Moeten slachtoffers van cyberaanvallen zich schamen?
Ze was pasgeleden gehackt. Dit deelde ze halverwege één van mijn presentaties. Eerst was toegang verkregen tot haar privé e-mailaccount, waarna toegang tot meerdere webshopsaccounts mogelijk werd. Er werden meerdere bestellingen gedaan die bezorgd zijn bij afhaalpunten en daar afgehaald zijn. In haar mailbox waren wijzigingen doorgevoerd waardoor zij zelf niet zag dat er bestellingen gedaan werden op haar naam.
Gelukkig ontdekte ze de aanval door een fout van de crimineel. Eén van de e-mails was in spam terechtgekomen. Doordat ze deze e-mail zag, was ingrijpen mogelijk. Ze schakelde, onder andere, hulp in van een bekende, beveiligde haar accounts (opnieuw), nam contact op met de webshops (die de bedragen kwijtscholden) en deed aangifte bij de politie.
Haar verhaal delen vond ze spannend: wat zullen anderen hiervan vinden? Maar toch deed ze het. In het bijzijn van al haar collega’s. De reacties waren hartverwarmend. En wat een fijne cultuur heeft je organisatie als dit kan!
Ik vind het stoer dat ze haar verhaal deelde. En ergens vind ik het gek dat ik dat stoer vind. In 2022 is het woord cyberschaamte verkozen tot het cybersecuritywoord van het jaar. Na al die aandacht zou je denken dat het inmiddels normaal is om te praten over cyberincidenten. Maar helaas is in mijn ervaring de schaamte nog vaak aanwezig, zowel bij individuen als bij organisaties. Ook in het voorbeeld dat ik aanhaalde. “Het is echt superdom van mij. Mijn wachtwoorden waren erg slecht én ik had ze allemaal in mijn notities gezet. Dit heb ik maar niet in de zaal verteld.”
Iedereen doet (onbewust) dingen die kunnen leiden tot een cyberaanval, zowel zakelijk als privé. Ja, ook ik. Het is makkelijker gezegd dan gedaan maar hier hoef jij je absoluut niet voor te schamen. Wel is het van cruciaal belang om zo snel mogelijk actie te ondernemen. En als je nog een stapje verder wilt gaan: je ervaringen te delen zodat anderen hiervan kunnen leren waardoor zij hopelijk geen slachtoffer worden.
De rol van security-professionals
Binnen organisaties zien we graag dat medewerkers contact opnemen met de helpdesk, IT- en/of security-afdeling wanneer ze per ongeluk toch op die phishing e-mail geklikt hebben, hun inloggegevens achtergelaten hebben of verdachte activiteiten zien. Dit is waar de schaamte of angst naar voren komt. Regelmatig vinden medewerkers het moeilijk om contact op te nemen, omdat ze bang zijn voor de gevolgen. Of erger nog: de manier waarop er met de medewerkers omgegaan wordt na de melding zorgt ervoor dat ze niet meer melden. Reacties als “ben je er alwéér met een melding?” en “stop met e-mails doorsturen die geen phishing e-mails zijn” komen nog steeds voor.
Wij, IT- en security-professionals, hebben een cruciale rol in het verminderen van cyberschaamte. Voor ons is cyberveilig werken meer vanzelfsprekend. Hierdoor hebben we soms iets te snel ons oordeel klaar als het misgaat. Een voorbeeld hiervan is de negatieve reacties die onder nieuwsartikelen staan als er weer een cyberaanval heeft plaatsgevonden. Ik vraag me dan altijd af wat we hiermee toevoegen. Laten we het anders doen. Elkaar aanmoedigen om onze fouten en incidenten te melden en/of bespreekbaar te maken. Ons behulpzaam opstellen en anderen helpen zonder oordelen. Laten we er samen voor zorgen dat cyberschaamte verdwijnt.
Over Lisa
Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.
Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.
Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.
