Towards Modeling Cybersecurity Behavior of Humans in Organizations

Dit artikel presenteert een theoretisch raamwerk voor menselijk cybersecuritygedrag in organisaties dat, naast het integreren van bewustzijn en cultuur, ook als blauwdruk dient voor het beveiligen van autonome AI-agenten tegen manipulatie.

De kern

🛡️ De Menselijke Factor: Waarom we (en AI) soms de verkeerde keuzes maken

Stel je voor dat een bedrijf een enorme, ondoordringbare burcht is. Ze hebben de beste muren, de zwaarste sloten en de slimste bewakers (de technologie). Maar toch komen de dieven binnen. Waarom? Omdat de bewakers soms een raampje open laten, of omdat ze denken dat de persoon aan de andere kant van de muur een vriend is, terwijl het een dief is.

Dit artikel van Klaas Ole Kürtz gaat over precies dat raampje: de mens. Maar het kijkt niet alleen naar de mens als individu, maar naar de mens binnen een organisatie (zoals een kantoor). En het meest interessante: de auteur trekt een lijn naar de nieuwe wereld van AI-agenten (kunstmatige intelligentie die zelfstandig acties uitvoert).

Hier zijn de belangrijkste punten, vertaald naar alledaagse taal:

1. De Mens: Zowel zwakke schakel als superheld

In cybersecurity zien we vaak een tweespalt:

• Het zwakke punt: Mensen zijn de makkelijkste manier om een systeem te hacken. Ze klikken op verkeerde links, gebruiken slechte wachtwoorden of laten zich verleiden door een nep-e-mail (sociale engineering).
• De superheld: Als we ze goed trainen en de juiste omgeving bieden, kunnen mensen de sterkste verdediging zijn. Ze kunnen verdachte dingen zien die een computer mist.

Het probleem is dat we vaak mensen de schuld geven ("Hij had niet moeten klikken!"). De auteur zegt: "Nee, we moeten het systeem verbeteren." Het gaat niet alleen om de persoon, maar om de omgeving waarin die persoon werkt.

2. Het Nieuwe Model: Een "Recept" voor Gedrag

De auteur heeft een model gemaakt om te begrijpen waarom mensen zich veilig (of onveilig) gedragen. Hij vergelijkt dit met het bakken van een taart. Je kunt niet alleen kijken naar de bakker (de mens), je moet ook kijken naar de keuken (het bedrijf).

Het model kijkt naar drie dimensies:

• Fundamenteel vs. Situatie: Is het gedrag gebaseerd op wat je altijd doet (je karakter), of op wat er nu gebeurt (stress, haast)?
• Individueel vs. Omgeving: Is het iets van jou persoonlijk (angst, motivatie), of iets van het bedrijf (cultuur, regels)?
• Verborgen vs. Zichtbaar: Wat zie je (iemand klikt op een link), en wat zit erachter (iemand was bang om een fout te maken en dacht dat hij snel moest werken)?

De belangrijkste ingrediënten in dit recept zijn:

• Motivatie: Wil je het wel? (Bijvoorbeeld: "Ik wil mijn baan niet kwijtraken" of "Ik wil helpen").
• Kennis & Bewustzijn: Weet je wat de gevaren zijn? (Soms denken mensen dat ze veilig zijn, terwijl ze het niet zijn).
• Rol: Wat is je taak? (Ben je de IT-beheerder of de stagiair?).
• Cultuur: Hoe is het klimaat? Is het bedrijf streng en bang, of open en leergierig? Als de baas zegt "Veiligheid is belangrijk" maar zelf een slecht wachtwoord gebruikt, zal niemand luisteren.
• Gemak (Usability): Is het veilig gedoe makkelijk of een last? Als een beveiligingsprogramma te lastig is, omzeilen mensen het (net als een auto die je niet gebruikt omdat de sleutel te zwaar is).
• De Situatie: Ben je moe, gestrest of onder tijdsdruk? Dan maak je sneller fouten.

3. De Vergelijking met Bestaande Theorieën

De auteur vergelijkt zijn model met andere bekende theorieën uit de psychologie. Hij zegt eigenlijk: "Die theorieën zijn goed, maar ze kijken vaak alleen naar de persoon in een leeg vakje. In het echt zit die persoon in een drukke fabriek met regels, collega's en deadlines." Zijn model pakt die hele fabriek mee.

4. De Grootste verrassing: AI-agenten gedragen zich als Mensen

Dit is het meest spannende deel van het artikel. Vroeger dachten we: "AI is code, code is logisch." Maar nu hebben we AI-agenten. Dit zijn slimme programma's die zelfstandig taken uitvoeren, zoals zoeken op het internet, e-mails schrijven of beslissingen nemen.

