk zijn bij gebruik), zullen zij ook eerder in staat zijn om op te merken als er iets mis is, en zullen zij er effectiever naar kunnen handelen. 3 Nakomen van procedures  Wanneer men werkt met bijvoorbeeld kernenergie, hoort men de procedures tot op de letter nauwkeurig te kennen en te volgen. 4 Krachtige backup  Belangrijke taken worden altijd nauwgezet gemonitord door senior personeel. Elke actie die een hoog risico voor het systeem met zich meebrengt, moet door twee mensen worden uitgevoerd. 5 Een kritische/vragende houding  Dit is moeilijk te cultiveren in een organisatie, vooral wanneer formele rangen en gehoorzaamheid een belangrijke rol spelen. Toch is een kritische mindset van onschatbare waarde. Als mensen getraind zijn om te luisteren naar interne alarmbellen, de oorzaken te zoeken en de juiste acties te ondernemen, stijgt de kans dat ze problemen voorkomen enorm. 6 Formaliteit in communicatie  Om miscommunicatie op cruciale momenten te voorkomen, moeten operators (bijvoorbeeld van nucleaire vaartuigen) communiceren op een voorgeschreven manier (duidelijk aangeven dat er een opdracht wordt gegeven, wat deze opdracht is, vervolgens moet de andere persoon deze opdracht herhalen, et cetera.).


28 / 39

Hoewel elke organisatie anders is, kunnen deze principes helpen om een cultuur te creëren waarin de regels strakker en duidelijker zijn voor werknemers en de ITveiligheid toeneemt. De crux zit in het implementeren van een aantal maatregelen om de zes principes in te bedden in de dagelijkse routines van de werknemers. Winnefeld (2015) concretiseert die implementatie met de onderstaande regels. Binnen het VP Cyber Risk Management & System Resilience zullen we deze conclusies verder uitwerken en trachten te vertalen naar andere omgevingen. 1

2

3

4

5

Neem de leiding  CEO’s moeten cyber security serieus nemen, en daarin zeker ook de menselijke kant van cyber security. Als het management het belang inziet, straalt dit uit naar de rest van de organisatie. Tevens biedt het de mogelijkheid om regels en procedures in te voeren die de cyber security verhogen. Maak iedereen verantwoordelijk  Door cyber security een verantwoordelijkheid van het gehele personeel te maken en meer een onderdeel van dagelijkse werkzaamheden, krijgt het een belangrijke plaats in de organisatie, en daarmee meer aandacht en zorg. Ieder lid van een bedrijf moet de basisregels van netwerk hygiëne kennen en ermee instemmen. Managers moeten verantwoordelijk gesteld worden voor het verzekeren van dat de rapporten van hun werknemers de regels van cyber safety volgen. Maak uniforme standaarden en centraal georganiseerde trainingen en certificering  Veel bedrijven hebben weinig gestandaardiseerde eisen of vereiste certificaten voor het werken op hun IT-platform. Tevens zijn zij niet goed opgeleid om de consequenties van een nieuwe cyberdreiging uit te leggen aan het personeel van het bedrijf. Eenvoudig informeren met behulp van mails blijkt in veel gevallen onvoldoende om gedrag van medewerkers voldoende te beïnvloeden en de dreiging af te wentelen. Daarom zou het bedrijfsleven winst kunnen behalen uit het formaliseren van de training en certificatie voor de mensen die in de IT werken, waaronder ook cursussen in het communiceren naar de medewerkers. Koppel formaliteit met krachtige back-up  Militairen gebruiken een zeer gedetailleerde cyber command- and-control structuur waarin helemaal is vastgelegd wie er bevoegd is om welke beslissing te nemen. Tevens staat daar in dat belangrijke handelingen altijd uitgevoerd dienen te worden door twee personen, die beiden op de taak gericht zijn. Hoewel de aard van niet-militaire bedrijven anders is, zouden dergelijke procedures toch ingevoerd kunnen worden bij belangrijke processen. Het vraagt wellicht om een verandering in mindset van de werknemers, maar het verhoogt de cyberveiligheid van het bedrijf. Check je verdediging  Grote bedrijven doen regelmatig veiligheidsaudits, maar deze richten zich voornamelijk op de kwetsbaarheden van de netwerken en daarmee is er te weinig aandacht voor de gedragingen van medewerkers. Dit zou ook regelmatig gecontroleerd moeten worden, door middel van operationele tests voor zowel netwerkbeheerders als –gebruikers.


