De psychologische inschattingen van gebruikers over informatiebeveiliging : onderzoek bij mediaorganisaties

DE PSYCHOLOGISCHE

INSCHATTINGEN VAN

GEBRUIKERS OVER

INFORMATIEBEVEILIGING

Onderzoek bij mediaorganisaties

FLEUR BOOR-ZEEMAN

5771994 Augustus 2018

Voorwoord

Deze scriptie representeert mijn afscheid van de UvA. Het is niet alleen afscheid van de postdoctorale opleiding IT auditing (AITAP), maar van mijn gehele UvA carrière.

Circa elf jaar geleden startte ik bij de UvA als een onzekere studente. De nieuwe mensen, de onbekende vakken en de wetenschappelijke omgeving vond ik spannend en indrukwekkend. Ik was ervan overtuigd dat het behalen van vakken hard werken zou zijn. Dit is wat ik de afgelopen jaren heb gedaan, met succes. Ik heb de universiteit door de jaren heen ervaren als een plek waar ik thuis ben. Ik vind het heerlijk om helemaal in een vak te duiken en alle informatie tot mij te nemen. Mensen die zeggen dat een zes voldoende is hebben gelijk, maar missen zo ontzettend veel informatie! Toch is het na meer dan een decennium genoeg. Na alle studies ben ik er achter wat ik later (dat is nu) eindelijk wil worden: tevreden en gelukkig. Er is meer in het leven dan alleen studeren. Echter, dankzij mijn studies kan ik werk doen dat ik interessant vind, een werkgever kiezen die bij mij past en bovenal doen wat ik het liefste doe: de wereld verkennen!

Graag wil ik mijn werkgever, leidinggevende, scriptiebegeleider en docenten aan de UvA bedanken. Een aantal van jullie heb ik wekelijks tot waanzin gedreven met ‘irritante’ vragen. Het stellen van dit soort vragen vind ik stiekem het allermooiste aan de functie van auditor. Veel leesplezier gewenst, ik ben ervan overtuigd dat de inhoud boeiend is.

Met vriendelijke groet, Fleur Boor-Zeeman

Inhoudsopgave

Hoofdstuk 1 Inleiding

1.1 Introductie

Moderne organisaties vertrouwen op informatiesystemen voor de continuïteit van hun

bedrijfsvoering, vanwege de bedrijfsinformatie in deze systemen (Cavusoglu et al. 2004). Om de bedrijfsinformatie in deze systemen te beschermen tegen misbruik en vernieling maken organisaties gebruik van o.a.: firewalls, antivirussoftware, back-ups, toegangscontroles, encryptie en monitoring (Ifinedo, 2011). Echter, deze technische maatregelen zijn niet voldoende om een compleet spectrum aan beveiliging te bieden, zoals blijkt uit de casus Wannacry.

In mei 2017 werd Wannacry wereldwijd verspreid. Wannacry betrof gijzelingssoftware voor het Microsoft Windows besturingssysteem. Met deze

gijzelingssoftware werden computerbestanden gegijzeld van de gebruiker. Wanneer het niet mogelijk was om met behulp van een back-up de computerbestanden terug te zetten, kon de gebruiker ‘losgeld’ betalen. Na betaling van ‘het losgeld’ (in de cryptocurrency Bitcoin), werden de bestanden meestal weer beschikbaar gesteld voor de gebruiker. Er zijn ook

voorbeelden bekend waarbij na betaling van het losgeld geen decryptiesleutel werd gegeven. De gijzelingssoftware Wannacry besmette meer dan 230.000 computers in 150 landen in slechts één weekend, van scholen tot aan politiebureaus. Dit bracht veel schade aan bedrijven, een aantal besloten ter preventie offline te blijven. Bekende getroffen bedrijven zijn: Britains National Health Services, FedEx, Renault in Frankrijk, Deutsche Bahn (Duitse treinservice), en Qpark. De aanval is door Europol beschreven als ongekend in omvang. Kort daarop volgde wereldwijd de malware NotPetya die bestanden versleuteld, maar deze versleuteling niet meer ongedaan maakt. In Nederland ondervonden onder andere het Havenbedrijf Rotterdam, farmaceut MSD en producent Raab Kärcher hiervan grote hinder.

Opvallend in dit geval is dat NotPetya gebruikmaakte van een kwetsbaarheid in het Microsoft Windowsbesturingssysteem, waarvoor reeds een update beschikbaar was. NotPetya maakt namelijk van dezelfde kwetsbaarheid gebruik als de gijzelingssoftware Wannacry. Met de update van Microsoft zijn computers niet meer vatbaar voor NotPetya. Bovendien zijn deze updates gratis en kunnen zij automatisch worden geïnstalleerd. Er is echter een (eenmalige) menselijke handeling noodzakelijk om automatische updates te installeren. Bovenstaande casus beschrijft dat voor informatiebeveiligingmaatregelen gesteund moet

worden op drie pijlers: de techniek (software), het proces (softwaremanagement) en de mens. Het is, zoals in de situatie van NotPetya, de mens die het proces ten uitvoer moet brengen.

Uit bovenstaande casus en divers onderzoek (Vroom & von Solms, 2004; Santon et al. 2005; Pahnilla et al. 2007) blijkt dat organisaties, die aandacht besteden aan zowel de

technische maatregelen als niet-technische maatregelen, het meeste succes bereiken in de bescherming van bedrijfsinformatie. Dit is belangrijke informatie omdat wordt geschat dat de totale kosten van internetcriminaliteit voor bedrijven in 2019 oploopt tot twee biljoen dollar (cyber security market report, 2015). Deze niet-technische maatregelen betreffen procedurele en psychologische maatregelen, gericht op medewerkers. Dit is niet vreemd, veelal zijn medewerkers van bedrijven de zwakste schakel in informatiebeveiliging. Zo neigen medewerkers beveiligingsmaatregelen te negeren bij het verrichten van taken (Post and Kagan, 2007). Er wordt geschat dat 50% van alle informatiebeveiligingsincidenten

veroorzaakt wordt door het incorrecte gebruik van ICT door medewerkers (Richardson, 2011; Baker et al. 2010). Het incorrecte gebruik van ICT bestaat bijvoorbeeld uit het openen van phishing links en bijlages, waardoor malware zich binnen het organisatienetwerk kan verspreiden en niet gehinderd is door een firewall.

1.2 Aanleiding

In steeds meer wetenschappelijke literatuur over het verkleinen van de kans op

beveiligingsincidenten komt de nadruk te liggen op het beïnvloeden van de mens. Crossler et al. (2013) stellen bijvoorbeeld dat de aanzienlijke focus op technische maatregelen een tekortkoming van de huidige studies omtrent informatiebeveiliging is. De toekomstige onderzoeksrichting betreft volgens hen de gedragsmatige kant van informatiebeveiliging. Meer specifiek wordt voorgesteld om onderzoek te richten op het: begrijpen van hackers, afwijkend gedrag van medewerkers te onderscheiden van nalevend gedrag, culturele verschillen tussen gebruikers te identificeren en andere vormen van dataverzameling toe te passen op het wetenschappelijk onderzoek naar informatiebeveiliging. Deze opsomming is echter niet compleet.

Er dient ook meer aandacht gegeven te worden aan de diverse thema’s die onderdeel zijn van informatiebeveiliging. Voorbeelden van thema’s zijn: wachtwoorden, phishing, spam, malware, cryptolockers, fysieke -en logische toegangsbeveiliging, ethical hacking en social engineering. In de huidige wetenschappelijke literatuur over informatiebeveiliging wordt bij de beschrijving van een onderzoek naar informatiebeveiliging geen onderscheid

gemaakt tussen de diverse thema’s. Sterker nog, het onderwerp ‘informatiebeveiliging’ wordt veelal niet gespecificeerd. Dit bemoeilijkt onderzoekers met de wens om bestaand onderzoek te reproduceren evenals de mogelijkheid om de onderzoeksresultaten van bestaand onderzoek naar informatiebeveiliging onderling met elkaar te vergelijken. Het is daarnaast onduidelijk op welke wijze respondenten in de huidige onderzoeken het onderwerp informatiebeveiliging hebben geïnterpreteerd, wanneer niet specifiek wordt verwezen naar thema’s. Tot slot is ook de lezer van het bestaande onderzoek naar informatiebeveiliging genoodzaakt om zelf het onderwerp te interpreteren.

Neem bijvoorbeeld het onderzoek van Bulgurcu et al. (2010) waarin de

gerationaliseerde overtuigingen van medewerkers zijn getoetst in relatie tot naleving van het informatiebeveiligingsbeleid. Of het onderzoek van Chan, Woon en Kankanhalli (2005) waarin de percepties rondom informatiebeveiliging op de werkvloer zijn gekoppeld aan een informatiebeveiligingsklimaat. Een ander voorbeeld betreft het onderzoek van Hu et al. (2012) waarin de kritische rol van het management wordt meegewogen in de uitvoering van informatiebeveiligingsbeleid. In geen van deze onderzoeken is uitgelegd waaruit het

onderzoeksobject ‘informatiebeveiligingsbeleid’ precies bestaat. Het is hierdoor onbekend welke vereisten waren opgenomen in het informatiebeveiligingsbeleid en welk gedrag van medewerkers werd verwacht. Bovendien lijken de onderzoekers te veronderstellen dat de resultaten niet worden beïnvloed door de inhoudelijke thema’s van het

informatiebeveiligingsbeleid, aangezien hierover geen informatie is opgenomen in de discussieparagrafen van de artikelen. In de praktijk bestaat het informatiebeveiligingsbeleid van organisaties veelal uit diverse procedures en richtlijnen. Bijvoorbeeld richtlijnen omtrent wachtwoordgebruik, phishing, het installeren van updates en diefstal. Anders verwoord, diverse thema’s maken tezamen een alomvattend informatiebeveiligingsbeleid. De

(impliciete) veronderstelling van onderzoekers dat informatiebeveiliging niet gespecificeerd hoeft te worden naar diverse thema’s (en geen invloed heeft op de onderzoeksresultaten) is een aanname. Deze aanname dient getoetst te worden.

