De falende mens en informatiebeveiliging

Mensen, met al hun beperkingen, zijn niet weg te denken uit bedrijfsprocessen. Helaas zijn menselijke fouten de belangrijkste bedreiging van deze processen. Het is dan ook uitermate belangrijk om adequaat tegen menselijke fouten te beveiligen. Hiervoor is echter inzicht nodig in menselijke gedrag en de fouten die daarin kunnen ontstaan.

De mens

In elke organisatie werken mensen. Mensen maken fouten. Bedrijfsprocessen zijn veelal zo ingericht, dat als iemand een fout maakt, dit direct tot een procesverstoring kan leiden. In het kader van informatiebeveiliging ligt het voor de hand om menselijke fouten in kritische bedrijfsprocessen te voorkomen door de menselijke inbreng tot nul te reduceren. Het probleem is echter, dat in geen enkel bedrijfsproces in geen enkele organisatie de menselijke inbreng zover gereduceerd kan worden. In situaties waar de automatisering ver doorgedrongen is, lijkt het er misschien op dat de menselijke inbreng klein is, maar dan wordt de indirecte menselijke inbreng over het hoofd gezien. Zelfs in een volledig geautomatiseerde omgeving staan producten opgesteld die met behulp van mensen ontworpen en gemaakt zijn, die door mensen geïnstalleerd zijn en die door mensen onderhouden worden. Ook in dat geval is er dus een levensgrote kans dat een menselijke fout tot een procesverstoring kan leiden. Een fout manifesteert zich dan bijvoorbeeld als een storing in de apparatuur. De feitelijke oorzaak is dan bijvoorbeeld een (menselijke) testfout tijdens de productie van de betreffende apparatuur. Al met al vormen menselijke fouten een cruciale bedreiging voor bedrijfsprocessen. Om de beveiliging tegen menselijke fouten adequaat in te richten, is het nodig om enig inzicht te hebben in enerzijds menselijk gedrag en de fouten die daarin mogelijk zijn, en anderzijds de mogelijkheden van beïnvloeding die men heeft.

Gedrag en gedragsbeïnvloeding

In essentie is het gedrag van een persoon alles wat die persoon zegt of doet [1,2]. Gedrag bestaat uit een tweetal componenten, namelijk bewust en onbewust gedrag. Gedrag, zowel bewust als onbewust, kan beïnvloed worden door de omgeving zodanig aan te passen dat een bepaald gedrag opgelegd wordt. Dit betekent dat in de betreffende situatie het gewenste gedrag overeenkomt met het gedrag dat in die situatie het meest voor de hand ligt, of zelfs de enige mogelijkheid is. Aanpassen van de omgeving is de meest effectieve vorm van gedragsbeïnvloeding.

Bewust gedrag wordt gekenmerkt door handelingen die ‘willens en wetens’ uitgevoerd worden. Dit wordt beïnvloed door de motivatie, oftewel de wil om iets te doen. De motivatie wordt weer beïnvloed door de perceptie (waarneming) van de omgeving (‘Wat kan er gedaan worden?’), de attitude (houding) ten opzichte van informatiebeveiliging (‘Wat vind ik dat er gedaan moet worden?’) en de persoonlijke behoeften van de persoon in kwestie (‘Wat wordt ik er beter van?’). Er kan onderscheid gemaakt worden tussen intrinsieke motivatie, die iemand van zichzelf al (‘van binnen uit’) heeft, en extrinsieke motivatie die pas ontstaat
door een externe stimulans, zoals bijvoorbeeld een beloning [1]. Zowel de perceptie als de attitude worden beïnvloed door kennis van zaken. Kennis is met behulp van voorlichting en instructie goed te verbeteren. Een manier om de motivatie met
betrekking tot informatiebeveiliging in positieve zin te beïnvloeden, ligt dus in het aanbrengen of verbeteren van kennis met betrekking tot dit onderwerp. Dit is natuurlijk alleen effectief indien de aanwezige kennis niet al voldoet. Het aanbrengen van kennis kan zelfs contraproductief zijn, als het mensen op het spoor kan zetten van nieuwe mogelijkheden voor ongewenste handelingen. De persoonlijke behoeften zijn per persoon verschillend. Door tegemoet te komen aan de persoonlijke behoeften (belonen), bij het optreden van gewenst gedrag, of het ontmoedigen (straffen) van ongewenst gedrag, kan de motivatie verbeterd worden. Hierbij gelden de volgende regels:

Redelijkheid [2]:

Mensen willen een verklaring voor de maatregelen die getroffen worden, of de inspanningen die ze moeten leveren. Indien een dergelijke verklaring ontbreekt, of niet naar tevredenheid is, dan heeft dat een negatief effect op de motivatie.

Verwachting [3, 4, 5]:

De motivatie om een bepaalde inspanning te leveren is afhankelijk van de beloning die naar verwachting voort zal vloeien uit het leveren van de inspanning en de mate waarin deze beloning tegemoet komt aan de behoeften van de persoon in kwestie. De beloning moet wel duidelijk gekoppeld zijn aan de gewenste inspanning en ongewenste inspanningen mogen niet tot beloning leiden.

Billijkheid [3, 4]:

Mensen vergelijken de beloning, die ze ontvangen voor hun inspanningen, met anderen in een soortgelijke situatie. De uitkomst van de vergelijking beïnvloedt de motivatie.

Conformiteit [1, 3, 6]:

Mensen willen graag volwaardig lid zijn van de groep waartoe ze behoren. Daarom conformeren ze hun gedrag aan dat van de andere groepsleden. Mensen conformeren zich met name naar personen die een zekere mate van autoriteit
hebben.

Continuïteit [1]:

Ontmoedigen (straffen) van ongewenst gedrag is effectief zo lang de controle, die hiervoor nodig is, adequaat uitgevoerd wordt. Als de controle wegvalt, dan vallen mensen veelal terug in het oude (ongewenste) gedragspatroon.

In het algemeen wordt de invloed, die belonen en straffen hebben op de motivatie, sterk overschat. Dit komt doordat de effectiviteit ervan zich beperkt tot bewust gedrag, en dan nog dat deel van het bewuste gedrag waarvoor de motivatie niet al intrinsiek aanwezig is. Meestal is het niet zo slecht gesteld met de motivatie van de werknemers. In tegenstelling tot wat vaak gedacht wordt, zijn de meeste werknemers intrinsiek gemotiveerd en zien bovendien het belang van informatiebeveiliging in. Vandaar dat bewustwordingscampagnes en dergelijke de neiging hebben om te mislukken. Veelal zit de problematiek eerder in het feit dat regels onduidelijk of ondeugdelijk zijn. Een sprekende illustratie hiervan is het fenomeen ‘stiptheidsactie’.

Menselijke fouten

Mensen kunnen op verschillende wijze in de fout gaan. In eerste instantie kunnen we onderscheid maken tussen fouten die onbewust gemaakt worden en fouten die bewust gemaakt worden. Vervolgens kunnen we zowel onbewuste als bewuste fouten verder onderverdelen. We maken hiervoor gebruik van de volgende indeling, die gebaseerd is op Reason [7]:

Onbewuste fouten.

Uitglijders
Dit zijn fouten die ontstaan doordat iemand een handeling ‘op de automatische piloot’ uitvoert, terwijl de situatie juist om een andere handeling vraagt. Een bekend voorbeeld hiervan is, dat iemand op weg voor een dagje uit de weg naar
zijn werk neemt.

Afdwalingen
Dit zijn fouten die ontstaan doordat de concentratie verslapt is. Mensen hebben zo hun beperkingen, zoals de maximale tijd die iemand geconcentreerd bezig kan zijn met één onderwerp. Als de situatie een langer durende concentratie vraagt, dan kan hieraan niet voldaan worden.