6

29 / 39

Neem angst weg voor eerlijkheid en verhoog de consequenties voor oneerlijkheid  Het veiligst is een organisatiecultuur waarin medewerkers geconditioneerd zijn om (eigen) fouten die zij ontdekken, onmiddellijk te rapporteren. Een open cultuur, waarin niet-intentionele fouten gezien worden als een kans om het proces te optimaliseren. Echter, medewerkers die intentioneel standaarden of procedures schenden, zouden geen tweede kans mogen krijgen.


7

30 / 39

Voorstel voor kennisontwikkeling Op basis van de voorgaande hoofdstukken definiëren we hierna vijf onderzoekslijnen die kunnen bijdragen aan veiliger gedrag, betere trainingen, organisatorische interventies om veiliger gedrag van werknemers te bereiken, en interventies om risico’s te mitigeren.

7.1

Gepersonaliseerde cyber security awareness/training programma’s Op basis van kennis van human factors (organisatiegedrag en individuele psychologie) kunnen programma’s geïndividualiseerd worden naar de specifieke kwetsbaarheden van een gebruiker, in plaats van een one-size fits all programma. Onderzoeksonderwerpen: 1 Identificeren welke boodschapper- en berichtkenmerken de slagingskans van een cyberaanval bepalen. 2 Ontwikkelen van een experimenteeromgeving / testbed om dit wetenschappelijk te onderbouwen. 3 Welke organisatie-, proces, persoonsfactoren zijn bepalend voor de kwetsbaarheid. 4 Testen hoe veilige en onveilige gedragingen beïnvloed worden door basale menselijke behoeften zoals autonomie (leidt beperken van keuzemogelijkheden van IT-gebruikers tot meer behoefte om die regels te ontduiken?) of sociale verbondenheid (leidt een duidelijke veilige norm tot meer veilig gedrag?). 5 Koppelen van die persoonsfactoren aan berichtkenmerken; zijn bepaalde mensen/states vatbaarder voor bepaalde typen van aanval? 6 Ontwikkelen cyberrisico-dashboard voor organisaties.

7.2

Veilige cybercultuur Cybersecurity kan aanzienlijk worden verhoogd wanneer methodieken voor cultuurverandering bij bedrijven worden ontwikkeld. Daarvoor moet geïdentificeerd worden welke cultuuraspecten bijdragen aan een veiliger IT-gebruik en hoe naar die cultuur toegewerkt kan worden. Als startpunt kunnen daarvoor de inzichten worden genomen van een HRO (High Reliability Organisation): op basis van welke principes functioneren HRO’s zoals ziekenhuizen en luchtvaart? Een HRO streeft cultuuraspecten na zoals integriteit, kennis van zaken, volgen van procedures en een onderzoekende houding. Een veilige cybercultuur vraagt om gedragsverandering van de werknemers. Het idee is niet om dit met harde regels op te leggen, maar een cultuurverandering te creëren. Deze kan onder andere worden bewerkstelligd door het gebruik van het TNO Interventieraamwerk, waarin de determinanten maar vooral ook de barrières van het gewenste gedrag worden geïdentificeerd. Bovenstaande betreft vooral een reactieve methodiek op cyberdreigingen. Een vergelijkbare methodiek kan ook proactief ingezet worden om bij IT-bedrijven een cultuur te laten ontstaan waarbij veilige producten worden ontwikkeld (fouten en kwetsbaarheden in ICT producten bieden nu grote kansen voor cyberaanvallen).


31 / 39

Onderzoeksonderwerpen: 1 Analyseren van de meerderheid aan cyberincidenten op o.a. a. Soort doelwit, bedrijf, werknemer, privé. b. Via technical of social engineering. c. Belangrijkste kwetsbaarheden. d. Beschouw hier de belangrijkste trendrapportages indien mogelijk. (o.a. Cyber Security Beeld Nederland [CSBN]). 2 Cultuurtransitieprogramma’s, TNO Interventieraamwerk. 3 Het ontwikkelen van een eenvoudig bruikbare tool waarmee zowel bedrijven als eindgebruikers (zonder veel technische kennis) inzicht krijgen en houden over hun cyber security situatie. En waarmee onveiligheden eenvoudig kunnen worden gedeeld in een community. Doel daarbij is het creëren van meer awareness en minder acceptatie van onveilige apps en oplossingen.

Figuur 4: TNO Interventie framework.