1.3 Probleemstelling en onderzoeksvraag

Voor de verschillende thema’s binnen informatiebeveiliging zijn steeds vaker technische beveiligingsmaatregelen nodig. Denk bijvoorbeeld aan firewalls, spamfilters, Intrusion Prevention Systems (IPS), data leakage prevention systems, virusscanners, twee factor authenticatie, encryptie etc. Door de steeds sterke technische maatregelen is de mens de

zwakkere schakel in informatiebeveiliging geworden Crossler et al. (2013). Het is daarom interessant om onderzoek te doen naar thema’s over informatiebeveiliging waarop mensen zelf substantiële invloed hebben. Om deze reden wordt in deze scriptie onderzoek verricht binnen de volgende thema’s:

- Het niet opschrijven van wachtwoorden (bijv. op een post-it)

- Het niet openen van onbekende links en bijlages uit e-mails (bijv. phishing) - Het niet onbeheerd laten van ICT-faciliteiten (bijv. laptop, telefoon of tablet) Het niet opschrijven van wachtwoorden door mensen op post-its of in notieblokken is niet technisch af te dwingen. Tijdens cleandeskcontroles bij diverse organisaties worden veelal wachtwoorden nabij een computer gevonden. Het komt vaak voor dat een post-it met

wachtwoord onder het toetsenbord is geplakt. Dit betreft mogelijk het wachtwoord waarmee toegang tot de computer wordt verkregen. Om te voorkomen dat wachtwoorden worden opgeschreven kunnen ‘password managers’ helpen. Dit zijn applicaties die wachtwoorden op een veilige manier opslaan en zelfs genereren. Bekende voorbeelden hiervan zijn: LastPass, KeePass, 1Password en Dashlane. Toch is het niet mogelijk om het daadwerkelijke gebruik van ‘password managers’ technisch af te dwingen.

Het niet openen van onbekende links en bijlages uit e-mails, zoals veelal het geval bij

phishing, is zeer moeilijk technisch af te dwingen. De e-mails met onbekende links en bijlages ontvangen medewerkers in de persoonlijke inbox, de e-mail heeft daarmee de firewall evenals spamfilter van de organisatie al gepasseerd. Wanneer organisaties de techniek toepassen dat links en bijlages niet geopend kunnen worden, ontstaat een vrijwel onwerkbare situatie. Concreet betekent dit dat elke link en bijlage door de afdeling IT wordt gecontroleerd. Om deze reden wordt medewerkers gevraagd geen onbekende links en bijlages te openen. Denk hierbij aan een boekingsbevestiging van een hotel dat niet geboekt is of een factuur terwijl geen betaling is verricht.

Tot slot kunnen faciliteiten worden gestolen. Om deze reden is het belangrijk dat ICT-faciliteiten zoals een laptop, telefoon of tablet, niet onbeheerd worden gelaten. Denk hierbij aan onbemande garderobes of geparkeerde auto’s. Het uitschakelen van een laptop en deze opbergen in een auto met alarm is onvoldoende. Ook uitgeschakelde mobiele apparatuur wordt vanwege zijn elektronica eenvoudig opgespoord, waarna een inbraak plaatsvindt. Het is daarom belangrijk dat medewerkers de aan hen beschikbaar gestelde ICT-faciliteiten

(persoonlijk) beheren, zodat deze niet wordt ontvreemd. Voor deze scriptie ligt de focus op de drie hierboven beschreven thema’s van informatiebeveiliging, waarop mensen zelf

Vervolgens wordt voor deze scriptie gebruik gemaakt van de onderzoeksopzet van Ifinedo (2011). De belangrijkste reden hiervoor is zijn praktische toepassing van

internationaal erkende psychologische theorieën. Voorbeelden hiervan zijn de ‘protection motivation theory’ en de ‘theory of planned behavior’. In zijn onderzoek worden deze theorieën gebruikt voor het voorspellen van de gedragsintentie om

informatiebeveiligingsbeleid na te leven. Met name zijn praktische toepassing van

psychologische theorieën in een uitgebreide vragenlijst, toegespitst op het algemene concept informatiebeveiliging, maakt zijn onderzoek interessant. De resultaten van Ifinedo’s

onderzoek zijn in figuur 1 weergegeven. Het onderzoek van Ifinedo is uitgevoerd bij een Finse organisatie en richtte zich voornamelijk op het computergebruik van medewerkers bij hen thuis.

Figuur 1: Resultaten Ifinedo (2011)

Een van de theorieën die hij bij zijn onderzoek betrekt is de ‘protection motivation theory’. Deze theorie is gericht op het begrijpen van angst en de wijze waarop mensen hiermee omgaan (Smith & Mackie, 2007). Het begrijpen van angst bestaat uit twee onderdelen: inschatting van de ernst en inschatting van de kwetsbaarheid. De wijze waarop mensen omgaan met angst bestaat uit drie onderdelen: responskosten, respons-effectiviteit en zelf-effectiviteit. Het bepalen van de ernst, de kwetsbaarheid en de wijze waarop hiermee wordt omgegaan betreft een persoonlijke inschatting. In hoofdstuk twee wordt de achtergrond en toepassing van deze theorie in meer detail beschreven.

Sinds mijn minor Communicatiewetenschap heb ik mij altijd verwonderd over de afbeeldingen op pakjes sigaretten. Onderzoeken wijzen uit dat het creëren van te veel angst (afbeelding van vieze tanden, zwarte longen) leidt tot het negeren van waarschuwingen (McQuail, 2008). Ten aanzien van informatiebeveiliging waarschuwen organisaties medewerkers voor digitale gevaren en de wijze waarop deze te voorkomen/minimaliseren

medewerkers hierover op gepaste wijze worden geïnformeerd. Mijn inziens is de ‘protection motivation theory’ hierbij zeer bruikbaar evenals het onderzoek van Ifinedo (2011). In zijn onderzoek heeft hij deze theorie geoperationaliseerd naar een vragenlijst gericht op het onderwerp informatiebeveiliging. Zijn onderzoek is daarmee een uitgangspunt voor deze scriptie.

In de voorgaande alinea’s is uitgelegd dat voor deze scriptie de interesse uitgaat naar de psychologische inschatting van mensen aangaande de drie eerder beschreven thema’s van informatiebeveiliging waarop mensen zelf substantiële invloed hebben (wachtwoorden, het openen van onbekende links/bijlages, beheren ICT-middelen). Het gaat daarbij niet om het meten van de gedragsintentie van mensen, maar om het ontdekken van samenhang tussen de psychologische inschattingen en de drie specifieke thema’s.

Dit heeft geleid tot de onderzoeksvraag: Welke psychologische inschattingen spelen een rol bij informatiebeveiliging?

De onderzoeksvraag wordt in zeven deelvragen uiteengezet:

Deelvraag 1. In hoeverre draagt de waargenomen kwetsbaarheid van: - Het opschrijven van wachtwoorden

- Het openen van onbekende links/bijlages in de e-mail - Het onbeheerd laten van ICT-middelen

bij aan de algehele waargenomen kwetsbaarheid van het informatiesysteem van de organisatie?

Deelvraag 2. In hoeverre dragen de waargenomen responskosten van: - Het opschrijven van wachtwoorden

- Het openen van onbekende links/bijlages in de e-mail - Het onbeheerd laten van ICT-middelen

bij aan de algehele waargenomen responskosten voor het implementeren van informatiebeveiligingsmaatregelen?

Deelvraag 3: In hoeverre draagt de waargenomen effectiviteit van: - Het niet opschrijven van wachtwoorden

- Het niet onbeheerd laten van ICT-middelen

bij aan de algehele waargenomen effectiviteit van de informatiebeveiligingsmaatregelen? Deelvraag 4: In hoeverre draagt de waargenomen zelf-effectiviteit van het uitvoeren van:

- Het niet opschrijven van wachtwoorden

- Het niet openen van onbekende links/bijlages in de e-mail - Het niet onbeheerd laten van ICT-middelen

bij aan de algehele waargenomen zelf-effectiviteit voor het uitvoeren van informatiebeveiligingsmaatregelen.?

Deelvraag 5: Wat is het verband tussen de waargenomen ernst en de responskosten?

Deelvraag 6: Wat zijn de verschillen tussen de initiële resultaten van Ifinedo (2011) en deze scriptie?

Deelvraag 7: Welke implicaties hebben de resultaten van dit onderzoek voor de rol van de IT-auditor?

Voor de operationalisatie van de begrippen: waargenomen kwetsbaarheid, waargenomen ernst, waargenomen responskosten, waargenomen effectiviteit en waargenomen

zelf-effecitviteit wordt verwezen naar paragraaf 2.5. In deze paragraaf is de ‘protection motivation theory’ in detail uitgewerkt.

