Echt risico op ransomware versus vals gevoel van cyberveiligheid

Uit een nieuwe enquête is gebleken dat driekwart van de beveiligingsprofessionals van mening is dat hun bedrijf zeer of zeer goed is voorbereid op een ransomware-aanval. Nog meer zeggen dat ze enigszins of zeer waarschijnlijk binnen een dag of twee hersteld zijn zonder ransomware te betalen. Maar hun eigen staat van dienst logenstraft deze antwoorden.

Acht op de tien respondenten van dezelfde enquête zeggen zelfs met succes te zijn aangevallen door ransomware; bijna vier op de tien betaalden het losgeld en ongeveer evenveel respondenten ondervonden aanzienlijke downtime. Bovendien geven de respondenten zichzelf lage scores voor een reeks beste beveiligingspraktijken die kunnen voorkomen dat toekomstige aanvallen slagen. Zo zegt minder dan de helft over een noodherstelplan te beschikken.

De cijfers komen allemaal uit het nieuwe Mimecast-rapport State of Ransomware Readiness 2021 , uitgevoerd door Hanover Research, en ze roepen een verontrustende vraag op: Is er een kloof tussen de manier waarop beveiligingsprofessionals zichzelf zien en hun werkelijke vermogen om hun bedrijf te beschermen?

Beveiliging is een sector die niet gebaat is bij overoptimisme, dus is het belangrijk te weten waarom mensen zo geneigd zijn hun eigen risicoblootstelling te onderschatten. Drie cognitieve vooroordelen helpen om dit te verklaren: hindsight bias, optimism bias en het Dunning-Kruger Effect.

Hindsight leidt ons te geloven dat we betere keuzes zouden maken

Als we de uitkomst al kennen, ondervinden we een groot nadeel bij het lezen van een casestudie of het analyseren van een incident nadat het heeft plaatsgevonden. In een tendens die bekend staat als hindsight bias,[1] hebben we de neiging om de acties en oplossingen van de betrokkenen te beoordelen ten opzichte van de bekende uitkomst.

We achten die uitkomst ook waarschijnlijker dan hij leek te zijn toen het incident zich voordeed. Daarmee geven we blijk van een vals gevoel van veiligheid, denken we dat we capabeler zijn dan we werkelijk zijn - en concluderen we dat we niet dezelfde fouten zouden maken die "zij" hebben gemaakt.

We onderschatten het risico voor onszelf

Een andere vertekening die ons vermogen om risico's realistisch in te schatten kan belemmeren, staat bekend als optimism bias,[2] verwijst naar onze neiging om de waarschijnlijkheid dat negatieve gebeurtenissen ons overkomen te onderschatten en de waarschijnlijkheid dat positieve gebeurtenissen ons overkomen te overschatten. Daarom maken mensen die roken zich misschien geen zorgen dat zij zelf longkanker zullen krijgen.

Het is misschien een donkere ironie dat mensen die aan een lichte depressie lijden, een realistischer kijk hebben op hun huidige omstandigheden en toekomstperspectieven.[3] Dit suggereert dat een optimistische kijk op de wereld zeker concurrentievoordelen kan hebben, maar dat deze gepaard kan gaan met de verborgen kosten van een te geringe voorbereiding op rampen.

Het Dunning-Kruger Effect: Geloven dat we meer kunnen dan we zijn

Elke Thanksgiving kijkt mijn familie met plezier naar mijn uit vorm zijnde oom die de voetbalspelers op TV uitscheldt over hun fouten en hoe hij het beter had kunnen doen. De ironie van het presteren van experts is dat het er zo gemakkelijk uitziet dat iedereen het zou kunnen, maar niets is minder waar. Deze misvatting geeft aanleiding tot een psychologisch verschijnsel dat bekend staat als het Dunning-Kruger Effect.[4]

Dunning-Kruger kan ons ook doen geloven dat we capabeler zijn dan we werkelijk zijn om bedreigingen zoals ransomware het hoofd te bieden. Maar dit effect zal snel verdwijnen als we te maken krijgen met een echte ransomware-aanval.

Een realistisch perspectief krijgen

Hoe vecht je tegen de menselijke natuur? Hier volgt een overzicht van elk vooroordeel en hoe u de invloed ervan op uw prestaties kunt temmen:

• Hindsight bias: De beste manier om deze effecten op onze risicobeoordelingen te verzachten, is iemand op te zoeken die persoonlijk incidenten zoals ransomware heeft meegemaakt. Bespreek hun ervaringen. Probeer hun denkproces te begrijpen terwijl de gebeurtenissen zich ontvouwden en zij de situatie beheersten - zonder voorkennis over de uitkomst. Met andere woorden, weersta de neiging om te focussen op de uitkomst en focus in plaats daarvan op hun proces. Dit zal helpen voorkomen dat vooringenomenheid achteraf uw oordeel beïnvloedt.
• Optimism bias: Bereken de waarschijnlijkheid dat u dit jaar door ransomware wordt getroffen en begrijp dat dit uw basiswaarschijnlijkheid is. Kijk nog eens naar die top-line statistiek uit het State of Ransomware Readiness 2021 rapport, hierboven geciteerd: Acht op de tien respondenten van de enquête meldden met succes te zijn aangevallen door ransomware. Beschouw dit als uw basiswaarschijnlijkheid dat u in het komende jaar wordt getroffen en pas uw beveiligingsbeleid aan op basis van deze kansen.
• Dunning-Kruger Effect: Begrijp dat u misschien niet beter presteert dan anderen die te maken hebben gehad met een ransomware-aanval. Leer van hun fouten, maar probeer ook te begrijpen waarom zij die fouten hebben gemaakt en hoe u kunt voorkomen dat ze zich herhalen.

Berekend risico

Naast begrijpen hoe onze cognitieve vooroordelen soms tegen ons kunnen werken, moeten we ook nadenken over hoe we over risico denken. Risico wordt vaak berekend met de formule Waarschijnlijkheid X Impact = Risico. Wanneer we over risico nadenken, leggen we vaak te veel de nadruk op de waarschijnlijkheidsvariabele en te weinig op de impactvariabele. Dit kan ertoe leiden dat wij het potentieel voor existentiële risico's negeren.[5]

Kan uw organisatie echt een ransomware-aanval van miljoenen dollars overleven, op dit moment, vandaag? Zo niet, dan vormt ransomware een existentieel risico dat moet worden vermeden of beperkt, zelfs als de waargenomen waarschijnlijkheid laag is.

De kern van de zaak

Beveiligingsprofessionals kunnen baat hebben bij een gezonde dosis pessimisme. Nu waakzaam zijn tegen cognitieve vooroordelen kan helpen ransomware en de gevolgen ervan later te voorkomen.

[1] "Hindsight Bias," Perspectives on Psychological Science

[2] "The optimism bias," Current Biology

[3] "Depressieve symptomen hangen samen met onrealistische negatieve voorspellingen van toekomstige levensgebeurtenissen," Behaviour Research and Therapy

[4] "Unskilled and unaware of it: how difficulties in recognizing one's own incompetence lead to inflated self-assessments," Journal of Personality and Social Psychology

[5] "A philosophy of security architecture design," Wireless Personal Communications