7.3

Verstoren van het cybercrime ecosysteem Het in kaart brengen van het sociaal, economisch en technisch ecosysteem van cybercrime en een methodiek voor interventies (ook niet cyber) ontwikkelen om dit ecosysteem te ontwrichten. Hierbij moet ook aandacht zijn voor Darkweb. Om een cybercrimineel te worden en te blijven worden veel keuzes gemaakt en barrières overwonnen (vergelijkbaar aan het barrièremodel mensenhandel). Als dit goed in kaart wordt gebracht, ontstaat de mogelijkheid om gericht interventies en beïnvloeding te ondernemen (in zowel de onder als bovenwereld) om cyber criminaliteit af te remmen. (Bijvoorbeeld voorlichting op technische scholen, bepaalde fora, aansluiting providers, et cetera.) Onderzoeksonderwerpen: 1 Ontwikkeling van een interventieraamwerk dat zich richt op het voorkomen en terugdringen van cybercrime. Dit raamwerk richt zich op vragen als: a. Wat zijn determinanten van cyber criminaliteit? b. Wat zijn interventiemogelijkheden op Darkweb? c. Wat zijn de precursor gedragingen van cybercrime? d. Wat zijn de barrières om met cybercrime te beginnen? e. Wat zijn de barrières om juist met cybercrime te stoppen?


7.4

32 / 39

Cyber incident crisismanagement In hoofdstuk 2 werd al gemeld dat bedrijven veel kosten maken voor het reageren op incidenten. Zowel bedrijven als overheidsorganisaties zijn daarom bezig met het implementeren van computer security incident response teams (CSIRTs). Het doel van deze teams is het leveren van beveiligingsdiensten voor cyberincidenten, zowel proactief als reactief. Effectief incidentmanagement leunt sterk op technologische innovaties. Maar naast state-of-the-art technologie zijn menselijke en organisatorische aspecten belangrijk. Om de effectiviteit van CSIRTs te optimaliseren moeten de menselijke en organisatorische factoren bij de afhandeling van cyberincidenten worden geadresseerd op individueel, team- en organisatieniveau. Een gestructureerde methode om dit te doen is door het gebruik van multilevel raamwerk. Op individueel niveau zijn mens-machine interactie, beslisondersteuning en datavisualisatie cruciaal in het ontwikkelen van situational awareness en het nemen van goede beslissingen. De enorme aantallen alerts kunnen operators makkelijk overweldigen waardoor werkdruk op een niveau komt waar (vroege) signalen van cyberincidenten makkelijk gemist worden. Om die overvloed te vermijden terwijl wel doelen als situational awareness behaald kunnen worden, wordt de Work Domain Analysis ingezet. Daarbij wordt eerst vastgesteld welke doelen moeten worden behaald. Daaruit worden vereiste/gewenste KPI’s afgeleid. Om die te behalen moeten processen worden ingericht met de bijbehorende informatievoorziening en taakverdeling zodat medewerkers de informatie krijgen die aansluit bij hun taken in de gedefinieerde processen. Vervolgens helpen team design methodes om de werkdruk te balanceren, informatiedeling en de teamprocessen te optimaliseren en vereisten aan competenties te inventariseren. Hierdoor kunnen CSIRTs worden ontwikkeld en geïmplementeerd die cyberincidenten effectief en efficiënt kunnen aanpakken. In de meeste organisaties is het CSIRT onderdeel van een multi-team netwerk met verschillende afdelingen, zoals communicatie, bedrijfsvoering en juridische afdelingen. Gedeeld begrip van elkaars taken en uitdagingen is daarom ook essentieel voor de samenwerking en om de operationele en beveiligingsbelangen tegen elkaar af te wegen. Het door TNO ontwikkelde OSIST-model neemt alle drie design niveaus die hierboven genoemd zijn mee in een geïntegreerde benadering, met inbegrip van systemen, inrichting van de werkomgeving en trainingsfactoren. Het is toegepast bij het inrichten van operationele teams in allerlei verschillende domeinen en kan worden toegepast voor CSIRTs.


33 / 39

Figuur 5: OSIST-model.

Cyber incident management is echter breder dan CSIRTs alleen. Het ontwikkelen van een crisismanagementproces (met richtlijnen voor alle bedrijfsonderdelen) om bedrijven die slachtoffer zijn geworden van een cyber incident (dat hun primaire business sterk raakt) helpt adequaat te reageren. De methodiek moet snel aan te leren zijn en praktisch toepasbaar zijn op het moment van het incident. Zaken die een rol zullen spelen in een dergelijke methodiek betreffen de communicatie naar buiten (wordt er iets meteen bekend gemaakt, en wat dan?), inzet van sociale media, houding van de medewerkers, maar ook; wordt het probleem zo snel mogelijk opgelost of heeft sporenonderzoek prioriteit? Een belangrijk element daarbij is het voorkomen van reputatieschade, ondersteund door webcare beïnvloedingstechnieken. Een ander belangrijk element hier is begrip van de (mogelijke) doelen van de aanvaller. Hoe moet men reageren terwijl voorkomen wordt dat daarmee de crimineel in de kaart wordt gespeeld? Onderzoeksonderwerpen: 1 Opstellen van een typologie van CSIRTS op basis van bestaande literatuur en een Work Domain Analysis. 2 Inventarisatie van de relevante human factors voor effectiviteit en efficiëntie incident response, uitgewerkt voor verschillende type CSIRTS en organisaties. 3 Ontwikkeling van een raamwerk en methodiek voor ontwerp en evaluatie van CSIRTs op basis van de verzamelde factoren.