Uit de resultaten van mijn onderzoek blijkt welke psychologische inschattingen een rol spelen bij informatiebeveiliging. Meer specifiek wordt duidelijk in hoeverre onderdelen van de ‘protection motivation theory’ een rol spelen bij informatiebeveiliging. Daarnaast geven de uitkomsten inzicht over de informatiebeveiligingsmaatregelen: het niet opschrijven van wachtwoorden, het niet openen van onbekende links/bijlages en het niet onbeheerd laten van ICT-middelen. Mogelijk zijn respondenten van mening dat de kwetsbaarheid van het

informatiesysteem niet afneemt door het toepassen van de drie beheersmaatregelen. Het tegenovergestelde is uiteraard ook mogelijk, waarbij een of meerdere van deze

beheersmaatregelen bijdragen aan de waargenomen zelf-effectiviteit om het

informatiesysteem van de organisatie te beschermen. Als gevolg hiervan kunnen de uitkomsten mogelijk worden gebruikt om mensen gerichter te informeren over de bedreigingen rondom informatiebeveiliging en de wijze waarop hiermee om te gaan. Tot slot blijkt mogelijk of toekomstig onderzoek gericht op informatiebeveiliging voortaan een specificatie naar thema’s dient te maken (bijvoorbeeld gericht op: wachtwoorden,

phishing en diefstal van ICT). De laatste deelvraag is gericht op de rol van de IT auditor. Afhankelijk van de uitkomsten van deze scriptie kunnen normenkaders voor

informatiebeveiliging worden aangevuld en/of gespecificeerd met relevante

beheersmaatregelen. Voor het gedetailleerde onderzoeksmodel van deze scriptie wordt verwezen naar paragraaf 3.1.

1.4 Werkwijze en opbouw scriptie

In het volgende hoofdstuk is de literatuurstudie beschreven. Hierin is aandacht voor de

huidige literatuur aangaande internetdreiging, het creëren van een informatieveilige omgeving en het menselijk gedrag. Vervolgens wordt in het derde hoofdstuk uiteengezet hoe de

onderzoeksvraag en deelvragen worden beantwoord met de resultaten van een online enquête onder medewerkers van de Telegraaf Media Groep (TMG) en diverse andere mediaorganisaties. Voor het analyseren van de resultaten wordt het programma SPSS gebruikt. In het vierde hoofdstuk worden de resultaten van deze scriptie weergegeven. Op basis van de resultaten wordt in het vijfde hoofdstuk de hoofdvraag beantwoord.

Hoofdstuk 2 Theoretisch kader

In dit tweede hoofdstuk wordt allereerst ingegaan op de dreigingen van online ondernemen en de gevolgen wanneer deze dreigingen zich daadwerkelijk manifesteren. Daarna volgt een paragraaf over de wijze waarop organisaties een informatieveilige omgeving kunnen creëren om de gevolgen van dreigingen te reduceren en de belangrijke rol van medewerkers hierbij. Vervolgens wordt ingegaan op de reeds bestaande onderzoeken naar de motivatie van medewerkers in relatie tot informatiebeveiliging. Tot slot eindigt dit hoofdstuk met de uitwerking van Ifinedo’s onderzoek (2011) en de ‘protection motivation theory’, hetgeen uitgangspunten zijn voor deze scriptie.

2.1 De dreigingen van online ondernemen

Met de ontwikkeling van het World Wide Web heeft het online ondernemen een snelle ontwikkeling doorgemaakt. In de 21ste _{eeuw vinden transacties steeds meer online plaats. Het} internet wordt gebruikt voor zowel business to consumer (B2C) als business-to-business (B2B) transacties (Smith et al. 2010). Daarnaast wordt het internet ingezet voor

marketingactiviteiten. Bovendien zijn er steeds meer ondernemingen met enkel een website in plaats van een fysiek bezoekerslocatie (bijv. Bol.com en Zalando). Waar vroeger het internet werd gezien als een te risicovolle plek om te ondernemen, is dit vandaag de dag niet meer weg te denken uit onze westerse maatschappij. Dit betekent ook een locatieverschuiving voor criminelen. Daar waar zij voorheen de focus legden op inbraak en diefstal van fysieke

goederen in hun lokale omgeving, verplaatst dit zich steeds meer richting het internet (Anderson et al. 2013). De criminelen proberen systemen via het internet te infiltreren en te misbruiken. Soms enkel voor het plezier worden door criminelen de computersystemen van bedrijven gehackt. Bijvoorbeeld om toegang tot het systeem te krijgen en mogelijk data te verwijderen of te veranderen. Met soms zeer grote gevolgen voor de betreffende bedrijven (Smith et al. 2010).

Internetcriminaliteit wordt gezien als de nummer 1 dreiging, boven georganiseerde criminaliteit en fraude in diverse Europese landen, zoals Frankrijk, Nederland en het Verenigd Koninkrijk (Armin et al. 2015). In het Internet Organised Crime Threat Assessment (2017) van Europol wordt gesteld dat internetcriminaliteit niet alleen financiële gevolgen heeft, maar zelfs politieke systemen aan het wankelen kan brengen (neem bijvoorbeeld de meest recente Amerikaanse verkiezing). Daarnaast zijn er voorbeelden van dreigingen vanuit overheden. Bijvoorbeeld de Honker Union of China (een hackersgroep uit China) welke verantwoordelijk

is voor digitale aanvallen tegen Amerika en Oost-Azië, zij hebben daarnaast erkend connecties te hebben met de Chinese overheid (Europol, 2017).

Hoewel regelmatig aandacht wordt gegeven aan hackers die van buiten de organisatie systemen infiltreren, concluderen Riem (2001) en Dell Secureworks (2016) daarentegen dat de belangrijkste dreiging de eigen medewerkers betreffen. Andere schrijvers stellen dat de dreiging van zowel eigen medewerkers als externen afkomstig is (Ifinedo, 2011; Herath and Rao, 2009, Hu et al. 2012, Pahnila et al.2007, Crossler et al. 2012). Op basis hiervan kan geconcludeerd worden dat het dreigingslandschap voor organisaties niet beperkt is tot één doelgroep. Volgens Yapp (2001) zijn er vijf basisdreigingen voor bedrijven die gebruik maken van het internet:

1. Natuurrampen

2. Oneerlijke medewerkers 3. Ontevreden medewerkers 4. Externe personen

5. Onbewuste fouten

Het Infosec Institute keek in 2015 naar de bron van inbreuken op ICT-systemen, zij kwamen tot onderstaande verdeling:

Figuur 2: Top breach records by source (Infosec institute, 2015).

Bij de resultaten van Yapp (2001) en het Infosec Institute dient een kanttekening geplaatst te worden. Externe hackers verkrijgen veelal toegang tot de computersystemen van organisaties via de activiteiten van interne medewerkers. Dit wordt bijvoorbeeld veroorzaakt doordat medewerkers hun laptop of telefoon onbeheerd achterlaten, wachtwoorden bij hun laptop bewaren of op onbekende bijlages en links klikken (vanuit phishing e-mails). Voor deze handelingen kunnen geen technische maatregelen worden getroffen en kan redelijk

gemakkelijk inbreuk op de bedrijfssystemen plaatsvinden. Uiteraard met mogelijk grote gevolgen voor de betreffende organisaties.

2.2 De (financiële) gevolgen van de bedreigingen voor organisaties

Over de gevolgen van internetdreigingen is veel literatuur beschikbaar (Cardenas et al. 2009; Afroz et al. 2013; Europol, Smith et al. 2010). Het merendeel van deze literatuur is gericht op het berekenen van de financiële gevolgen voor organisaties (Smith et al., 2010, Levi, 2012). De onderwerpen ‘cybersecurity’ en ‘datalekken’ komen daarnaast regelmatig in het nieuws, nadat bedrijven, instanties en overheden overal ter wereld slachtoffer worden van

internetcriminelen. De gevolgen van bedreigingen voor organisaties kunnen grofweg in twee categorieën worden ingedeeld: indirecte en directe gevolgen.

Bij directe gevolgen is sprake van directe schade aan rechtstreeks getroffenen, zoals personen, apparatuur, programmatuur, gegevensverzamelingen en gebouwen (Spruit, van Houten, Wolters, 2015). Voorbeelden hiervan zijn: gestolen computermiddelen, verwijderde of gegijzelde bestanden (zoals bij Wannacry), wijzigingen aan applicaties en verlies van bedrijfsgegevens (financiële informatie, klantdata, etc.).

De indirecte gevolgen van de dreigingen zijn onder andere: ernstige (fatale) verstoring van bedrijfsprocessen, het overtreden van wetten (zoals de wet Bescherming

Persoonsgegevens), een slechtere bedrijfsreputatie, het verlies van marktwaarde doordat financiële analisten en kredietverleners organisaties een lagere waarde toekennen en het verlies van klanten dat vanwege angst voor hun digitale veiligheid minder of geen online aankopen doet.

De hiervoor beschreven directe en indirecte gevolgen zijn mogelijk niet compleet omdat organisaties zich soms onbewust zijn van een inbreuk op hun systemen en daarmee onbewust van de gevolgen die zij daarvan hebben. Bovendien verschillen de gevolgen per type internetcriminaliteit. Om de directe en indirecte gevolgen zo volledig mogelijk te begrijpen en onderling (tussen bedrijven) te kunnen benchmarken, dienen naar mijn mening per type internetcriminaliteit afspraken gemaakt te worden over de wijze waarop de gevolgen worden berekend. Zie bijlage 1 voor een opsomming van typen internetcriminaliteit.

