033 200 30 83
In deze tips & tricks kijken we naar de stand van zaken op het gebied van het bewustzijn van privacy-en securityrisico's in Nederland. Ook zoomen we hierbij in op het onderwijs. Dat doen we aan de hand van enkele recente onderzoeken.
Psychologische factoren
Het Kenniscentrum voor Psychologie en Economisch Gedrag heeft onderzoek gedaan naar de psychologische factoren die een rol spelen bij veilig wachtwoordgedrag en het veilig online delen van persoonsgegevens[1]. Dit deed zij in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), namens het ministerie van Justitie en Veiligheid. In dit onderzoek werd de deelnemers gevraagd om een nieuw wachtwoord aan te maken. Daarnaast konden deelnemers meedoen aan een winactie, waarbij zij instemden met het online delen van hun persoonsgegevens.
Het resultaat was dat bijna 84% van de deelnemers een zwak of zeer zwak wachtwoord aanmaakte. Bijna 81% nam deel aan de winactie. Meer dan 70% van de van de deelnemers aan de winactie deelden daarbij alle persoonsgegevens, waaronder de laatste 3 cijfers van hun bankrekeningnummer.
Onder de belangrijkste factoren die bij deze keuzes van belang blijken te zijn, worden genoemd:
- Responskosten
- Zelfeffectiviteit
- Ernst van de risico's
Wachtwoordgedrag
Veiliger wachtwoordgedrag blijkt gestimuleerd te worden door lagere responskosten, hogere zelfeffectiviteit en een hogere ernst van risico's. Het onthouden van sterke wachtwoorden bleek een belangrijke belemmerende factor. Om hierin te ondersteunen, wordt het beschikbaar stellen van een wachtwoordmanager/app genoemd.
Online delen
Voor het online delen van persoonsgegevens speelden vooral de zelfeffectiviteit en de ernst van de risico's een rol.
Ondersteuning
Om te ondersteunen in de inschatting wordt de verantwoordelijkheid van websites en apps genoemd:
- Vraag minder persoonsgegevens.
- Geef duidelijk aan welke gegevens niet verplicht zijn.
- Beveiligingsprogramma's en 2FA kunnen helpen om de veiligheid te verhogen.
Uitleg over de risico's van het onveilige gedrag (ernst) en over hoe de werkwijze is om het wel veilig te doen (zelfeffectiviteit), resulteert in duidelijke verbeteringen. Sterkere wachtwoorden werden aangemaakt en minder niet-verplichte persoonsgegevens werden gedeeld, hoewel dit laatste een beperkter effect was. Bevorderen van zelfeffectiviteit werkt voor alle leeftijden, terwijl ernst vooral voor ouderen effect heeft. Voor de winactie had de uitleg vrijwel alleen voor vrouwen effect, ongeacht leeftijd of opleidingsniveau.
Awareness metingen
Het onderwerp van een ander onderzoek was de stand van zaken binnen het onderwijs. SURF heeft BDO opdracht gegeven om security- en privacy-awareness metingen uit te voeren[2].
In het betreffende onderzoek werden online vragenlijsten aan medewerkers in het onderwijs voorgelegd. Uit de antwoorden van 4500 respondenten zijn de volgende bevindingen en aanbevelingen opgemaakt:
- Deelnemers begrijpen het belang van security en privacy maar zijn niet altijd gemotiveerd om ermee aan de slag te gaan.
- Het is deelnemers niet altijd duidelijk wat van hen wordt verwacht op het gebied van security en privacy. Leidinggevenden spelen hierin geen actieve rol.
- Het deelnemen aan awareness trainingen is meestal niet verplicht.
- Deelnemers geven aan dat zij beter ondersteund zouden willen worden met instructies, tools en anderen middelen.
- De kennis over security en privacy behoeft nog verbetering.
- Ondersteunend personeel is meer bewust dan docenten en onderzoekers.
Intermezzo: de legende van de Kolibrie
In een bos ontstond een heftige, alles verzengende brand.
Alle dieren ontvluchtten het bos. Alle, op één na.
Een kolibrie vloog naar het meer, vulde haar snavel, vloog terug en gooide het water op het vuur.
Vele malen vloog zij heen en weer.
Ondertussen keken de andere dieren met grote verbazing toe.
Ze riepen: “Wat ben je aan het doen? Dat helpt toch niet, het is te laat!”.
Hierop antwoordde de kolibrie: “Dat kan wel zo zijn, toch doe ik, wat ik kan”.
De andere dieren besloten uit empathie, de kolibrie te helpen en zo lukt het hen toch
om met elkaar het vuur te doven.Soms kan je ervaren dat acties als een druppel op een gloeiende plaat zijn.
Wanneer je besluit om toch te doen, wat je kunt doen - en wanneer we dat allemaal doen -
kan het wel degelijk effect hebben.
