Cyberveiligheid: “bankmedewerker is first line of defense”

20 augustus 2019
Kim Gunnink is adviseur cyber resilience bij de Volksbank. Ze werkt mee aan het Shared Research Programma rond cybersecurity dat ABN AMRO, Rabobank, ING, Achmea, de Volksbank en TNO samen uitvoeren. Gunnink richt zich op de menselijke kant: hoe activeer je cyberveilig gedrag bij medewerkers?

“In dit SRP-project onderzoeken we de culturele aspecten rond cyberveilig gedrag, mede aan de hand van een pilot bij de Volksbank”, vertelt Gunnink. Kenmerkend aan die pilot is de positieve insteek. “Cyber-awareness-programma’s gaan vaak uit van de mens als zwakste schakel. Wij keren die aanpak om: onze collega’s zijn onze first line of defense. We geven ze handvatten om die rol goed te vervullen.” Met die positieve insteek bereik je meer, ziet Gunnink. “Als Volksbank willen we de financiële weerbaarheid van onze klanten borgen. Dat kan alleen als wij zelf onze cyberweerbaarheid op orde hebben. We benadrukken dat alle medewerkers daarbij een cruciale rol hebben, niet alleen IT-specialisten. De focus ligt op de vraag: hoe gaan we dit sámen oplossen?”

Kim Gunnink

Social engineering

Aanvallers hebben een ingang nodig tot de systemen van de bank; ze gebruiken de mens om de deur open te doen. “Dat gebeurt met social engineering: ze benutten sociaal wenselijk gedrag en zetten psychologische trucs in om informatie los te peuteren.” Dat herkennen en daarop leren handelen is belangrijk. Ook hier is de insteek positief: “Met psychologische trucs en gedragsbeïnvloeding heeft iedereen dagelijks te maken, bijvoorbeeld via reclame. Onbewust zijn wij daarom allemaal al expert. In onze pilot leren de collega’s die expertise zo toe te passen, dat zij cyberaanvallers herkennen.

Bewust gedrag

“Traditionele programma’s voor cyberveiligheid richten zich op het overdragen van kennis om bewustzijn te creëren. Maar bewustzijn is iets heel anders dan bewust gedrag”, stelt Gunnink. “Daarom hebben we gedragsspecialisten ingeschakeld bij onze pilot: marketeers. Dat lijkt verrassend, tot je bedenkt dat het werk van marketeers grotendeels bestaat uit gedragsbeïnvloeding. Multidisciplinair samenwerken is één van de kernelementen in onze aanpak.”

Een tweede element is ervaren, het meemaken van een aanval. “Er is ervaring nodig om bewust te kunnen handelen. We hebben een online platform ontwikkeld met een duidelijke verhaallijn: onze bank wordt aangevallen door een groep hackers. Collega’s gaan aan de slag met opdrachten om hun eigen apparaten – zakelijk en privé – en gevoelige gegevens te beveiligen. Ze worden steeds gestimuleerd om te denken als een cybercrimineel. Je ziet dat mensen dan zelf op zoek gaan naar kennis.”

Meetbaar

Deze methodiek levert meetbare resultaten op en maakt maatwerk mogelijk. Gunnink licht toe: “We hebben cyberveilige gedragingen gedefinieerd op basis van het dreigingsbeeld: wat komt er van buiten op ons af en wat heeft een menselijke factor? Welke gedragingen verminderen die dreiging?” Het meetmodel kan de effectiviteit van het programma bewijzen en het maakt maatwerk mogelijk in het vervolgtraject. “Misschien blijkt een afdeling heel goed in het herkennen van phishingmails, maar minder in het omgaan met phishingcalls. Dan kunnen we daar heel gericht aandacht aan besteden.”

Resultaten openbaar

TNO heeft een nulmeting gedaan van de cultuur rondom cyberveilig gedrag bij de Volksbank. Na de pilot, in het derde kwartaal van 2019, volgt een tweede meting. Dezelfde metingen vinden bij de andere deelnemende grootbanken plaats, zodat duidelijk wordt of er significante verschillen zijn tussen de pilotgroep en de andere onderzoeksgroepen. Alle resultaten van het Shared Research Programma worden eerst binnen de werkgroep en vervolgens publiekelijk gedeeld, vertelt Gunnink. “Zo delen banken hun kennis met de samenleving en kan iedereen zijn voordeel doen met de resultaten.”