Door diverse onderzoekers worden de directe en indirecte gevolgen vertaald naar financiële kosten. Levi (2012) stelt dat mensen geconditioneerd zijn om hoge bedragen te noemen, zodat informatiebeveiliging veel aandacht krijgt. Anders verwoord, hoe hoger de

bedragen hoe waarschijnlijker dat informatiebeveiliging aandacht krijgt van (hoger) management, bestuursleden en in strategische risicoanalyses worden opgenomen.

De organisatie Kaspersky (gericht op internetbeveiliging) heeft de gemiddelde kosten voor een inbreuk in een organisatiesysteem voor 2017 geschat op $1.3 miljoen voor grote organisaties en $117.000 voor kleinere organisaties. Dit zijn echter enkel schattingen voor Noord-Amerikaanse organisaties. Zij specificeerden de kosten voor onderstaande categorieën:

1. Verlies van fysieke media en fysieke media met data ($2.8 miljoen)

2. Incidenten inzake de IT-infrastructuur, gehost door een derde partij ($2.2 miljoen) 3. Elektronisch verlies van data ($1.9 miljoen)

4. Oneigenlijk gebruik van IT-faciliteiten door medewerkers ($1.1 miljoen) 5. Virussen en malware ($519.000)

Mogelijk beoogt de organisatie Kaspersky met deze (hoge) bedragen hun securityproducten te promoten (zoals virsusscanners). Het Ponemon instituut voert daarentegen onafhankelijk onderzoek uit naar privacy, bescherming van data en informatiebeveiligingsbeleid. Zij publiceren jaarlijks over de diverse onderzoeken die zij uitvoeren. Tijdens een van hun onderzoeken hebben zij de kosten per bevolkingshoofd berekend, als gevolg van een datalek (zie figuur 3 op de volgende pagina). Hieruit komt naar voren dat met name Canada, de Verenigde Staten, Duitsland en het Midden-Oosten te maken hebben met hoge kosten van een datalek. De redenen hiervoor hebben te maken met de type aanvallen dat deze landen

ondervinden (een DDOS aanval brengt met name tijdelijke kosten met zich mee, terwijl verlies van data grotere en langdurige kosten met zich mee brengt) en de mate waarin organisaties reeds ‘cyber resilient’ zijn. ‘Cyber resilient’ heeft te maken met de mate waarin organisaties zich kunnen weren tegen internetcriminaliteit. Hoe sneller een aanval wordt herkend en gestopt, hoe groter de kans is dat de (financiële) impact beperkt blijft. Tot slot hebben de onderlinge verschillen per land ook te maken met het type economie in deze landen (kapitaalintensief versus kenniseconomie).

In aanvulling op het Ponemon instituut hebben Armin et al. (2015) een schatting van de internetcriminaliteit kosten gemaakt voor: Duitsland (2.6 biljoen euro per jaar), Polen (377 miljoen euro per jaar) en het Verenigd Koninkrijk (2 miljoen euro per jaar). Deloitte schatte in 2016 de kosten voor Nederland op 10 miljard euro per jaar. Ruim 40% van deze kosten kwam voort uit onderbrekingen van de operationele continuïteit van organisaties (bijv.

onbereikbaarheid van de website). Kortom, ook binnen Europa lopen de geschatte kosten van internetcriminaliteit zeer uiteen.

De voorgaande alinea’s laten zien dat het een uitdaging is om de kosten van internetcriminaliteit eenduidig te berekenen. Toch is dit belangrijk alvorens

informatiebeveiligingsmaatregelen te implementeren. Wat vrijwel alle organisaties gemeen hebben, is dat zij bij het realiseren van hun strategische doelstellingen verantwoord willen omgaan met de risico’s die daarbij optreden (Spruit, van Houten, Wolters, 2015).

Informatiebeveiligingsrisico’s zijn daar onderdeel van. De doelstellingen van

risicomanagement is deze risico’s tot een aanvaardbaar niveau terug te brengen. Organisaties kunnen ervoor kiezen om zo laag mogelijke risico’s te lopen; dat wil zeggen dat men zo veel in beveiliging investeert als redelijkerwijze mogelijk is (risicomijdend genoemd). Als

organisaties ervoor kiezen om de kosten voor de beveiligingsmaatregelen vergelijkbaar te laten zijn met kosten die gemoeid zouden zijn met de schade waartegen men beveiligt, wordt dit risiconeutraal genoemd. Als organisaties onder het motto ‘wie niet waagt, die niet wint’ meer risico’s durven te accepteren dan beheersmaatregelen worden genomen, dan wordt risicodragend gewerkt (Overbeek, 2005). Een kosten-batenanalyse voorziet in een monetair impactoverzicht van risico's en helpt bij het vaststellen van de kosten voor bescherming van

hetgeen belangrijk is. Kortom, het is een legitieme vraag om allereerst de (monetaire) gevolgen van internetcriminaliteit te bepalen. In de volgende paragraaf wordt beschreven op welke wijze organisaties een informatieveilige omgeving kunnen creëren om de gevolgen te beperken.

2.3 Het inrichten van een informatieveilige omgeving

Uit de voorgaande twee paragrafen is duidelijk geworden dat organisaties te maken hebben met internetcriminaliteit en dat dit (omvangrijke) kosten met zich mee kan brengen. Om deze reden richten steeds meer organisaties zich op het organiseren van een informatieveilige omgeving, ook wel het ‘cyberweerbaar maken’ van organisaties genoemd.

Met de jaren zijn diverse internationale handvatten gepubliceerd om een

informatieveilige omgeving te creëren. Enkele voorbeelden hiervan zijn: ISO 27001 (de code voor informatiebeveiliging), Cobit 5 voor Security (biedt richtlijnen voor het uitvoeren van belangrijke informatiebeveiliging gerelateerde activiteiten), ISF Standard of Good Practice for Information Security en het Cybersecurity Framework van NIST (Amerikaanse instituut gericht op standaarden en technologie). Daarnaast zijn er ook diverse consultancy bedrijven en non-profit organisaties die handvatten bieden bij het inrichten van een informatieveilige omgeving.

Deze handvatten hebben in overeenstemming dat zij uitgangspunten hebben om een stelsel van informatiebeveiligingsmaatregelen op te stellen, waarmee organisaties een informatieveilige omgeving kunnen creëren. Deze maatregelen zijn altijd gericht op een of meerdere pijlers van informatiebeveiliging: mensen, processen en/of techniek (Shostack, 2014).

Voorbeelden van technische maatregelen zijn: cryptografie, antivirussystemen en firewalls. Deze technische maatregelen dwingen beveiligingsmaatregelen af (zoals automatische updates en versleuteling van data). Nadat deze technische maatregelen zijn ingesteld, is geen of zeer beperkte menselijke handeling nog noodzakelijk. Incidentprocedures,

datalekprocessen en bedrijfscontinuiteitsplannen zijn voorbeelden van procesgerichte maatregelen. Hierin is bijvoorbeeld opgenomen welke handelingen dienen plaats te vinden tijdens een calamiteit. Deze procesgerichte maatregelen worden idealiter na het initieel opstellen jaarlijks gereviewd en geactualiseerd. Hierin schrijft de organisatie voor hoe medewerkers dienen te werken (mensgerichte maatregelen). Belangrijk hierbij is dat medewerkers bewust worden gemaakt van de aanwezigheid van de voorgeschreven werkwijzen, zodat zij weten hoe en waarom de werkwijzen zijn opgesteld. Met de communicatie hierover beogen organisaties dat medewerkers de

informatiebeveiligingsmaatregelen toepassen. Andere voorbeelden van op mensen gerichte beveiligingsmaatregelen zijn: het niet opschrijven van wachtwoorden op papier, geen phishing e-mails te openen en geen ICT-apparatuur onbeheerd te laten. De focus op slechts een van de drie type maatregelen (technologie, proces, mens) is onvoldoende om een informatieveilige omgeving te creëren. Niettemin, voor de scope van deze scriptie ligt de volledige focus op de mensgerichte informatiebeveiligingsmaatregelen. Dit zijn maatregelen waarop mensen enkel zelf invloed hebben en niet afgedwongen kunnen worden door de techniek. Het monitoren van de naleving op persoonsniveau is kostbaar en onpraktisch.

Bijvoorbeeld, via netwerkmonitoring is het mogelijk om het onlinegedrag van medewerkers te monitoren en te beperken. Echter, gedrag zoals het opschrijven van wachtwoorden op post-its of het delen van wachtwoorden met derden, kan niet direct worden gemonitord. Herath en Rao (2009) stellen dat medewerkers zelden processen en procedures volgen omdat deze veelal worden gezien als algemene richtlijnen in plaats van harde eisen. Doordat processen en

procedures beperkt worden gevolgd, is het voor informatiebeveiligingsteams een uitdaging om opgestelde en goedgekeurde werkwijzen daadwerkelijk uitgevoerd te zien worden. Steeds meer onderzoek richt zich daarom op het gedrag van medewerkers, om zo de kans te

vergroten dat werkwijzen daadwerkelijk worden gevolgd. Deze scriptie sluit hierop aan, omdat de focus ligt op het begrijpen van de psychologische inschattingen van gebruikers aangaande (menselijke) informatiebeveiligingsmaatregelingen.

Samenvattend, het creëren van een informatieveilige omgeving om dreigingen en gevolgen van internetcriminaliteit te verkleinen kan middels diverse handvatten plaatsvinden.

maatregelen. Technische maatregelen zijn af te dwingen. De naleving van processen en het volgen van een werkinstructie door medewerkers minder tot niet. Steeds meer onderzoek over informatiebeveiliging richt zich daarom op medewerkers in het creëren van een

informatieveilige omgeving, zo ook deze scriptie.