De auteur stelt een schokkende maar logische gedachte voor: AI-agenten hebben nu ook "menselijke" zwaktes.

• De Metafoor: Stel je voor dat een AI-agent een nieuwe stagiair is die alles moet doen.
  • Prompt Injection (De nep-e-mail voor AI): Net zoals een hacker een mens overtuigt met een nep-e-mail ("Klik hier, je hebt gewonnen!"), kan een hacker een AI-agent "overhalen" met slimme tekst. De AI denkt dat het een normale opdracht is, maar het is een valstrik.
  • Hallucineren (Gissen): Als een mens iets niet weet, maar moet handelen, gokt hij soms ("Ik denk dat het dit is"). AI doet precies hetzelfde: als het niet zeker is, verzint het een antwoord om "behulpzaam" te zijn.
  • Gemak (Frictie): Als een mens een beveiligingscheck te lastig vindt, omzeilt hij die. Als een AI-agent een bron vindt die makkelijk te lezen is (zelfs als die bron kwaadaardig is) en een andere bron die beveiligd is met een CAPTCHA (een lastige test), kiest de AI vaak de makkelijke, kwaadaardige weg.

5. Wat betekent dit voor de toekomst?

De auteur concludeert dat we AI niet alleen moeten beveiligen met technische muren (firewalls). We moeten AI-agenten beveiligen door te kijken naar gedrag.

We kunnen het model dat we voor mensen hebben gebruikt, nu ook op AI toepassen:

• Wat is de "rol" van de AI? (Zijn instructies).
• Wat is de "cultuur" van de AI? (Hoe is hij getraind om te reageren?).
• Wat is de "situatie"? (Is de AI onder druk om snel een antwoord te geven?).

De kernboodschap:
Veiligheid is niet alleen een technisch probleem. Het is een menselijk (en nu ook digitaal) gedragingsprobleem. Als we begrijpen waarom mensen fouten maken (door stress, slechte cultuur of gemak), dan kunnen we ook begrijpen waarom AI-agenten fouten maken. En als we dat begrijpen, kunnen we betere verdedigingen bouwen voor zowel onze mensen als onze digitale helpers.

Kortom: Behandel je AI-agenten alsof het nieuwe collega's zijn, met dezelfde zwaktes en sterke punten als mensen.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Towards Modeling Cybersecurity Behavior of Humans in Organizations" in het Nederlands.

Titel: Towards Modeling Cybersecurity Behavior of Humans in Organizations

Auteur: Klaas Ole Kürtz (Kiel University of Applied Sciences)

---

1. Het Probleem

Cybersecurity blijft een uitdaging ondanks technologische vooruitgang. Mensen vormen een centraal element in deze dynamiek, maar vertonen een dualisme:

• Aanvalsvlak: Mensen zijn vaak het zwakste schakel en een van de grootste aanvalsvectoren (bijvoorbeeld door social engineering, versterkt door generatieve AI).
• Verdediging: Onder de juiste omstandigheden kan menselijke intelligentie de meest aanpasbare en veerkrachtige component van een beveiligingsstrategie zijn (de "human firewall").

Huidige benaderingen neigen vaak naar het beschuldigen van individuele gebruikers in plaats van het ontwikkelen van veerkrachtige systemen die rekening houden met menselijke cognitie en organisatorische realiteiten. Daarnaast introduceert de opkomst van agente AI-systemen (autonome AI-agenten) een nieuwe dimensie: deze systemen vertonen kwetsbaarheden die analoog zijn aan menselijk gedrag, wat traditionele technische beveiligingsmodellen ontoereikend maakt.

2. Methodologie

De auteur hanteert een synthetiserende aanpak om een holistisch model te ontwikkelen dat specifiek gericht is op professionele omgevingen (organisaties). De methode omvat:

1. Literatuurreview: Analyse van gevestigde wetenschappelijke theorieën uit de gedragswetenschappen (bijv. Protection Motivation Theory, Theory of Planned Behavior) om fundamentele psychologische drijfveren te identificeren.
2. Cross-referentie: Koppeling van deze theorieën aan toegepaste cybersecurity-managementliteratuur en kwalitatieve data.
3. Expertinput: Integratie van inzichten uit informele consultaties met experts en gepubliceerde perspectieven van Chief Information Security Officers (CISO's).
4. Filtering: Abstracte psychologische concepten worden getoetst aan de praktische realiteit van organisaties om een model te creëren dat zowel interne cognitieve processen als externe systeemdrukken omvat.

3. Belangrijkste Bijdrage: Het Menselijk Gedragsmodel

De kernbijdrage is een gestructureerd theoretisch raamwerk (gevisualiseerd in Figuur 1 van het artikel) dat menselijk gedrag in cybersecurity classificeert langs drie dimensies:

• Logische stroom: Van fundamentele factoren (onafhankelijk van specifieke situaties) naar situationele factoren.
• Individueel vs. Omgeving: Interne factoren (persoonlijk) versus externe factoren (organisatie/groep).
• Verborgen vs. Zichtbaar: Onmeetbare elementen (zoals motivatie) versus meetbaar gedrag.