Vergissingen
Dit is een vorm van bewust gedrag waarbij de perceptie van de omgeving verkeerd is. De handelingen die vervolgens uitgevoerd worden, zijn in de schijnbare situatie misschien juist, maar in de werkelijke situatie niet. Een bekend
voorbeeld hiervan is, dat iemand bij het horen van een rinkelende telefoon in een televisie- of radioprogramma de eigen telefoon opneemt.

Bewuste fouten

Overtredingen
Dit is een verzamelterm voor handelingen waarbij bewust regels of voorschriften genegeerd worden. Overtredingen kunnen zowel te goeder trouw, als kwaadwillig zijn.

Overtredingen te goeder trouw

Incidentele overtredingen
Dit zijn overtredingen die begaan worden omdat men vindt dat ‘het werk er om vraagt’. Veelal is er sprake van een uitzonderingssituatie waarin de regels niet voorzien. Door de betreffende regels te negeren kan het werk gewoon doorgaan.

Structurele overtredingen
Dit zijn overtredingen die begaan worden omdat de van toepassing zijnde regels onduidelijk of ondeugdelijk zijn. Veelal betreft het regels waarvan algemeen bekend is dat ze niet (meer) deugen. Binnen veel organisaties wordt er nogal tweeslachtig met dergelijke regels omgegaan: als een overtreding tot een gunstig resultaat leidt dan wordt de overtreder geprezen, maar als er een probleem ontstaat dan wordt de ‘Zwarte Piet’ bij de overtreder neergelegd.

Kwaadwillige overtredingen

Criminele overtredingen
Hierbij kunnen we denken aan verscheidene soorten strafbaar gedrag, zoals: diefstal, hacking, fraude, sabotage, etcetera. Bij sommige van dergelijke overtredingen kan de overtreder de indruk hebben dat de overtreding toegestaan is, omdat het een ‘ongeschreven secundaire arbeidsvoorwaarde’ betreft. Een voorbeeld hiervan is het zich toe-eigenen van pennen en potloden, omdat ‘iedereen’ het doet.

Elimineren van onbewuste fouten

In veel omstandigheden, waaronder het reguliere werk, voeren mensen automatische handelingen uit. Als omstandigheden automatische handelingen mogelijk maken, of zelfs oproepen, dan is het over het algemeen weinig effectief om dat te voorkómen. Het ligt meer voor de hand om in dergelijke omstandigheden de omgeving zodanig aan te passen, dat het daardoor opgeroepen automatische gedrag juist de handelingen omvat die in dat geval gewenst zijn. Een voordeel van automatische handelingen is dat de betrouwbaarheid van de uitvoering ervan hoog is. Het nadeel is echter dat het aanpassingsvermogen op een uitzonderingssituatie laag is. Als in een bepaalde werkwijze uitzonderingssituaties mogelijk zijn, dan kan het nodig zijn om de werkwijze te ontdoen van het routinematige karakter. Dit is echter niet zo eenvoudig als het klinkt. Bovendien is het moeilijk om ervoor te zorgen dat werknemers niet terugvallen in automatische handelingen. Temeer daar een aanpassing van de werkwijze tot gevolg kan hebben dat de nieuw werkwijze na verloop van tijd weer routinematig wordt. Voor het uitvoeren van handelingen dienen werknemers voldoende alert te zijn. Daartoe dient het werk voldoende uitdagend en afwisselend te zijn en tevens voldoende ontspanningsmogelijkheden te hebben.