2.4 Medewerkers het belangrijkste sluitstuk

In de voorgaande paragraaf is toegelicht dat de naleving van technische maatregelen

gemakkelijker is te af te dwingen en te monitoren dan proces en mensgerichte maatregelen. Er wordt daarom steeds meer onderzoek gedaan naar de mensgerichte beheersmaatregelen. De reden hiervoor is dat mensen regelmatig de veroorzaker zijn van diverse

beveiligingsincidenten (Richardson, 2011; Baker et al., 2010; Anderson et al., 2013; Ifinedo, 2011). Bijvoorbeeld virussen worden geactiveerd omdat medewerkers deze openen vanuit hun e-mail. Deze informatiebeveiligingsincidenten vinden plaats als gevolg van het niet naleven van informatiebeveiligingsprocedures (het toch openen van e-mails van onbekende afzenders en het openen van onbekende bijlagen). Het wordt voor medewerkers steeds moeilijker om phishing e-mails te onderscheiden van echte e-mails (minder spelfouten, gericht op de unieke ontvanger en gebruik van bekende bedrijfslogo’s). Hoewel de

percentages van laatstgenoemde onderzoekers enkele jaren zijn verouderd, blijkt uit recent onderzoek bij de Telegraaf Media Groep dat deze cijfers ook in 2017 representatief zijn. Tijdens de eerste awareness campagne over phishing werd door het IT-riskteam een valse phishing e-mail verstuurd naar medewerkers. Ondanks de interne aankondiging van deze actie, opende 44% van de medewerkers de e-mail én bijlage. Voor het tegenhouden van phishing e-mails zijn beperkte technische maatregelen beschikbaar en dient vooral gesteund te worden op de oplettendheid van de medewerkers. Dit is slechts een enkel voorbeeld waarbij medewerkers het belangrijkste sluitstuk zijn in het creëren van een informatieveilige

bedrijfsomgeving.

Naar het beïnvloeden van menselijk gedrag in relatie tot informatiebeveiliging is divers onderzoek verricht. Al in 2005 hebben Herath en Rao onderzoek gedaan naar de invloed van straf, sociale druk en de verwachte opbrengst op het besluitmakingsproces, om al dan niet informatiebeveiligingsbeleid na te leven. Hun onderzoeksresultaten wijzen erop dat naleving niet wordt beïnvloed door de mogelijkheid om gestraft te worden. Dit terwijl de zekerheid om betrapt te worden volgens de onderzoekers wel van invloed is. Het

onderzoekers vervolgen hun artikel met de notie dat wanneer medewerkers compliant gedrag beschouwen als gunstig voor de organisatie, dit ervoor zorgt dat zij meer geneigd zijn om het informatiebeveiligingsbeleid te volgen. In hun onderzoek is niet gespecificeerd waaruit het informatiebeveiligingsbeleid bestaat. Het is daarom onbekend of onderzoek is verricht naar technische, procesgerichte en/of mensgerichte beveiligingsmaatregelen.

Het onderzoek van Phanila, Siponen en Mahmood (2007) is gedetailleerder en heeft diverse benaderingen onderzocht, gericht op het vergroten van de naleving. Zij concluderen dat de kwaliteit van informatie, houding, inschatting van medewerkers en faciliterende condities, een positieve invloed hebben op de naleving van informatiebeveiligingsbeleid. De resultaten van hun onderzoek zijn echter uitsluitend gebaseerd op 245 respondenten bij een Fins bedrijf. Kortom, de resultaten kunnen sterk beïnvloed zijn door de algemene Finse cultuur. Bovendien wordt in hun onderzoek niet gespecificeerd waaruit het

informatiebeveiligingsbeleid bestaat. Bij dit onderzoek is onbekend naar welke type

mensgerichte beveiligingsmaatregelen onderzoek is verricht (denk bijv. aan wachtwoorden, ICT-middelen beheren etc.).

In recenter onderzoek over het gedrag van medewerkers in de context van

informatiebeveiliging, maken Crossler et al. (2012) onderscheid tussen afwijkend gedrag en wangedrag van medewerkers. Voorbeelden van afwijkend gedrag kunnen zijn: het

opschrijven van wachtwoorden op papier, niet-werk gerelateerde website bezoeken, ICT-apparatuur onbeheerd achterlaten, vertrouwelijke data op onveilige servers plaatsen en het achteloos klikken op phishing-links. Voorbeelden van wangedrag kunnen zijn: sabotage, stelen en bedrijfsspionage (Guo et al. 2011, Santon et al. 2005, Williamson, 2013). Het onderzoek van Crossler et al. maakt daarmee onderscheid in type gedrag van medewerkers en stelt dat acties die naleving beogen hierop aangepast dienen te worden. In het onderzoek is echter niet geëxpliceerd waaruit wangedrag en nalevend gedrag bestaat. Het onderscheid dat Crossler et al. (2012) maken naar het type gedrag, kan ervoor zorgen dat aanbevelingen die gericht zijn op het vergroten van de naleving, doelgerichter en effectiever zijn. Dit ligt in het verlengde van mijn scriptie, de psychologische inschattingen over informatiebeveiliging begrijpen om zodoende een informatieveilige omgeving te creëren.

In de aanwezige literatuur rondom menselijk gedrag en informatiebeveiliging is uiteraard aandacht voor de rol van het management. Voor het onderzoek van Hu et al. (2012) is een onderzoeksmodel ontwikkeld met daarin speciaal aandacht voor de rol van het

medewerkers om informatiebeveiligingsbeleid te volgen. Het advies dat hieruit volgt is om naleving van het beleid via management in de organisatie te brengen. In het onderzoek is echter geen onderscheid gemaakt naar technisch, procesgerichte of mensgerichte

informatiebeveiligingsmaatregelen.

Bovenstaand is geen uitputtend overzicht van alle beschikbare literatuur aangaande menselijke naleving van informatiebeveiligingsbeleid. Echter, het representeert de

verscheidenheid aan onderzoeken, waarbij de focus ligt op de menselijke betrokkenheid. De afhankelijke variabele, te weten naleving van informatiebeveiligingsonderzoek, wordt in het bestaande onderzoek niet of nauwelijks gespecificeerd. In een van de onderzoeken bleek het construct informatiebeveiligingsbeleid enkel gericht te zijn op het gebruik van

thuiscomputers. Hiermee is het onbekend of bovengenoemde resultaten van toepassing zijn op andere informatiebeveiligingsthema’s, zoals het opschrijven van wachtwoorden en het

beheren van ICT-middelen. Mijns inziens representeert dit een leemte in de huidige beschikbare literatuur. In de praktijk worden medewerkers gemotiveerd om

informatiebeveiligingsbeleid, door middel van een verscheidenheid aan

informatiebeveiligingsmaatregelen, na te leven. Met deze scriptie wordt de leemte in de huidige literatuur verkleind, door onderzoek te doen naar zeer specifieke mensgerichte beveiligingsmaatregelen: het niet opschrijven van wachtwoorden, het niet openen van onbekende links/bijlages uit de e-mail en het niet onbeheerd laten van ICT-middelen.

De reden voor deze drie onderwerpen is tweedelig. Allereerst betreffen dit

mensgerichte beveiligingsmaatregelen die niet afhankelijk zijn van een bepaald type bedrijf (immers, dit zijn belangrijke onderwerpen voor allerlei bedrijven die de kans op

beveiligingsincidenten willen verkleinen). Ten tweede zijn dit mensgerichte

beveiligingsmaatregelen waaraan gebruikers op diverse wijzen een eigen invulling kunnen geven. Het niet openen van onbekende links/bijlages kan bijvoorbeeld door: het verwijderen van de e-mail, de afzender te controleren en/of het contacteren van de ICT-afdeling. Of neem bijvoorbeeld het niet onbeheerd laten van ICT-middelen, dit kan door: specifieke

computersloten te gebruiken en/of geen ICT-middelen van de werkplek te verwijderen (niet mee naar huis meenemen). Doordat gebruikers zich diverse handelswijzen kunnen inbeelden, zijn zij in staat om de enquêtevragen over deze onderwerpen (zie hiervoor hoofdstuk drie) te beantwoorden.

2.5 Psychologische inschattingen van gebruikers

In de voorgaande paragraaf is de huidige literatuur aangaande menselijk gedrag in relatie tot informatiebeveiliging toegelicht. De initiële basis voor mijn scriptie betreft het onderzoek van Infinedo (2011). Zijn onderzoek bevat meerdere erkende psychologische theorieën. Een van deze theorieën is de ‘protection motivation theory’, waarmee wordt bepaald welke

psychologische inschattingen een rol spelen bij informatiebeveiliging. De reden waarom het onderzoek van Ifinedo (2011) als basis dient, is omdat in zijn onderzoek deze theorie al geoperationaliseerd is naar een vragenlijst over informatiebeveiliging. Daarnaast is zijn vragenlijst gevalideerd door diverse wetenschappers. Hiermee bestaat meer zekerheid over de validiteit van de vragenlijst (zie voor meer details hoofdstuk drie), dan wanneer deze volledig nieuw wordt opgebouwd. De ‘protection motivation theory’ is door Rogers in 1983

ontwikkeld en door de jaren heen erkend als een van de meest krachtige theorieën voor het voorspellen van menselijke intenties om beschermende maatregelen te nemen (Anderson en Agarwal, 2010). De theorie bestaat uit twee onderdelen: a) de ‘threat appraisal’ en b) de ‘coping appraisal’.

