In een eerdere blog benadrukte ik al dat informatiebeveiliging zo sterk is als zijn zwakste schakel; de menselijke component. Het sleutelbeheer van informatiebeveiliging ligt in handen van mensen en is daarmee afhankelijk van hun intenties. We werken hard aan de beïnvloeding van de intenties en het bewustzijn van internetgebruikers. De jaarlijkse Alert Online campagnes zijn hier een goed voorbeeld van. Een bezoek aan de TekTok Technology Talkshow over online veiligheid en privacy leerde mij dat Nederlanders zich matig bewust zijn van de risico’s van internetgebruik. Ondanks het feit dat wij (zowel bedrijven als particulieren) het wereldwijde web al ruim twintig jaar gebruiken, blijkt het dat overgrote deel van onze bevolking zich schrikbarend slecht bewust is van de risico’s van het onbeheerd achterlaten van onze virtuele kroonjuwelen. In tegenstelling tot onze achterdeur in de offline wereld, die men met behulp van gedegen hang en sluitwerk achter zich dicht doen, wordt in de online wereld vaak (onbewust) besloten de achterdeur niet af te sluiten of zelfs wagenwijd open te zetten. De campagnes van zowel overheden als private partijen zijn erop gericht om bewustzijn te creëren bij bedrijven en particulieren. Na verschillende pogingen door diverse partijen om ons bewust te maken van de risico’s in de digitale wereld, rijst bij mij de vraag: ‘Hoe komt het dat wij, ondanks deze waarschuwende boodschap, vaak op dezelfde onveilige of onbewuste voet doorgaan?’

Veel campagnes streven een nobel doel na, maar slagen er niet in om daadwerkelijk een gedragsverandering te bereiken. Het probleem lijkt voor een belangrijk deel te zitten in de manier waarop wij de boodschap communiceren. Een dijk van een verhaal hebben zorgt er niet altijd voor dat je boodschap ook echt wordt ontvangen. Een boodschap vertellen en een boodschap overbrengen zijn twee wezenlijk verschillende dingen. Aristoteles had het in zijn argumentatieleer eeuwen geleden al over drie overtuigingsmiddelen: het beroepen op autoriteit (ethos), het inspelen op het gevoel door emotie (pathos) en het gebruik van redevoering (logos).
Om hiervan een voorbeeld te geven ga ik weer even terug naar de offline achterdeur. Voor de beveiliging van onze eigendommen, bijvoorbeeld ons huis, laten we ons adviseren door beveiligingsexperts. Maar wat zorgt ervoor dat we het advies van deze experts ook voor waar aannemen?
Overtuigen start met contact maken met het publiek. Nederlanders zijn vaak geneigd een betoog te beginnen met feiten, logica en rede. Hierbij wordt de belangrijkste stap overgeslagen: het aanspreken van het gevoel van de ontvanger. De ontvanger wil graag weten waarom de verteller de persoon is van wie ze gerust kunnen aannemen hoe zij hun eigendommen het beste kunnen beveiligen. We willen ontzorgd worden op basis van een gevoel van kwaliteit en betrouwbaarheid. We nemen doorgaans geen advies over fysieke beveiliging aan van iemand die zijn achterdeur slechts met de klink sluit. Dit dekt het ‘ethos’ aspect van de boodschap.
Daarnaast willen we graag serieus genomen worden en erkenning van ons probleem ervaren. Als de spot gedreven wordt met onze onveiligheidsgevoelens, zullen wij niets aannemen van de verteller. Hierbij wordt ingespeeld op het overtuigingsmiddel ‘pathos’. Tot slot willen wij enerzijds weten wat de risico’s van gebrek aan beveiliging zijn en anderzijds de slagingspercentages van het toepassen van beveiligingsmiddelen kennen. We willen overtuigd worden door argumenten, feiten en kennis van zaken, om het vertrouwen te krijgen dat de boodschap die ons wordt verteld gefundeerd is. Hierbij wordt ingespeeld op het ‘logos’. De kracht van de argumentatieleer zit in de combinatie van de drie overtuigingsmiddelen. Slechts proberen te overtuigen op basis van één middel, bijvoorbeeld feiten, zal dan ook zelden succesvol zijn.
Als we dit vertalen naar de online achterdeur bestaan dezelfde behoeften. We willen weten of onze adviseur gedegen en valide is en dat ons gevoel gehoord en gerustgesteld wordt. Tegelijkertijd willen we ook exact de feiten weten; welke risico’s worden met de oplossing teniet gedaan? Pas dan besluiten we om het advies op te volgen. Wat Aristoteles ons hiermee eigenlijk wil vertellen is dat we burgers en bedrijven kunnen blijven waarschuwingen voor dreigingen, bewustzijnscampagnes kunnen blijven voeren en security diensten als oplossing van alle risico’s en problemen kunnen blijven aanbieden, maar dit alles leidt pas tot een geslaagd besef van online verantwoordelijkheidsgevoel en aanpak van online dreigingen als de boodschap in zijn volledigheid bij de ontvangers is overgekomen. Ik ben het hierin met Aristoteles eens, maar wil benadrukken dat in veel gevallen geen onrust lijkt te bestaan over onze digitale veiligheid. Velen ervaren de online wereld als een complex aspect van het leven, waarvan zij zich liever distantiëren. Zolang men niet beseft dat er wel degelijk kans is op online slachtofferschap lijkt het ‘op dezelfde voet doorgaan’ geen onveilige keuze.
Hiermee wordt duidelijk dat: ‘wat niet weet, wat wél deert’!