Het model identificeert de volgende essentiële factoren die gedrag vormgeven:

• Fundamentele Factoren:
  • Motivatie: Intrinsiek en extrinsiek (bijv. financiële prikkels, angst).
  • Bewustzijn en Kennis: Begrip van bedreigingen en tegenmaatregelen (inclusief cognitieve distorties).
  • Rol: Formele verantwoordelijkheden en taakverdeling.
  • Mindset en Attitude: Persoonlijke houding en "security fatigue".
  • Cultuur: De impliciete normen, leiderschap en foutencultuur binnen de organisatie.
  • Normen en Regels: Wetgeving, richtlijnen en de waargenomen controle hierop.
• Situationele Factoren:
  • Intentie: Het voornemen tot handelen (gebaseerd op mindset, cultuur, normen).
  • Vaardigheden: Competentie om aanvallen te herkennen en te reageren.
  • Gebruiksvriendelijkheid (Usability): Hoe makkelijk beveiligde systemen te gebruiken zijn (frictie).
  • Agentie: Het waargenomen vermogen om autonoom te beslissen.
  • Situatie: Huidige context (stress, tijdspanning, cognitieve belasting).
  • Beoordeling van de Situatie: De bewuste en onbewuste evaluatie van een dreiging.
  • Gedrag: Het daadwerkelijke handelen (bewust of intuïtief).

4. Vergelijking met Bestaande Theorieën

Het model wordt vergeleken met gevestigde theorieën om volledigheid te garanderen:

• Cognitieve theorieën: Het model integreert elementen van Theory of Planned Behavior (intentie), Protection Motivation Theory (dreigingsbeoordeling), Technology Acceptance Model (gebruiksvriendelijkheid) en Dual Process Theory (System 1 vs. System 2).
• Organisatorische theorieën: Het model breidt uit naar contextuele modellen zoals het Fogg Behavior Model (motivatie, vaardigheid, trigger), Deterrence Theory (straf en detectie) en de OODA-loop (Observeren, Oriënteren, Beslissen, Handelen).

Verschil met bestaand werk: Waar veel bestaande modellen de individuele gebruiker geïsoleerd bekijken, integreert dit model expliciet de interactie tussen de interne staat van de werknemer en de externe organisatorische omgeving (cultuur, rollen, normen).

5. Resultaten en Toekomstperspectief: Agente AI-beveiliging

Een cruciale conclusie is de toepasbaarheid van dit mensgerichte model op agente AI-systemen. De auteur betoogt dat AI-agenten die autonoom handelen, kwetsbaarheden vertonen die analoog zijn aan menselijk gedrag:

• Social Engineering voor AI: Aanvallen zoals prompt injection exploiteren het "begrip" van de AI op een manier die vergelijkbaar is met sociale manipulatie van mensen.
• Mapping van Factoren: Het menselijke model biedt een blauwdruk voor AI-beveiliging:
  • Rol $\rightarrow$ Systeemprompt / Persona-instructies.
  • Organisatiecultuur $\rightarrow$ Alignment (bijv. via Reinforcement Learning from Human Feedback).
  • Gebruiksvriendelijkheid $\rightarrow$ Resource Accessibility / Computational Friction (AI kiest soms kwaadaardige bronnen omdat deze makkelijker toegankelijk zijn).
  • Mensen die gokken bij gebrek aan kennis $\rightarrow$ AI "hallucinaties" (prioriteren van hulpvaardigheid boven nauwkeurigheid).

6. Significantie

• Voor Organisaties: Het model verschuift de focus van het "oplossen" van menselijke fouten naar het ontwerpen van veerkrachtige systemen die rekening houden met de complexe interactie tussen mens en omgeving. Het helpt bij het begrijpen hoe een sterke beveiligingscultuur individuele gebrekkige bewustzijn kan compenseren.
• Voor AI-beveiliging: Het biedt een conceptueel raamwerk om de beveiliging van autonome AI-agenten te verbeteren. Door menselijke gedragsmodellen toe te passen op AI, kunnen onderzoekers nieuwe aanvalsvectoren (zoals manipulatie via taal) anticiperen en verdedigingsstrategieën ontwikkelen die zowel menselijke als digitale agenten beschermen.

Kortom, het artikel pleit voor een sociotechnische benadering waarbij cybersecurity niet alleen een technisch probleem is, maar een gedragswetenschappelijke uitdaging die direct vertaald kan worden naar de beveiliging van de volgende generatie AI-systemen.