De ‘threat appraisal’ gaat over hoe bedreigd iemand zich voelt door de dreiging. De waargenomen kwetsbaarheid en waargenomen ernst zijn de twee thema’s van overtuigingen waaruit persoonlijke dreigingsbeoordelingen worden afgeleid (Gray, 2007). Wanneer individuen een dreiging waarnemen passen zij veelal hun gedrag aan in verhouding tot de hoeveelheid risico en de mate waarin zij bereid zijn het risico te accepteren (Milne et al. 2000; Workman et al. 2008). Bijvoorbeeld, hoe beoordeelt iemand voor zichzelf de kwetsbaarheid dat zijn/haar laptop wordt gestolen en hoe ernstig vindt deze persoon dat? Het kan zijn dat de laptop al oud is, aan vervanging toe is en het daarom niet erg is dat deze wordt gestolen. Bij dreigingsinschattingen evalueert het menselijk brein de verschillende factoren die mogelijk van invloed zijn op iemands betrokkenheid bij een dreiging (zoals een veilige omgeving, geen eerder ervaring met diefstal etc.). Voorgaand onderzoek heeft geconcludeerd dat wanneer individuen de ernst van een dreiging laag inschatten, zij minder geneigd zijn om

beveiligingsmaatregelen te treffen (Herath and Rao, 2009a; Bulgurcu et al. 2010; Pahnila et al. 2007) en vice versa.

De ‘coping appraisal’ gaat over de verschillende factoren die mensen evalueren in relatie tot de aanbevolen preventieve maatregelen (bijv. het niet onbeheerd laten van een laptop). Anders verwoord, hoe gaan mensen om met de waargenomen ernst en kwetsbaarheid van een dreiging. Hierbij spelen drie verschillende factoren een rol. Allereerst

zelfdoeltreffendheid, dit gaat over de overtuiging dat mensen over de vereiste vermogens (capaciteit en competenties) beschikken om aanbevolen gedrag uit te voeren. Reeds in 1995 hebben Compeau en Higgings geconcludeerd dat mensen met een hogere mate van

zelfdoeltreffendheid meer geneigd zijn om informatiebeveiligingsmaatregelen te treffen. De tweede evaluatie is reactieve uitwerking. Dit betreft de overtuiging dat het uitvoeren van bepaald gedrag leidt tot vermindering van de dreiging. De laatste evaluatie betreft de reactieve kosten, dit gaat over de kosten die verbonden zijn aan de uitvoering van aanbevolen gedrag. Volgens Pahnila et al. (2007) kunnen responskosten bestaan uit: monetaire onkosten,

tijdgebrek, verlegenheid of andere negatieve uitwerkingen die het gevolg zijn van individueel gedrag. Workman et al. (2008) stellen dat mensen terughoudend zijn om gedrag te tonen dat veel inspanning vereist (qua tijd, moeite en geld) en vice versa. Als een persoon ervan

overtuigd is dat de nadelen van het niet onbeheerd laten van ICT-apparatuur lager zijn dan de voordelen die hij/zij ondervindt van het achter slot en grendel opbergen, zorgt dit ervoor dat de aanbevelingen (achter slot en grendel) niet wordt gevolgd.

Figuur 5: Onderdelen van de ‘protection motivation theory (Rogers, 1983).

Voorgaand onderzoek waarbij gebruik is gemaakt van de ‘protection motivation theory’, wijst erop dat dat de theorie bruikbaar is bij het voorspellen van gedrag in relatie tot

computerveiligheid zowel thuis als op het werk (Lee en Larsen, 2009; Anderson en Agarwal, 2010, Herath en Rao, 2009; Pahnila et al. 2007). Daarnaast wordt deze theorie regelmatig gebruikt voor gezondheidskwesties (zoals roken) en het verbruik van energie en water (Aronson, Wilson & Akert, 2007). In de marketing wordt deze theorie al vele jaren gebruikt om geschikte producten te ontwikkelen, afhankelijk van de complexiteit van de campagne kan gedacht worden aan simpele flyers of educatieve lessen (Tunner, Day & Crask, 1989).

Threat

appraisal

Coping

appraisal

In deze scriptie wordt voor alle vijf de onderdelen uit de ‘protection motivation theory’ onderzocht of een verband bestaat tussen de drie thema’s van informatiebeveiliging (het niet opschrijven van wachtwoorden, het niet openen van onbekende links/bijlages en het niet onbeheerd laten van ICT-apparatuur). Het is daarmee een exploratief onderzoek (zie hiervoor hoofdstuk 3) waarmee mogelijke verbanden worden ontdekt.

Hoofdstuk 3 Methode

Dit hoofdstuk beschrijft op welke wijze het onderzoek is uitgevoerd. Allereerst wordt het ondezoeksmodel toegelicht. Daarna volgt een uitleg over het onderzoeksdesign, de operationalisatie van de ‘protection motivation theory’, informatie over de validiteit en betrouwbaarheid van het onderzoek, informatie over de respondenten en wijze van

dataverzameling. Tot slot eindigt dit hoofdstuk met een uitleg over de data-analyse in SPSS.

3.1 Onderzoeksmodel

De leemte binnen de huidige beschikbare literatuur over mensgerichte beheersmaatregelen van informatiebeveiliging in combinatie met de ‘protection motivation theory’ hebben geleid tot onderstaand onderzoeksmodel (weergegeven in figuur 6). Het onderzoeksmodel is

opgebouwd volgens de richtlijnen van Verschuren en Doorewaard (1998). Het betreft een schematische weergave van het doel van het onderzoek, de stappen om dit doel te bereiken en de psychologische theorie.

Figuur 6: Onderzoeksmodel

In hoofdstuk twee is de literatuurstudie aangaande IT-dreigingen en kosten beschreven, evenals de creatie van een informatieveilige omgeving en het belang van de menselijke factor daarin. De theorie die in deze scriptie wordt toegepast betreft de ‘protection motivation theory’ bestaande uit vijf diverse onderwerpen, waarbij gekeken wordt in hoeverre deze een rol spelen bij de psychologische inschatting over informatiebeveiliging. Middels een enquete

bij diverse mediaorganisaties (zie hiervoor paragraaf 3.5) worden vragen gesteld over de theorie in relatie tot informatiebeveiliging. In hoofdstuk vier volgt de analyse voor de twee groepen: TMG (Telegraaf Media Groep) en ‘andere mediaorganisaties’ (afgekort tot: AM). Tot slot wordt in hoofdstuk vijf de conclusie van dit onderzoek gepresenteerd evenals aanbevelingen voor vervolgonderzoek en implicaties voor de rol van de IT-auditor.

3.2 Onderzoeksdesign

Het onderzoeksdesign van deze scriptie is zowel exploratief als beschrijvend. Saunders, Lewis & Thornhill (2012) noemen dit ook wel een ‘descripto-explanatory’ onderzoek. De reden hiervoor is dat in deze scriptie onderzocht wordt welke psychologische inschattingen een rol spelen bij informatiebeveiliging. Het gaat hierbij niet om het onderzoeken van een causaal verband. In tegenstelling, deze scriptie heeft als doel om te begrijpen welke psychologische inschattingen een rol spelen bij drie verschillende mensgerichte informatiebeveiligingsmaatregelen.

Zoals zichtbaar in het onderzoeksmodel (figuur 6), maakt deze scriptie gebruik van een enquête. Het is hiermee een kwantitatief onderzoek. ‘Kwantitatief’ wordt veelal gezien als een synoniem voor dataverzameling -en analysetechnieken dat numerieke data genereert. Kwantitatief onderzoek wordt daarnaast geassocieerd met deductief onderzoek. Hiermee wordt bedoeld dat data wordt gebruikt om hypothesen te testen (Saunders, Lewis & Thornhill, 2012). Deze scriptie betreft echter een exploratief onderzoek waarin geen hypothesen worden getest. Daarentegen richt de data-analyse zich op het verzamelen van informatie over de psychologische inschattingen rondom de ‘threat appraisal’ en ‘coping appraisal’ in relatie tot informatiebeveiliging (het beschrijvende karakter van dit onderzoek).

De enquête is een web gebaseerde vragenlijst (via surveymonkey.com). De

onderzoeksmethodiek enquête heeft als voordeel dat op een gestandaardiseerde wijze grote hoeveelheden data verzameld en vergeleken kunnen worden. Daarnaast is gekozen voor dit instrument omdat een enquête geschikt is om houdingen vast te kunnen stellen, dat aansluit bij de onderzoeksvragen. Tot slot is de enquête een snelle en effectieve methode om binnen een beperkt tijdsbestek veel data te verzamelen. Het gebruik van een enquête heeft ook nadelen, bijvoorbeeld sociaal wenselijke antwoorden van respondenten en de mogelijke aanwezigheid van verstorende externe variabelen waarvoor geen corrigerende maatregelen zijn genomen. Voorafgaand aan het afnemen van de online enquête is een pilotstudy

personen die deel uitmaakten van de pilotstudy zijn niet als respondenten opgenomen in de onderzoeksresultaten.

3.3 Operationalisatie

In deze studie wordt de ‘protection motivation theory’ onderzocht in relatie tot

informatiebeveiliging. Deze theorie is uitvoerig beschreven in paragraaf 2.5. De theorie bestaat uit vijf onderdelen: waargenomen kwetsbaarheid, waargenomen ernst, reactieve uitwerking, reactieve kosten en zelfdoeltreffendheid. De operationalisatie van deze

onderdelen is al door diverse wetenschappers uitgevoerd. Bijvoorbeeld zelfdoeltreffendheid door Compeau en Higgins (1995), Woon en Kankanhali (2007) en Workman et al. (2008). De waargenomen ernst, reactieve uitwerking en reactieve kosten zijn geoperationaliseerd door Milne et al. (2000), Woon et al. (2005) en Workman et al. (2008).