7.5

34 / 39

Kenniselicitatie van succesvolle computergebruikers en analisten Het ontwikkelen van een methodiek waarmee cyberkennis expliciet en overdraagbaar wordt gemaakt. Primair zal het onderzoek zich daarbij richten op de volgende kennisgebieden:  De veilige gebruiker die nooit getroffen wordt door cybercrime. Welke kennis (en gedrag) heeft deze gebruiker waardoor hij/zij gevrijwaard blijft? Kan dit minder veilige gebruikers worden geleerd?  Er is steeds meer shared threat intelligence informatie beschikbaar om tot een cyber operational picture te komen. Het blijkt echter zeer moeilijk om de juiste relevante informatie voor de eigen situatie te selecteren uit het enorme aanbod (big data). Hoe doen succesvolle analisten dit (uit bijvoorbeeld andere sectoren) en hoe kan dat geleerd worden aan andere analisten?


8

35 / 39

Literatuur Aarts, H., & Dijksterhuis, A. (2003). The silence of the library: environment, situational norm, and social behavior. Journal of personality and social psychology, 84(1), 18. Aitel, D. (2012). Why you shouldn’t train employees for security awareness. CSO online. Gedownload van http://www.csoonline.com/article/2131941/securityawareness/why-you-shouldn-t-train-employees-for-security-awareness.html Ajzen, I. (2011). Theory of planned behavior. Handb Theor Soc Psychol Vol One, 1, 438. Allison, S. F., Schuck, A. M., & Lersch, K. M. (2005). Exploring the crime of identity theft: Prevalence, clearance rates, and victim/offender characteristics. Journal of Criminal Justice, 33, 19-29. Aytes K., & Connolly, T. (2004). Computer Security and Risky Computing Practices: A Rational Choice Perspective. Journal of Organizational and End User Computing, 16, 22–40. Bodenhausen, G.V. (1993). Emotions, arousal, and stereotypic judgments: A heuristic model of affect and stereotyping. In D.M. Mackie & D.L. Hamilton (Eds.), Affect, cognition, and stereotyping: Interactive processes in group perception (pp. 13-37). San Diego, CA: Academic Press. Boyd, John, R.(1995). The Essence of Winning and Losing, 28 June 1995: A five slide set. Bryant, P., Furnell, S., & Phippen, A. (2008). Improving Protection and Security Awareness Amongst Home Users. Advances in Networks, Computing and Communications, 4. Buchanan, T., Paine, C., Joinson, A. N., & Reips, U. D. (2007). Development of measures of online privacy concern and protection for use on the Internet. Journal of the American Society for Information Science and Technology, 58(2), 157-165. Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS quarterly, 34(3), 523-548. Burke, M., Marlow, C., & Lento, T. (2009). Feed me: motivating newcomer contribution in social network sites. Proceedings of the SIGCHI Conference on Human Factors in Computing Systems, 945-954. Bursztein, E., Benko, B., Margolis, D., Pietraszek, T., Archer, A., Aquino, A., Pitsillidis, & Savage, S. (2014). Handcrafted Fraud and Extortion: Manual Account Hijacking in the Wild. Proceedings of the 2014 Internet Measurement Conference, 347-358. Byrne Z., Weidert, J. Liff, J. Horvath M., Smith, C. Howe, A., and Ray, I. (2012). Perceptions of Internet Threats: Behavioral Intent to Click Again. Proceedings of the 27th Annual Conference of the Society for Industrial and Organizational Psychology. Center for Strategic and International Studies (2014). Net Losses: Estimating the Global Cost of Cybercrime: Economic impact of cybercrime II. Centraal Bureau voor de Statistiek [CBS] (2015). Veiligheidsmonitor 2014. Voorburg, NL.: Centraal Bureau voor de Statistiek. Cohen, L. E., & Felson, M. (1979). Social change and crime rate trends: A routine activity approach. American sociological review, 588-608.


