Cyberveiligheid op basis van veerkracht

Als communicatiewetenschapper werkt Elif Ozer nu, parallel, aan de eerste twee fases van haar promotieonderzoek. Terwijl ze haar verkennende onderzoek naar actuele werkomstandigheden voltooit, begint ze tegelijkertijd aan een literatuuronderzoek. Daar formuleert en analyseert ze twee verschillende paradigma's.

Veiligheid I en II

Elif gebruikt bestaande theorieën en past deze toe op cybersecurity: Safety-I (traditioneel) en Safety-II (actueel). Ze heeft deze wetenschappelijke termen nodig om nieuwe veiligheidsconcepten aan te laten aansluiten bij cyberbeveiliging in de huidige werkpraktijk van bedrijven en maatschappelijke organisaties. Daar treden duidelijk paradigmaverschuivingen op, constateert ze. Als treffend fenomeen benoemt ze phishing. ‘Vroege methoden, zoals behorend bij Safety-I, zijn allang achterhaald.’

Een incident in Hong Kong kan als voorbeeld dienen. Hier ontving een medewerker een e-mail van zijn baas met het verzoek een aanzienlijk bedrag over te maken. ‘Hij vroeg terecht om bevestiging tijdens een face-to-face zoommeeting,’ zegt Elif. ‘Maar deze online-bijeenkomst vond plaats met de criminele inzet van deepfake, in de periode dat deze technologie net opkwam. Zonder dat de goedwillende medewerker het wist - of kon weten - was het Safety-II-paradigma al actief. Met alle gevolgen van dien.’

Positieve conceptualisering

Elif legt uit dat men in de traditionele aanpak (Safety-I) veiligheid definieert als de afwezigheid van frauduleuze praktijken en incidenten. Ze stelt: ‘In deze negatieve conceptualisering beschouwt men werknemers doorgaans als potentiële risicobronnen. Dat leidt tot handhaving van regels en beleid om nieuwe incidenten te voorkomen.’

In plaats daarvan wil Elif inzetten op een nieuwe, positievere conceptualisering van veiligheid: Safety-II. Hierin zijn gedrag en organisatiecultuur het uitgangspunt om veiligheid te laten ontstaan en groeien. Daarom moet de traditionele visie worden aangevuld met een positieve benadering die het menselijke vermogen tot aanpassing, prioritering en onderhandeling erkent, om zo cyberveiligheid beter te kunnen garanderen.

Gedeelde verantwoordelijkheid

‘Cyberveiligheid moet aanwezig zijn in alle structuren van de organisatie’, vindt Elif. ‘Het gaat niet alleen om reageren op incidenten en daarna leren van mislukkingen; het is net zo belangrijk om proactief te zijn en van successen te leren. Iedereen moet een gevoel van gedeelde verantwoordelijkheid voelen voor cyberveiligheid binnen de organisatie. Om dit te bereiken kunnen we ons het best richten op gedistribueerde controle en verantwoordelijkheden, en op empowerment van de medewerkers.’

Hoewel regels en voorschriften zeker nodig blijven voor cyberveiligheid, stelt Elif dat flexibiliteit in de organisatie en aanpassingsvermogen van de medewerkers tegelijkertijd ook moeten worden aangemoedigd. ‘Dit leidt tot een geheel nieuwe veiligheidsaanpak.’

Verzekeringssector

In haar vroege onderzoeksfase past Elif haar inzichten toe op de werkpraktijk en de perceptie van cyberveiligheid in de verzekeringssector in Nederland. ‘Het viel me meteen op dat men daar in een sterk gereguleerde sector werkt,’ zegt ze. ‘Ik heb meteen veel geleerd van hun uitdagingen en dilemma’s. Van hun kant zijn de medewerkers erg geïnteresseerd in mijn aanpak, en willen ze graag met mij samenwerken. Dat is heel bemoedigend.’

Als derde en vierde PhD-fase is Elif van plan twee casestudies uit te voeren in andere sectoren. ‘Daarmee vergroot ik de mogelijkheden om echt bij te dragen aan dit actuele maatschappelijke vraagstuk. Ik weet zeker dat mijn aanpak relevant is, zowel voor het bedrijfsleven als voor overheidsorganisaties.’

Wil je iets vertellen over je achtergrond?

Ik heb Communicatiewetenschappen gestudeerd, Bachelor en Master. Ik ben 24 jaar oud.

Hoever ben je in je PhD-traject?

Ik ben nu twee jaar onderweg met mijn promotieonderzoek en heb er nog twee te gaan.

Aan welke faculteit ben je verbonden?

Mijn faculteit is Behavioural Management and Social Sciences (BMS).

Werk je fulltime aan je promotieonderzoek?

Ik werk fulltime aan mijn promotieonderzoek.

Dit promotieonderzoek vindt plaats onder de vlag van het Centrum voor Veiligheid en Digitalisering (CVD)

In totaal zijn vijf promovendi aan het CVD verbonden. Zij worden begeleid door experts van de Universiteit Twente, Hogeschool Saxion en de Politieacademie – drie founding partners van het CVD. Die interdisciplinaire begeleiding zorgt voor een sterke verbinding tussen wetenschappelijk onderzoek en maatschappelijke praktijk. Zo dragen deze onderzoeken bij aan de missie van het CVD: het versterken van de digitale weerbaarheid van onze samenleving.