Expliciet is in het onderzoek de waargenomen ernst geoperationaliseerd naar het belang van bescherming, de bedreigingen voor de beveiliging en verlies van gegevens. De waargenomen kwetsbaarheid is geoperationaliseerd naar diverse vormen van kwetsbaarheid,

slachtofferschap, gevaar en de kans op beschadiging van het informatiesysteem. Reactieve kosten is geoperationaliseerd naar (overhead)kosten, tijd, moeilijkheidsgraad en ongemak om beveiligingsmaatregelen te implementeren. De reactieve uitwerking is geoperationaliseerd naar de inspanningen om veiligheid te borgen en het nemen van preventieve maatregelen. Tot slot is zelfdoeltreffendheid geoperationaliseerd naar het beschikken over de nodige

vaardigheden, expertise en het vermogen om zichzelf te beschermen. De vragenlijst uit het onderzoek van Ifinedo (2011) maakt gebruik van deze operationalisaties. In het

onderzoeksartikel van Ifinedo (2011), is zijn vragenlijst inclusief antwoordmogelijkheden opgenomen in Annex A. De vragenlijst is voor deze scriptie allereerst vertaald van het Engels naar het Nederlands. Vervolgens is de vertaling gecontroleerd door een docente Engels. De definitieve vragenlijst is ingedeeld naar de vijf onderwerpen van de ‘protection motivation theory’, zie hiervoor bijlage 2.

Om de resultaten van Ifinedo (2011) zo objectief mogelijk te kunnen vergelijken met de resultaten van deze scriptie, heeft slechts op 1 punt wijziging van de operationalisatie plaatsgevonden. In de vragenlijst van Ifinedo (2011), wordt respondenten gevraagd naar “adhere to IS policy”. Dit betekent dat in het algemeen wordt gevraagd aan respondenten of “zij zich houden aan het informatiebeveiligingsbeleid”. Aangezien het doel van deze scriptie is om informatiebeveiliging te specificeren naar: het niet opschrijven van wachtwoorden op

papier, het niet onbeheerd laten van ICT-apparatuur (laptop, telefoon, tablet) en het niet openen van onbekende links en bijlages, zijn de algemene vragen uit het onderzoek van Ifininedo (2011) veranderd. Voor de acht originele vragen waarin verwezen wordt naar “IS Policy” is een splitsing gemaakt naar de drie onderdelen. Dit betekent dat de acht vragen zijn vervangen voor 24 specifieke vragen (8x3). Dit heeft geresulteerd in een enquête van 49 vragen, elk met een zeven punt Likertschaal. Dezelfde 7-puntlikertschaal is eveneens door Ifinedo (2011) gehanteerd. Voor de vragenlijst en Likertschaal wordt verwezen naar bijlage 2.

3.4. Validiteit en betrouwbaarheid

Interne validiteit in relatie tot het instrument enquête, verwijst naar de mogelijkheid van de enquête om te meten wat daadwerkelijk gemeten dient te worden. Bijvoorbeeld een extern voorval (diefstal van een telefoon) kan ervoor zorgen dat respondenten meer geneigd zijn om hun antwoorden te projecteren op dit ene voorval (en meet daarmee vooral dit ene voorval). Sociaal wenselijke antwoorden zijn eveneens voorbeelden van een situatie die de interne validiteit in gevaar brengt. De enquête meet in dat geval de ‘ideale gedragsintentie’ van de respondenten in plaats van de ‘echte gedragsintentie’. Voor de validiteit van de vragenlijst wordt gesteund op de reeds bestaande operationalisatie (zie voorgaande paragraaf). Daarnaast wordt de enquête anoniem ingevuld, hetgeen de kans verkleint dat respondenten sociaal wenselijke antwoorden geven. Echter, sociaal wenselijke antwoorden zijn niet te reduceren tot nul.

Externe validiteit is de mate waarin de onderzoeksresultaten generaliseerbaar zijn naar andere situaties dan die in het onderzoek. Bij externe validiteit staat de vraag daarom centraal of het onderzoek vergelijkbare resultaten oplevert wanneer dit plaatsvindt op een ander moment en met andere respondenten. In deze scriptie zijn respondenten van meerdere mediaorganisaties betrokken, hiermee wordt getracht de externe validiteit te borgen. De respondenten zijn werkzaam bij diverse mediaorganisaties in Nederland, variërend in omvang, locatie en historie. Dit betekent dat de onderzoeksresultaten niet afhankelijk zijn van 1 organisatie. Daarentegen zijn de resultaten enkel van toepassing op mediaorganisaties in Nederland. Mediaorganisaties kenmerken zich door informatie te publiceren, te delen met het publiek en geheimen te onthullen. Daarin wijken mediaorganisaties af van bijvoorbeeld financiële organisaties welke meer gericht zijn op het bewaren en afschermen van informatie. De resultaten van dit onderzoek zijn daarom kenmerkend voor mediaorganisaties, maar niet voor Nederlandse organisaties in het algemeen.

Betrouwbaarheid verwijst naar consistentie. Hoewel de vragen in de enquête valide kunnen zijn, is dit niet alleen voldoende voor een gedegen wetenschappelijk onderzoek. De enquête dient ook betrouwbaar te zijn. Het kan zijn dat respondenten vragen op een andere wijze interpreteren dan dat deze zijn bedoeld. De betrouwbaarheid is erop gericht dat de vragen op eenzelfde wijze worden geïnterpreteerd door de respondent. De betrouwbaarheid van de vragenlijst kan gemeten worden met de Cronbach’s alpha. Dit meet de mate van consistentie in de beantwoording van vragen binnen een set van vragen. Consistentie betekent dat de antwoorden van respondenten op vragen gerelateerd zijn aan hun antwoorden op andere vragen binnen de set. Een alpha-coëfficiënt is standaard tussen de 0 en 1, een score van 0.7 of hoger is voldoende (Bryman, 2008). De Cronbach’s alpha voor deze vragenlijst staat weergegeven in hoofdstuk vier.

3.5 Populatie en respondenten

Dit onderzoek is uitgevoerd onder mediaorganisaties in Nederland. Het medialandschap in Nederland is gereduceerd tot een aantal grotere spelers. Een aantal spelers delen hetzelfde moederbedrijf. In dit onderzoek zijn enkel mediaorganisaties opgenomen die een eigen strategie voeren, een zelfstandig bestuur hebben en geografisch van elkaar gescheiden zijn. Mediaorganisaties in mijn scriptie zijn: uitgevers, reclamebureaus, radiostations en

televisieproducenten. Onder de respondenten van mediaorganisaties is dezelfde vragenlijst verspreid. Om voor een evenwichtige verdeling te zorgen onder het aantal respondenten, is de vragenlijst 15 keer gekloond. Achter de schermen werd hiermee bijgehouden hoeveel

medewerkers van elke organisatie de enquête hadden ingevuld. Het is daarbij echter geen doel om de verschillende organisaties met elkaar te vergelijken (er vindt geen actieve benchmark plaats). De spreiding van het aantal respondenten per organisatie is vooral bedoeld om de diversiteit van de mediaorganisaties te borgen. Voor het benaderen van de mediaorganisatie is sterk geleund op het eigen netwerk en de bereidheid van anderen in het eigen netwerk om hun connecties te verzoeken tot medewerking. Nadat contact is gelegd met de contactpersonen bij de mediaorganisaties hebben zij een link ontvangen naar de enquête.

De populatie van dit onderzoek zijn medewerkers van mediaorganisaties. Vanwege het feit dat dit onderzoek zich richt op de reguliere gebruikers binnen mediaorganisaties, worden medewerkers met een IT-achtergrond niet uitgenodigd om deel te nemen. Om zeker te weten dat de resultaten niet gebaseerd worden op respondenten met een IT-achtergrond, is de eerste vraag van de enquête daarom “Bent u werkzaam in de IT”. Deze vraag is bewust breed

geformuleerd om zoveel mogelijk respondenten met een IT-achtergrond uit het onderzoek te houden. Hiermee wil ik voorkomen dat respondenten betrokken zijn bij het opstellen of implementeren van informatiebeveiligingsbeleid, met als gevolg dat zij mogelijk meer geneigd zijn om het beleid na te leven. Hoewel tijdens het versturen van de enquête naar mediaorganisaties is benadrukt dat de gewenste respondenten geen achtergrond in IT hebben, werd de enquête veelal gedeeld met een IT-medewerker. Dit betekend dat niet alle respons bruikbaar is (zie hiervoor paragraaf 4.1).

De respons is verzameld in de maanden april, mei en juni van 2018. De respondenten hebben enkel als overeenkomst dat zij werkzaam zijn voor een mediaorganisatie. Zo is de enquête onder andere ingevuld door: journalisten, controllers, inkopers, accountmanagers, CEO’s, CFO’s, presentatoren en productiemedewerkers (bijv. beeld en geluid).