36 / 39

Copes, H., Kerley, K. R., Huff, R., & Kane, J. (2010). Differentiating identity theft: An exploratory study of victims using a national victimization survey. Journal of Criminal Justice, 38, 1045-1052. D'Arcy J., Hovav A., & Galletta D. F. (2009). User awareness of security countermeasures and its impact on information systems misuse: A deterrence approach. Information Systems Research. 20, 79–98. Davinson N., & Sillence, N. (2010). It Won’t Happen to Me: Promoting Secure Behaviour Among Internet User. Computers in Human Behavior, 26, 1739– 1747. Domenie, M. M. L., Leukfeldt, E. R., van Wilsem, J. A., Jansen, J., & Stol, W. P. (2013). Slachtofferschap in een gedigitaliseerde samenleving. Egelman, S., & Peer, E. (2015). Scaling the Security Wall: Developing a Security Behavior Intentions Scale (SeBIS). In Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems, 2873-2882. Essens, P. J. M. D., & Van Delft, J. H. (2000). Uitgangspunten voor een toekomstige maritieme commandovoering: mensen organisatiefactoren [Points of departure for future maritime command and control: human and organisational factors]. Internal report TNO Technische Menskunde. European Commission (2015). Special Eurobarometer 423: Cyber Security. Retrieved 29-10-2015 from http://ec.europa.eu/public_opinion/archives/ebs/ebs_423_en.pdf. Falliere, N., Murchu, L. O., & Chien, E. (2011). W32.Stuxnet Dossier; version 1.4. Symantec Corporation, Cupertino, USA. Farrell, G., Clark, K., Ellingworth, D., & Pease, K. (2005). Of targets and supertargets: A routine activity theory of high crime rates. Internet Journal of Criminology. Fazio, R. H. (1990). Multiple processes by which attitudes guide behavior: The MODE model as an integrative framework. Advances in experimental social psychology, 23(75-109). Fiske, S. T. (2009). Social beings: Core motives in social psychology. John Wiley & Sons. Florencio, D., & Herley, C. (2007). A Large-Scale Study of Web Password Habits. Proceedings of the 16th International Conference on World Wide Web, Banff, Canada. Fraud.org (2013). Top scams of 2013. Gedownload op 08-12-2015 van http://fraud.org/images/PDF/2014_scams_report.pdf Goldberg, L. R. (1992). The development of markers for the big-five factor structure. Psychological Assessment, 4, 26-41. Good, N., et al. (2005). Stopping Spyware at the Gate: A User Study of Privacy, st Notice and Spyware. Proceedings of the 1 Symposium On Usable Privacy and Security, Pittsburgh, PA, USA. Gottfredson, M. R., & Hirschi, T. (1990). A general theory of crime. Stanford University Press. Gross, R., & Acquisti, A. (2005). Information revelation and privacy in online social networks. Proceedings of the 2005 ACM workshop on Privacy in the electronic society, 71-80. Herath, T., & Rao, H. R. (2009). Protection motivation and deterrence: A framework for security policy compliance in organisations. European Journal of Information Systems, 18, 106-125. Holtfreter, K., Reisig, M. D., Pratt, T. C., & Holtfreter, R. E. (2015). Risky remote purchasing and identity theft victimization among older Internet users. Psychology, Crime & Law, (ahead-of-print), 1-18.