Cybersecurity en consumentengedrag
Het ministerie van Economische Zaken en Klimaat heeft haar onderzoek Alert Online 2022 gepubliceerd. Hier wordt het bewustzijn van Nederlanders rondom cybersecurity[3] onderzocht. Er is onder meer gekeken naar het gedrag van consumenten. Het onderzoek is uitgevoerd door I&O Research.
Uit het jaarlijkse onderzoek van Alert Online 2022 kwam naar voren dat bijna 75% van de Nederlanders van mening is, dat de eigen kennis over online/cyber risico’s redelijk op up-to-date is. Bij online/cyber risico’s kan men denken aan hacking, phishing, malware of bijvoorbeeld de “vriend-in-noodfraude”.
45% van de Nederlanders maakt zich weinig zorgen over de online veiligheid in de privésituatie. De helft hiervan geeft aan dat ze hun slimme apparaten altijd updaten. Ook het controleren op valse websites en linkjes, het gebruik maken van 2FA (twee factor authenticatie) bij het inloggen, het doen van virusscans en het veranderen van wachtwoorden geeft voor twee op de vijf Nederlanders een veilig gevoel.
De meerderheid van de Nederlanders (61%) maakt zich weinig zorgen over een cyberaanval. Wanneer men te maken krijgt met cybercriminaliteit of een cyberaanval doet gemiddeld 31% van de Nederlandse consument hiervan melding of aangifte.
Minister Micky Adriaansens (Economische Zaken en Klimaat) zegt hierover het volgende: “We zien dat het digitale bewustzijn van consumenten (en bedrijven) omhoog is gegaan. Veel Nederlanders zijn bereid om beveiligingsmaatregelen te nemen, zoals het uitvoeren van updates of bij het inloggen op systemen of apparaten. Dat alleen is niet voldoende. Het gaat erom dat we óók alerter zijn. (…)”.
Handreikingen
Voor het bewuster omgaan met privacy- en securitygevoelige gegevens, kunnen we niet in een keer een volledige gedragsverandering teweegbrengen. Maar laten we gewoon beginnen met een paar bevorderende stappen:
Begin of blijf uitleggen:
- Heldere beknopte uitleg over wat de risico's en de verwachtingen zijn.
- Heldere beknopte instructies over hoe men ondersteund kan worden met hulpmiddelen zoals wachtwoordmanagers.
Organisatie brede participatie:
- Noodzakelijk onderdeel, niet een vrijwillige optie.
- Van desinteresse naar motivatie.
- Samen de behoefte en inzet onderzoeken van hulpmiddelen, zoals bijvoorbeeld wachtwoordmanagers en 2FA.
- Faciliteer en nodig uit om alert te zijn op vreemde verzoeken, mogelijke hacking en verdachte e-mails.
Tot slot
Door de grotere alomtegenwoordigheid van slimme technologieën, die tegelijk ook steeds dichterbij komen, is een struisvogeltactiek niet meer houdbaar. Om de privacy- en securityrisico's te verkleinen, zullen we het bewustzijn daarover in onze organisaties moeten bevorderen.
Recente onderzoeken zoals die in dit artikel zijn aangehaald, laten zien dat mensen niet uit onwil risicovol gedrag vertonen. Factoren als onwetendheid en onmacht lijken een significante rol te spelen.
Om de situatie in onze organisaties te verbeteren is het niet mogelijk om in één keer, voorgoed de berg te verzetten. Niet alleen is de berg daarvoor te groot, maar ook blijven de technologieën sterk in beweging.
Maar begin bij het begin, een eerste steen in een vlak meer, een snaveltje vol water.
Vervolgstappen kun je pas maken, na de eerste stap. Zet (kleine) duidelijke stappen, bijvoorbeeld met behulp van de handreikingen in dit artikel.
Leg uit, participeer en faciliteer.
[1] In opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) – namens het ministerie van Justitie en Veiligheid - heeft het Kenniscentrum voor Psychologie en Economisch Gedrag onderzoek gedaan onder 998 deelnemers, naar de omgang met wachtwoorden en persoonsgegevens: https://www.rijksoverheid.nl/documenten/rapporten/2022/09/05/tk-bijlage-onderzoeksrapport-veilige-toegang-en-verantwoord-delen.
[2] In opdracht van SURF heeft BDO security- en privacy-awareness metingen uitgevoerd bij onderwijs- en onderzoeksinstellingen. In totaal hebben ruim 4.500 respondenten de vragenlijst ingevuld. Hiervan is een rapportage met bevindingen en aanbevelingen opgesteld: https://www.surf.nl/files/2022-10/awarenessmeting-security-en-privacy-2022.pdf.
[3] Het volledige onderzoek Alert Online 2022 is onder 1.200 Nederlanders en meer dan 1.100 ICT-medewerkers en verantwoordelijken in het bedrijfsleven uitgevoerd door I&O Research, in opdracht van het ministerie van EZK: https://www.rijksoverheid.nl/actueel/nieuws/2022/10/05/nederland-digitaal-bewuster-maar-deel-kleiner-mkb-onderneemt-nog-geen-actie.