3.6 Data-analyse

De ingevulde enquêtes via surveymonkey.com zijn de basis voor de data-analyse. Op basis van de ingevulde vragenlijsten is een Excelbestand gegenereerd met alle resultaten. Dit bestand is vervolgens in SPSS ingelezen. Met SPSS is de Cronbach alpha uitgevoerd. Met de Cronbach alpha is de betrouwbaarheid van de enquête gemeten (zie voor de uitkomst

paragraaf 4.1). De data-analyse is uitgevoerd in juni. Voor alle deelvragen zijn regressie-analyses uitgevoerd, met een betrouwbaarheidsniveau van 95%. Dit betekent dat de resultaten voor slechts 5% te wijten zijn aan toeval. De data-analyse is uitgevoerd voor twee groepen, te weten TMG en ‘andere mediaorganisaties’. De reden hiervoor is dat het aantal

TMG-respondenten groter is dan het aantal TMG-respondenten in de groep ‘andere mediaorganisaties’. Door de groepen van elkaar te scheiden, wordt gecontroleerd voor het effect dat het grootte aantal TMG-respondenten mogelijk hebben op het totaalaantal respondenten en daarmee op de uitkomsten. De data-analyse heeft geleid tot de resultaten die gepresenteerd staan in het volgende hoofdstuk. Voor de berekeningen van de data-analyse wordt verwezen naar bijlage drie.

Hoofdstuk 4 Data-analyse en resultaten

In dit hoofdstuk wordt de verzamelde data per deelvraag geanalyseerd en gepresenteerd. De resultaten worden in twee groepen weergegeven; 1)TMG en 2) ‘andere mediaorganisaties’ (afgekort tot: AM). Ter vergelijking volgt per deelvraag eveneens een samenvatting van de resultaten.

4.1 Basisgegevens

De online enquête bestaat in totaal uit 49 vragen. De eerste vraag is of respondenten werkzaam zijn in de IT. De overige vragen zijn verdeeld over de vijf onderwerpen uit de ‘protection motivation theory’. In onderstaande tabel is, naast het aantal vragen per onderwerp, de Cronbach alpha score weergegeven. Cronbach alpha omvat de interne betrouwbaarheid van de vragenlijst waarbij gemeten wordt of de diverse vragen per onderwerp hetzelfde meten. Hiermee wordt voorkomen dat onderling zogenaamde ‘appels met peren worden vergeleken’.

Protection motivation theory Onderwerp Aantal vragen Cronbach alpha (TMG) Crombach alpha (AM) Threat appraisal 1. Perceived severity 7 0,71 0,70

2. Perceived vulnerability 9 0,79 0,71

Coping appraisal

3. Response costs 11 0,85 0,77

4. Response efficacy 12 0,84 0,87

5. Self-efficacy 9 0,83 0,87

Tabel 1: Uitkomsten Cronbach alpha berekeningen

Uit bovenstaande tabel blijkt dat de Cronbachs alpha boven de 0,7 ligt. De conclusie die getrokken kan worden uit de bovenstaande tabel is dat de interne betrouwbaarheid (de

Cronbachs alpha) voldoende is. Een waarde tussen de 0,7 – 1,0 is voldoende (Bryman, 2008). De onderwerpen behorend tot de ‘coping appraisal’ (nummers 3, 4, 5) laten een hogere interne correlatie laten zien dan de onderwerpen behorend bij de ‘threat appraisal’ (nummers 1, 2). Kortom voor alle vijf de onderwerpen is de score voldoende en mogen verdere

Aantal respondenten TMG Andere mediaorganisaties Werkzaam in IT Respondenten Ja 26,15% 17 Nee 73,85% 48 Totaal 100% 65

Tabel 2 en 3: Respondenten werkzaam in IT

In totaal bestaat de populatie van beide groepen uit 108 respondenten. Bij TMG zijn in totaal 65 online enquêtes ingevuld, waarvan 17 door mensen die werkzaam zijn binnen de IT. Deze scriptie richt zich op gebruikers zonder IT-achtergrond. Vandaar dat deze 17 respondenten niet zijn meegenomen in de data-analyse.

Bij de groep ‘andere mediaorganisaties’ zijn in totaal 43 online enquêtes ingevuld. Hiervan zijn 10 enquêtes ingevuld door mensen werkzaam in de IT. De bruikbare omvang van de populatie ‘andere mediaorganisaties’ betreft 33 en is daarmee kleiner dan de TMG groep.

4.2 Resultaten per deelvraag

In deze paragraaf worden de enquêteresultaten geanalyseerd met behulp van SPSS. In bijlage drie staan de exacte berekeningen. Om het overzicht van de vele berekeningen en uitkomsten voor de lezer inzichtelijk te maken, is de volgende kleurindeling gebruikt:

Rood = Geen statistisch significante uitkomst voor zowel TMG als de groep ‘andere mediaorganisaties’

Groen = Statistisch significante uitkomst voor zowel TMG als de groep ‘andere mediaorganisaties’

Geel= Statistisch significante uitkomst voor TMG óf de groep ‘andere mediaorganisaties’ Deelvraag 1. In hoeverre draagt de waargenomen kwetsbaarheid van:

- Het opschrijven van wachtwoorden

- Het openen van onbekende links/bijlages in de e-mail - Het onbeheerd laten van ICT-middelen

bij aan de algehele waargenomen kwetsbaarheid van het informatiesysteem van de organisatie?

TMG

Uit de SPSS-berekeningen blijkt dat geen van de drie bovengenoemde onderwerpen een Werkzaam in IT Respondenten

Ja 23,26% 10

Nee 76,74% 33

statistisch significante rol spelen bij de algehele waargenomen kwetsbaarheid van het

informatiesysteem van de organisatie. Anders verwoord, de waargenomen kwetsbaarheid van deze onderwerpen heeft geen significante invloed op de algehele waargenomen kwetsbaarheid van TMG medewerkers.

Voor de berekeningen wordt verwezen naar bijlage 3. Andere mediaorganisaties

Bij de groep ‘andere mediaorganisaties’ zijn twee statistisch significante uitkomsten

gevonden. De waargenomen kwetsbaarheid van: 1) het openen van onbekende links/bijlages in de e-mail en 2) het onbeheerd laten van ICT-middelen heeft een significante invloed op de algehele waargenomen kwetsbaarheid van het informatiesysteem van de organisatie. Het opschrijven van wachtwoorden heeft geen significante invloed.

Samenvatting

Door respondenten uit beide groepen wordt het opschrijven van wachtwoorden niet gezien als een activiteit welke invloed heeft op de algehele waargenomen kwetsbaarheid van het

informatiesysteem van de organisatie. Voor de TMG-respondenten geldt dat 1) het openen van onbekende links/bijlages in de e-mail en 2) het onbeheerd laten van ICT-middelen niet gezien worden als activiteiten die invloed hebben op de algehele waargenomen kwetsbaarheid van het informatiesysteem van de organisatie. Dit in tegenstelling tot de groep ‘overige

mediaorganisaties’. De respondenten uit deze groep zien in deze twee activiteiten wel een kwetsbaarheid die bijdraagt aan de algehele waargenomen kwetsbaarheid. Wellicht dat TMG-respondenten meer risico gedreven en minder ‘risk averse’ zijn dan TMG-respondenten in de groep ‘andere mediaorganisaties’.

Deelvraag 2. In hoeverre dragen de waargenomen responskosten van:

- Het niet opschrijven van wachtwoorden

- Het niet openen van onbekende links/bijlages in de e-mail - Het niet onbeheerd laten van ICT-middelen

bij aan de algehele waargenomen responskosten voor het implementeren van informatiebeveiligingsmaatregelen?

TMG

Uit de SPSS-berekeningen blijkt dat alle drie de onderwerpen een significante voorspeller zijn voor de algehele waargenomen responskosten voor het implementeren van

informatiebeveiligingsmaatregelen. Anders verwoord, het niet opschrijven van wachtwoorden, het niet openen van onbekende links/bijlages in de e-mail en het niet onbeheerd later van ICT-middelen zijn onderdeel van de algehele waargenomen

responskosten. Ze worden daarmee gezien als responskosten voor het implementeren van informatiebeveiligingsmaatregelen. Onder responsekosten wordt verstaan: (overhead)kosten, tijd en ongemak.

Andere mediaorganisaties

De resultaten bij de groep ‘andere mediaorganisaties’ zijn voor het merendeel niet significant. Een uitzondering hierop is het niet opschrijven van wachtwoorden. Het niet opschrijven van wachtwoorden is een responskost met een significante invloed op de algehele waargenomen responskosten voor het implementeren van informatiebeveiliging.

Samenvatting

De twee groepen met respondenten verschillen aanzienlijk van elkaar. Bij TMG worden alle drie de onderwerpen worden gezien als responskosten voor het implementeren van

informatiebeveiligingsmaatregelen. Bij de groep ‘andere mediaorganisaties’ is dit alleen van toepassing op het niet opschrijven van wachtwoorden. Een mogelijk denkbare reden hiervoor is de regelmatige communicatie binnen TMG over deze drie onderwerpen. Met als gevolg dat deze drie beheersmaatregelen worden gezien als (noodzakelijke) responskosten die bijdragen aan een veilige informatievoorziening binnen de organisatie. Voor de groep ‘andere

mediaorganisaties’ is geen achtergrondinformatie beschikbaar rondom (regelmatige)

communicatie over deze onderwerpen. Hierdoor kan niet met zekerheid gesteld worden of dit een plausibele verklaring is. Een andere mogelijke verklaring is dat respondenten in de groep ‘andere mediaorganisaties’ het niet openen van onbekende links/bijlagen en het niet

onbeheerd laten van ICT-middelen, niet beschouwen als een responskost maar bijvoorbeeld zien als een ‘goede gewoonte’.

Deelvraag 3: In hoeverre draagt de waargenomen effectiviteit van:

- Het niet opschrijven van wachtwoorden