37 / 39

Howe, A. E., Ray, I., Roberts, M., Urbanska, M., & Byrne, Z. (2012). The psychology of security for the home computer user. IEEE Symposium on Security and Privacy, 209-223. Hutchins, E. M., Cloppert, M. J., and Amin, R. M. (2011). Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains. Leading Issues in Information Warfare & Security Research, 1, 80-94. IBM (2015). IBM Cyber Intelligence Index; analysis of cyber attack and incident data from IBM’s worldwide security services operations. Jagatic, T. N., Johnson, N. A., Jakobsson, M., & Menczer, F. (2007). Social phishing. Communications of the ACM, 50, 94-100. Jansen, B. R., Louwerse, J., Straatemeier, M., Van der Ven, S. H., Klinkenberg, S., & Van der Maas, H. L. (2013). The influence of experiencing success in math on math anxiety, perceived math competence, and math performance. Learning and Individual Differences, 24, 190-197. Johnston A. C., & Warkentin M. (2010). Fear appeals and information security behaviors: An empirical study. MIS Quarterly. 34, 549-566. Junger, M., Wachs, S., Broekman, C., & Lastdrager, E., (2014). Supertargets do exist in cyber space. Manuscript in voorbereiding. Kahneman, D., & Klein, G. (2009). Conditions for intuitive expertise: A failure to disagree. American Psychologist, 64, 515-526. Klein, G. A., & Salas, E., (2001). Linking Expertise and Naturalistic Decision Making, Erlbaum. Krombholz, K., Hobel, H., Huber., & Weippl, E. (2014). Advanced social engineering attacks. Journal of Information Security and Applications, 22, 113-122. LaRose, R., Rifon, N., Liu, S., & Lee, D. (2005). Understanding Online Safety Behavior: A Multivariate Model. Proceedings of the 55th Annual Conference of the International Communication Association, New York, NY, USA, 2005. Lerner, J. S. & Keltner, D. (2000). Beyond valence: Toward a model of emotionspecific influences on judgment and choice. Cognition and Emotion, 14, 473493. Maass, P., & Rajagopalan, M (2012). Does Cybercrime Really Cost $1 Trillion? ProPublica. gedownload van https://www.propublica.org/article/doescybercrime-really-cost-1-trillion. McAfee & SAIC (2011). Underground Economies: Intellectual Capital and Sensitive Corporate Data Now the Latest Cybercrime Currency. gedownload van www.ndia.org/Divisions/Divisions/Cyber/Documents/rp-undergroundeconomies.pdf. Major, D. A., Turner, J. E., & Fletcher, T. D. (2006). Linking Proactive Personality and the Big Five to Motivation to Learn and Development Activity. Journal of Applied Psychology, 91, 927-935. McBride, M., Carter, L., & Warkentin, M. (2012). Exploring the Role of Individual Employee Characteristics and Personality on Employee Compliance with Cybersecurity Policies. Technical Report, RTI International. Downloaded from http://sites.duke.edu/ihss/files/2011/12/CyberSecurityFinalReportFinal_mcbride-2012.pdf McGraw, G. & Migues, S. (2012). Data supports need for security awareness training despite naysayers. Search Security. Gedownload van http://searchsecurity.techtarget.com/news/2240162630/Data-supports-needfor-awareness-training-despite-naysayers


38 / 39

Mitnick, K. D., & Simon, W. L. (2011). The art of deception: Controlling the human element of security. John Wiley & Sons. Mouton, F., Leenen, L., Malan, M. M., & Venter, H. S. (2014). Towards an ontological model defining the social engineering domain. In ICT and Society (266-279). Springer Berlin Heidelberg. Myers, A., Hansen, C. (2011). Experimental psychology. (seventh edition). Wadsworth; Belmont, USA. Nationaal Cyber Security Centrum [NCSC] (2015). Cybersecuritybeeld Nederland: CSBN 2015. Nationaal Cyber Security Centrum: Den Haag. National Cyber Security Allianc, Norton by Symantec, & Zogby International (2010). Online Safety Study. gedownload van https://www.staysafeonline.org/download/datasets/2064/FINAL+NCSA+Full+ Online+Safety+Study+2010. Petty, R. E., & Cacioppo, J. T. (1986a). Communication and persuasion: Central and peripheral routes to attitude change. New York: Springer-Verlag. Petty, R. E., & Cacioppo, J. T. (1986b). The elaboration likelihood model of persuasion. In L. Berkowitz (Ed.), Advances in experimental social psychology (vol. 19, pp. 123-205). San Diego, CA: Academic Press. Ponemon Institute (2015). 2015 Cost of Cyber Crime Study: Global. Ponemon Institute. Pratt, T. C., Turanovic, J. J., Fox, K. A., & Wright, K. A. (2014). Self‐control and victimization: A meta‐analysis. Criminology, 52, 87-116. PricewaterhouseCoopers [PwC] (2011). Omvang van identiteitsfraude & maatschappelijke schade in Nederland. gedownload van http://kennisopenbaarbestuur.nl/rapporten-publicaties/omvang-vanidentiteitsfraude-maatschappelijke-schade-in-nederland/ op 08-12-2015. PricewaterhouseCoopers [PwC] (2013). 2013 - update onderzoek ‘Omvang van identiteitsfraude & maatschappelijke schade in Nederland’. gedownload van https://www.rijksoverheid.nl/documenten/rapporten/2013/05/23/omvang-vanidentiteitsfraude-en-maatschappelijke-schade-in-nederland op 08-12-2015. Reisig, M. D., & Holtfreter, K. (2013). Shopping fraud victimization among the elderly. Journal of Financial Crime, 20, 324-337. Rogers, R. W. (1975). A protection motivation theory of fear appeals and attitude change. Journal of Psychology, 91, 93-114. Security.nl (2012). Chrome dwingt cyberboef tot social engineering (interview). gedownload op 13-01-2016 van https://www.security.nl/posting/37063/Chrome+dwingt+cyberboef+tot+social+ engineering+(interview). Schneier, B. (2013). Security Awareness Training. Schneier on Security. Gedownload van https://www.schneier.com/blog/archives/2013/03/security_awaren_1.html Shay, R., Komanduri, S., Kelley, P. G., Leon, P. G., Mazurek, M. L., Bauer, L. Christin, N., & Cranor, L. F. (2010). Encountering Stronger Password Requirements: User Attitudes and Behaviors. Proceedings of the Sixth Symposium on Usable Privacy and Security. New York, NY, USA: ACM, 2010. Shropshire, J., Warkentin, M., Johnston, A. C., & Schmidt, M. B. (2006). Personality and IT security: An application of the five-factor model. Proceedings of the Americas Conference on Information Systems, 3443-3449. Stelling, T. (2012). Next checkt: ‘Cybercrime kost Nederland jaarlijks zeker 10 miljard’ NRC-Next. gedownload van:


