Onbewuste denkpatronen in bestuurskamers zorgen ervoor dat cyberrisico’s systematisch verkeerd worden ingeschat.
PhD-onderzoeker Gulet Barre van de Open Universiteit Nederland sprak met meer dan tien Europese CISO’s en ontdekte een verontrustend patroon: bestuurders en hun beveiligingsexperts praten langs elkaar heen over cyberrisico’s.
“Een CISO verwoordde het cynisch maar eerlijk: ‘Slecht nieuws is goed nieuws. Zodra een concurrent wordt gehackt, regent het ineens geld voor cybersecurity. Dan krijg ik eindelijk budget voor die red team-tests waar ik al tijden om zeur. Zo werkt het helaas’“, zegt Barre.
Deze reactieve benadering van cyberbeveiligingsfinanciering creëert een vicieuze cirkel. CISO’s worstelen om adequate middelen voor preventieve maatregelen veilig te stellen, terwijl besturen ervan overtuigd blijven dat hun organisaties adequaat beschermd zijn totdat een groot incident toeslaat. Tegen die tijd is de schade al aangericht.
Zeven biases ondergraven cyberbeslissingen
Barre’s onderzoek heeft zeven specifieke cognitieve biases geïdentificeerd die cybersecurity op bestuursniveau beïnvloeden: optimismebias, pessimismebias, kuddegedrag, bevestigingsvoorkeur, ambiguity bias, overmoed en eigendomsbias.
Optimismebias leidt ertoe dat CISO’s de waarschijnlijkheid van negatieve uitkomsten onderschatten, terwijl pessimismebias kan leiden tot dat bestuursleden situaties als erger zien dan ze werkelijk zijn. De combinatie creëert wat Barre “catastrofale beslissingen” noemt.
Kuddegedrag blijkt bijzonder gevaarlijk in een boardroom setting. “Als er bijvoorbeeld een ex-CISO zit als bestuurslid, kunnen andere directeuren denken: ‘Deze persoon gelooft dat we die richting op moeten, dus laten we volgen’“, legt Barre uit. “Mensen geven de voorkeur aan vermeende expertise zonder kritische evaluatie.” Dit gedrag strekt zich uit tot buiten individuele vergaderingen. Besturen nemen vaak cyberbeveiligingsbeslissingen op basis van wat concurrerende organisaties doen, in plaats van hun eigen specifieke risicoprofielen. “Ze zien een concurrent naar rechts bewegen, dus bewegen zij ook naar rechts, zonder te overwegen of dat geschikt is voor hun organisatie”, observeert Barre.
Bevestigingsvoorkeur vergroot deze problemen. Bestuursleden die ransomware-aanvallen in de media hebben gezien, raken gefixeerd op die specifieke dreigingen en zetten CISO’s onder druk om risico’s aan te pakken die overeenkomen met hun vooroordelen in plaats van de meest urgente werkelijke kwetsbaarheden.
Overmoed leidt ertoe dat bestuursleden hun begrip van cyberrisico’s overschatten, vooral wanneer ze nieuwe informatie ontvangen zoals beveiligingsauditrapporten, wat een vals gevoel van veiligheid creëert. En eigendomsbias manifesteert zich wanneer besturen weerstand bieden tegen het veranderen van bestaande systemen. “Een CISO kan aanbevelen een verouderd tool te vervangen, maar bestuursleden, vooral senior leden, zullen zeggen ‘dat systeem is goed genoeg’ simpelweg omdat ze eraan gewend zijn”, legt Barre uit. “Het is een vorm van veranderingsweerstand die organisaties kwetsbaar maakt.”
Het oranje-probleem
De meest problematische bias is wat onderzoekers ‘ambiguity bias’ noemen – het verkeerd interpreteren van onduidelijke informatie. Dit wordt het duidelijkst bij het traditionele stoplicht-systeem dat CISO’s gebruiken om cyberrisico’s te rapporteren.
“Vergelijk het met autorijden”, legt Barre uit. “We weten allemaal wat we moeten doen bij groene en rode verkeerslichten, maar oranje? Sommige bestuurders versnellen erdoorheen, anderen remmen. Die dubbelzinnigheid van oranje is precies wat er gebeurt in bestuurskamers wanneer CISO’s cyberbeveiligingsrisico’s presenteren.”
Waar groen duidelijk laag risico betekent en rood direct actie vereist, bestaat oranje in een grijze zone die verschillende belanghebbenden volledig anders interpreteren. “Een CISO neigt er misschien toe oranje dichter bij groen te zien – ze zijn relatief optimistisch over het beheersen van het risico”, verklaart Barre. “Maar een bestuurslid kan pessimistischer zijn, en datzelfde oranje risico zien als gevaarlijk dicht bij rood.”
Dit fundamentele verschil van inzicht creëert een enorme kloof in hoe cyberdreigingen worden begrepen en aangepakt. Wanneer hetzelfde cyberbeveiligingsscenario wordt gepresenteerd, kunnen CISO’s het als rood classificeren terwijl bestuursleden het als groen zien, of vice versa.
Oplossingen in zicht
Barre’s lopende onderzoek verkent of traditionele stoplichtrapportage kan worden gered of compleet vervangen moet worden. “Je kunt twintig jaar in een huis wonen zonder te verhuizen, maar je kunt wel renoveren”, suggereert hij. “De vraag is of oranje een ‘bijsluiter’ nodig heeft zoals medicijnen hebben, die precies uitlegt wat het betekent en welke acties vereist zijn, of dat we oranje volledig moeten elimineren.”
Met NIS2-wetgeving die bestuursleden persoonlijk aansprakelijk stelt, zijn de stakes hoger dan ooit. “Als bestuursleden en CISO’s kunnen identificeren wanneer deze biases hun discussies beïnvloeden, kunnen ze elkaar verantwoordelijk houden en meer rationele beslissingen nemen”, concludeert Barre. “De sleutel is elkaar scherp houden en herkennen wanneer deze biases kritische cyberbeveiligingsbeslissingen beïnvloeden.”