Elimineren van bewuste fouten

Overtredingen worden onderverdeeld in overtredingen te goeder trouw (incidentele en structurele overtredingen) en kwaadwillige overtredingen (criminele overtredingen). Incidentele overtredingen worden in het algemeen begaan omdat men vindt dat ‘het werk er om vraagt’. Veelal is er sprake van een uitzonderingssituatie, waarin de regels niet voorzien. In dergelijke gevallen dient nagegaan te worden, in hoeverre het afwijken van de regel te rechtvaardigen is. Als de afwijking te rechtvaardigen is, dan kan overwogen worden om de regel aan te passen. Echter, omdat het onmogelijk is om op elke potentiële uitzonderingssituatie te anticiperen, is het veelal te prefereren om de regels niet ‘waterdicht’ te laten zijn. Als de afwijking onterecht was, dan dient de oorzaak daarvan opgespoord te worden. Het kan bijvoorbeeld zijn dat bepaalde regels bij de overtreder onbekend waren. In dat geval dienen de betreffende regels met behulp van voorlichting en instructie beter bekend gemaakt te worden. Structurele overtredingen worden in het algemeen begaan omdat de van toepassing zijnde regels onduidelijk of ondeugdelijk zijn. Het voordeel van dit soort overtredingen is dat er voldoende materiaal is om te onderzoeken wat de reden van de overtreding is. Veelal betreft het regels waarvan algemeen bekend is dat ze niet (meer) deugen en waar de bijbehorende overtredingen algemeen geaccepteerd zijn. Een probleem van een dergelijke situatie is, dat andere regels, die misschien wel in orde zijn, ook genegeerd worden. Bovendien komt het de geloofwaardigheid van het management met betrekking tot informatiebeveiliging niet ten goede. Om de naleving van regels met betrekking tot informatiebeveiliging zoveel mogelijk te bevorderen, dienen beveiligingsmaatregelen en -werkwijzen zo veel mogelijk geïntegreerd te worden in de andere processen binnen de organisatie. De werkwijzen moeten bovendien zodanig ingericht worden dat werknemers zich in het kader van informatiebeveiliging niet heel anders moeten gaan gedragen dan ze gewend zijn. Men kan zelfs overwegen om de werkwijze zodanig aan te passen dat overtredingen niet meer mogelijk zijn. In ieder geval moet het niet mogelijk zijn om het werk sneller of beter te doen door bepaalde beveiligingsmaatregelen te omzeilen. De inhoud en de reden van elke in te voeren maatregel of werkwijze dient op overtuigende wijze aan de werknemers duidelijk gemaakt te worden door middel van voorlichting en instructie. Aangezien werknemers hun gedrag conformeren aan dat van de anderen, dient met behulp van gerichte beloningen een breed draagvlak voor de regels gecreëerd te worden en het management dient zelf het goede voorbeeld te geven.

Bij criminele overtredingen is sprake van een verkeerde motivatie met betrekking tot informatiebeveiliging. Als er sprake is van relatief lichte overtredingen, die begaan worden in het kader van ‘Iedereen doet dat toch?’, dan is het nodig dat de betreffende vervaging van normen gecorrigeerd wordt. Hiertoe dient ten eerste door middel van voorlichting en instructie aan de werknemers duidelijk gemaakt te worden wat binnen de organisatie de juiste norm is. Vervolgens dient een breed draagvlak voor de regels gecreëerd te worden en het management dient zelf het goede voorbeeld te geven. Als er sprake is van zwaardere overtredingen, dan is het voornaamste doel veelal er zelf (veel) rijker van te worden, of de organisatie schade te berokkenen. Bij dit soort overtredingen is de motivatie zodanig verkeerd, dat het niet zinvol is om de motivatie op subtiele wijze te verbeteren. Dit soort overtredingen moet voorkómen worden door maatregelen (bijvoorbeeld functiescheiding), die het onmogelijk maken om als individu grote voordelen te behalen, respectievelijk schade te berokkenen. Daar waar het voorkómen van dit soort overtredingen niet lukt, moet het voordeel dat de overtreder kan behalen geminimaliseerd worden met controlemaatregelen (bijvoorbeeld het registreren van handelingen) en straf- en vervolgingsmaatregelen.

Conclusie

Mensen zijn onmisbaar in bedrijfsprocessen, maar ze maken bewust en onbewust fouten. Beveiliging tegen dergelijke fouten is een complexe zaak, die veel verder gaat dan ‘het verbeteren van het beveiligingsbewustzijn’. In dit artikel is een kader aangereikt, waarop de beveiliging tegen menselijke fouten gestoeld kan worden. Een adequaat beveiligingsprogramma moet zich overigens niet alleen richten op menselijke fouten, maar ook op andere bedreigingen.