39 / 39

http://www.nrcnext.nl/blog/2012/05/01/next-checkt-%E2%80%98cybercrimekost-nederland-jaarlijks-zeker-10-miljard%E2%80%99/ The Economist (2015). What’s in a number? Estimating the cost of cybercrime. gedownload van : http://www.economistinsights.com/technologyinnovation/analysis/measuring-cost-cybercrime/custom Tseloni, A., & Pease, K. (2003). Repeat Personal Victimization: ‘Boosts’ or ‘Flags’? British Journal of Criminology, 43, 196-212. Tversky, A., & Kahneman. D. (1974). Judgment under Uncertainty: Heuristics and Biases. Science 185, 1124–1131. Van Wilsem, J.A. (2010). Gekocht maar niet gekregen. Slachtofferschap van online oplichting nader onderzocht. Tijdschrift voor Veiligheid, 9, 16-29. West, R. (2008). The Psychology of Security. Communications of the ACM, 51, 34– 41. Williams, M. L. (2015). Guardians upon high: an application of routine activities theory to online identity theft in Europe at the country and individual level. British Journal of Criminology. Winnefeld Jr, J. A., Kirchhoff, C., & Upton, D. M. (2015). Cybersecurity’s human factor: Lessons from the Pentagon. Harvard Business Review. Yan, J., Blackwell, A.,. Anderson, R., & Grant, A. (2004), Password Memorability and Security: Empirical Results. IEEE Security & Privacy, 25–31. Zetter (2015). Teen who hacker CIA director’s email tells how he did it. Wired. http://www.wired.com/2015/10/hacker-who-broke-into-cia-director-johnbrennan-email-tells-how-he-did-it/

TNO-rapport | TNO 2015 R11499TNO 2015 R11499

A

Bijlage A | 1/5

Variabelen uit studies die veilig en onveilig gedrag maten Buchanan, Paine, Joinson, & Reips (2007) General Caution Do you shred/burn your personal documents when you are disposing of them? Do you hide your bank card PIN number when using cash machines/making purchases? Do you only register for websites that have a privacy policy? Do you read a website’s privacy policy before you register your information? Do you look for a privacy certification on a website before you register your information? Do you read license agreements fully before you agree to them? Technical Protection Do you watch for ways to control what people send you online (such as check boxes that allow you to opt-in or opt-out of certain offers)? Do you remove cookies? Do you use a pop up window blocker? Do you check your computer for spy ware? Do you clear your browser history regularly? Do you block messages/emails from someone you do not want to hear from? Privacy Concern In general, how concerned are you about your privacy while you are using the internet? Are you concerned about online organisations not being who they claim they are? Are you concerned that you are asked for too much personal information when you register or make online purchases? Are you concerned about online identity theft? Are you concerned about people online not being who they say they are? Are you concerned that information about you could be found on an old computer? Are you concerned who might access your medical records electronically? Are you concerned about people you do not know obtaining personal information about you from your online activities? Are you concerned that if you use your credit card to buy something on the internet your credit card number will obtained/intercepted by someone else? Are you concerned that if you use your credit card to buy something on the internet your card will be mischarged? Are you concerned that an email you send may be read by someone else besides the person you sent it to? Are you concerned that an email you send someone may be inappropriately forwarded to others? Are you concerned that an email you send someone may be printed out in a place where others could see it? Are you concerned that a computer virus could send out emails in your name?


