De verraderlijke nieuwe dreiging van cyberbeveiliging: stress op het personeel

Nico Ortega





De duizenden cyberbeveiligingsprofessionals die zich verzamelen bij Black Hat, een enorme conferentie die elke zomer in de zinderende hitte van Las Vegas wordt gehouden, hebben dit jaar te maken met een ander soort sessie. Een nieuwe community-track biedt gesprekken over een reeks problemen op de werkplek waarmee verdedigers worden geconfronteerd die vechten om de wereld te beschermen tegen een aanval van hacking.

Met titels als Mental Health Hacks: Fighting Burnout, Depression and Suicide in the Hacker Community en Hold on for Tonight: Addiction in Infosec, zullen verschillende sessies druk op beveiligingsteams aanpakken en de negatieve impact die deze kunnen hebben op het welzijn van werknemers.

Veel mensen in deze ruimte willen hun gebruikers beschermen, zegt Jamie Tomasello van Duo Security, een van de sprekers. Waar dit een uitdaging wordt, is wanneer mensen onder aanhoudende hoge stress staan. Dat verhoogt het risico op depressie en psychische aandoeningen.



De impact op het leven van cyberverdedigers is zeer zorgwekkend, net als de bredere implicaties voor beveiliging. Ondanks het streven naar meer automatisering, zijn veel taken in cyberdefensie nog steeds arbeidsintensief. Werknemers die psychische problemen ervaren, hebben meer kans om fouten te maken en hebben meer prestatieproblemen waardoor collega's het werk moeten oppakken, waardoor de kans groter wordt dat ze ook fouten zullen maken.

Hoge druk, hoge inzet

Dit is belangrijker dan ooit, aangezien de inzet in de cyberbeveiligingswereld dramatisch is toegenomen. Hackers swipen niet alleen creditcardgegevens en digitale medische dossiers; ze vallen systemen aan die elektriciteitsnetten, productiefaciliteiten en andere gevoelige infrastructuur besturen.

Stress op de werkplek is zeker niet uniek voor cyberbeveiliging. Er zijn tal van andere werknemers, waaronder eerstehulpverleners, soldaten en chirurgen, die in hun werk onder grote druk staan. Andere IT-rollen, zoals het draaiende houden van belangrijke netwerken en databases, kunnen ook stressvol zijn.



Maar insiders uit de branche zeggen dat verschillende factoren samen een bepaald probleem op het gebied van cyberbeveiliging hebben veroorzaakt. Een daarvan is het feit dat allerlei soorten IT-systemen nu vrijwel constant worden aangevallen, wat betekent dat er geen duidelijke eindstreep aan het werk is. Er is nooit een downtime. Het is non-stop en elke dag is een strijd, zegt Andrea Little Limbago, een executive bij cyberbeveiligingsbedrijf Endgame die heeft geschreven over het onderwerp stress op de cyberwerkplek.

De snelheid waarmee slechteriken innoveren, zorgt ook voor unieke druk. De uitdagingen om bij te blijven zijn krankzinnig, zegt Jack Daniel, de mede-oprichter van BSides, een andere veiligheidsconferentie die geestelijke gezondheidsproblemen naar voren heeft gebracht.

Werktekort

Tot overmaat van ramp kampt de industrie met een tekort aan geschoolde arbeidskrachten. Volgens een schatting , blijven er alleen al in de VS zo'n 300.000 cyberbeveiligingsfuncties vacant. Dat betekent extra werk - en druk - voor degenen die onvervulde rollen vervullen.



Een wereldwijd onderzoek onder 343 cybersecurity-managers gepubliceerd in november 2017 door de Enterprise Strategy Group en de Information Systems Security Association, bleek dat bijna 40 procent van hen zei dat het tekort aan vaardigheden een hoge mate van burn-out en personeelsverloop veroorzaakte. Er is echt dringend behoefte aan meer serieus onderzoek hiernaar, zegt Daniel.

Alleen al het verkrijgen van een basislijn van waaruit de stressniveaus in het cyberpersoneel kunnen worden gemeten, zou nuttig zijn. Twee onderzoekers van de Amerikaanse National Security Agency, Celeste Lyn Paul en Josiah Dykstra, hebben interne onderzoeken uitgevoerd bij de organisatie, waarvan het personeel zich vaak in stressvolle situaties bevindt. Zij hebben een stress-enquête ontwikkeld die kan worden gebruikt voor een eenmalig onderzoek of als doorlopende benchmark. De onderzoekers zullen dit bespreken op Black Hat en zeggen dat ze van plan zijn het op 13 augustus online te zetten, zodat iedereen er toegang toe heeft.

AI te hulp?

Hoewel meer empirisch bewijs welkom zou zijn, kunnen bedrijven al stappen ondernemen om stressgerelateerde problemen aan te pakken door ervoor te zorgen dat cyberverdedigers regelmatig vrij hebben, worden aangemoedigd om hun zorgen over de werkdruk met managers te delen en toegang te krijgen tot adviesbronnen en advies over psychische problemen.



Technologie kan uiteindelijk ook helpen om zaken te verbeteren. Hordes leveranciers van cyberbeveiligingssoftware omarmen machine learning-tools als een manier om steeds meer taken te automatiseren. Dat zou uiteindelijk een deel van de druk van overwerkte werknemers kunnen verlichten, maar voordat dat op grote schaal gebeurt, zullen er veel meer mensen nodig zijn in de cyberfrontlinies.

zich verstoppen