Bijlage A | 2/5

Are you concerned about emails you receive not being from whom they say they are? Are you concerned that an email containing a seemingly legitimate internet address may be fraudulent? Bulgurcu, Cavusoglu, & Benbasat (2010) ITC Intention to comply with the ISP I intend to comply with the requirements of the ISP of my organization in the future. I intend to protect information and technology resources according to the requirements of the ISP of my organization in the future. I intend to carry out my responsibilities prescribed in the ISP of my organization when I use information and technology in the future. GISA General information security awareness Overall, I am aware of the potential security threats and their negative consequences. I have sufficient knowledge about the cost of potential security problems. I understand the concerns regarding information security and the risks they pose in general. ISPA ISP Awareness I know the rules and regulations prescribed by the ISP of my organization. I understand the rules and regulations prescribed by the ISP of my organization. I know my responsibilities as prescribed in the ISP to enhance the IS security of my organization. Attitude To me, complying with the requirements of the ISP is _______. unnecessary…necessary unbeneficial…beneficial unimportant…important useless…useful Normative Beliefs _____ think that I should comply with the requirements of the ISP. My colleagues My executives My managers Self Efficacy to Comply I have the necessary _____ to fulfill the requirements of the ISP. skills knowledge competencies Perceived Cost of Compliance Complying with the requirements of the ISP is _____ for me. time consuming burdensome costly


Bijlage A | 3/5

Work Impediment Complying with the requirements of the ISP _____. holds me back from doing my actual work slows down my response time to my colleagues, customers, managers, etc. hinders my productivity at work impedes my efficiency at work Intrinsic Benefit My compliance with the requirements of the ISP would make me feel _____. content satisfied accomplished fulfilled Rewards _____ I comply with the requirements of the ISP. My pay raises and/or promotions depend on whether I will receive personal mention in oral or written assessment reports if I will be given monetary or non-monetary rewards if My receiving tangible or intangible rewards are tied to whether Safety of Resources Complying with the requirements if the ISP _____ my resources at work. would strengthen the security controls over would enhance safety of would improve protection of would eliminate the risk of damage to would prevent potential security related risks concerning would lead to less security related problems associated with Perceived Benefit of Compliance My compliance with the requirements of the ISP would _____. be favorable to me result in benefits to me create advantages for me provide gains to me Sanctions _____ I don’t comply with the requirements of the ISP. I will probably be punished or demoted if I will receive personal reprimand in oral or written assessment reports if I will incur monetary or non-monetary penalties if My facing tangible or intangible sanctions is tied to whether Vulnerability of Resources If I don’t comply with the requirements of the ISP, my resources _____.


Bijlage A | 4/5

will be at risk will be vulnerable can be exploited can be misused can be compromised Perceived Cost of Noncompliance My noncompliance with the requirements of the ISP would _____. be harmful to me impact me negatively create disadvantages for me generate losses for me Egelman & Peer (2015) Device Securement I set my computer screen to automatically lock if I don’t use it for a prolonged period I use a password/passcode to unlock my laptop or tablet I manually lock my computer screen when I step away from it I use a PIN or passcode to unlock my mobile phone Password Generation I do not change my passwords, unless I have to I use different passwords for different accounts that I have When I create a new online account, I try to use a password that goes beyond the site’s requirements I do not include special characters in my password if it’s not required Proactive Awareness When someone sends me a link, I open it without first verifying where it goes I know what website I’m visiting based on its look and feel, rather than by looking at I submit information to websites without first verifying that it will be sent securely When browsing websites, I mouseover links to see where they go, before clicking them If I discover a security problem, I continue what I was doing because I assume someone Updating When I’m prompted about a software update, I install it right away I try to make sure that the programs I use are up-to-date I verify that my anti-virus software has been regularly updating itself Domenie et al (2013) Conduct Informatie zoeken (gericht surfen) op internet en e-mailen Exposure Ongericht surfen, downloaden, msn’en, skypen, chatten, fora en profielsites bezoeken en Twitter


Bijlage A | 5/5

Computervaardigheid Kennis over besturingssysteem, internetverbinding en -browser en virusscanner Risicobewustzijn Ik open e-mails van onbekende afzenders. Ik open bijlagen of bestanden van onbekende afzenders. Ik download via Torrent-applicaties (bijv. Bittorrent of Vuze) en/of peer-topeersystemen (bijv. Gnutella, Kazaa of Limewire). Ik let op het slotje als ik online betaal. Ik let op de de ‘s’ achter ‘http’ als ik betaal via internet of als ik internetbankier. Als ik iets via internet koop, probeer ik te achterhalen of de verkoper betrouwbaar is. Ik sta erbij stil wat voor informatie ik over mezelf achterlaat op internet. Ik gebruik sterke, moeilijk te raden wachtwoorden van minstens acht karakters met cijfers én letters. Ik gebruik verschillende wachtwoorden voor verschillende accounts. Ik verander mijn wachtwoorden om veiligheidsredenen.

Supertargets: Verkenning naar voorspellende en verklarende factoren voor slachtofferschap van cybercriminaliteit

Recommend Documents