Omgaan met de psychologische gevolgen van een cyberaanval

Een cyberaanval kan het hart van een organisatie raken. Zowel de reputatie, als de prestaties en financiën kunnen door een incident schade oplopen. De kosten van cybercriminaliteit stijgen wereldwijd met 15 procent per jaar en worden geschat op 10,5 biljoen dollar in 2025. In 2015 was dit bedrag nog 3 biljoen dollar.

Parisa Bazl, Head of User Experience bij Commvault, ziet dat er naast de zakelijke impact ook een menselijk element is dat vaak over het hoofd wordt gezien. Onderzoeken tonen aan dat werknemers en beveiligingsprofessionals ernstige persoonlijke gevolgen kunnen ervaren na een cyberaanval, variërend van psychologische en fysieke problemen tot sociale en financiële stress. Volgens het Royal United Services Institute (RUSI) kan ransomware levens verwoesten, ervoor zorgen dat mensen hun baan verliezen of schaamte voelen en bijdragen aan ernstige gezondheidsproblemen.

Uit onderzoek van Northwave blijkt dat één op de zeven werknemers die betrokken is bij een aanval, maanden erna nog symptomen vertoont die professionele hulp vereisen. De resultaten van het onderzoek zijn in drie fasen ingedeeld, een week, een maand en een jaar na de aanval. Elk met hun eigen symptomen, van gevoelens van schuld en burn-out tot hoge druk en uitputting, Een op de vijf overweegt een andere baan. Een onderzoek van IBM toont aan dat bijna twee derde van de mensen die op cyberincidenten reageren, psychische hulp zoekt vanwege de veeleisende aard van hun werk.

Wat moet er veranderen om deze situatie te veranderen? Het start met begrip. Iedereen moet zich bewust zijn dat men binnen moderne organisatie kwetsbaar is voor de gevolgen van een beveiligingsincident. Een goede aanpak begint vervolgens met het opbouwen van een open organisatiecultuur waarin medewerkers worden ondersteund, kennisdeling wordt gestimuleerd, en opleiding en training een belangrijke rol spelen. Dit helpt zowel bij het voorkomen van een aanval als bij het beperken van de psychologische impact op de betrokkenen.

Toenemende urgentie
Omdat cyberaanvallen in frequentie toenemen en steeds geavanceerder zijn, wordt een gedegen aanpak steeds urgenter. Praktisch gezien zouden teamtrainingsprogramma’s realistische scenario’s moeten bevatten die niet alleen cyberbeveiligingsincidenten in detail beschrijven, maar ook de psychologische gevolgen ervan onderzoeken, om zo een dieper begrip en empathie bij alle medewerkers te bevorderen.

Het is begrijpelijk dat effectieve cyberbeveiliging sterk gericht is op het begrijpen van diepgaande technische kwesties die specialistische kennis, ervaring en geavanceerde tools vereisen. Echter, de toenemende mogelijkheid om vrijwel iedereen te manipuleren, ongeacht hun technische competentie, maakt het probleem nog groter. De snelle ontwikkeling van AI is een van de redenen hiervoor. Het heeft het voor phishers makkelijker gemaakt om valse e-mails te genereren, zeer realistische deepfakes te maken en malware te produceren. Daarom is het essentieel dat er processen zijn om social engineering-strategieën te voorkomen.

Het implementeren van procescontroles, zoals beperkingen op geldtransfers, kan helpen om de kans op succesvolle aanvallen te verkleinen. Organisaties die vooruitplannen en mogelijke kwetsbaarheden voor niet-technische medewerkers in kaart brengen, zijn beter in staat om deepfake-aanvallen en andere geavanceerde tactieken te weerstaan dan organisaties die ervan uitgaan dat ze geen doelwit zullen zijn.

Deze aanpak moet zich ook uitstrekken tot de ondersteuning van werknemers die het slachtoffer zijn van een aanval of die deel uitmaken van het team dat verantwoordelijk is voor de bestrijding en het herstel. Hier spelen interne ondersteuningsmechanismen een cruciale rol, waarbij werknemers toegang krijgen tot de middelen die nodig zijn om de geestelijke gezondheid te ondersteunen. In plaats van individuen de schuld te geven van fouten die iedereen zou kunnen maken, van de jongste werknemer tot de CEO, moeten organisaties zich richten op het gezamenlijk leren van hun ervaringen.

40% van cyberaanvallen wordt niet gemeld
Zonder een positieve bedrijfscultuur lopen organisaties het risico dat werknemers cybersecurity-incidenten niet melden uit angst voor de gevolgen. Onderzoek toont aan dat meer dan 40% van de cyberaanvallen niet aan het management wordt gemeld, en driekwart van degenen die niet rapporteerden, voelde zich schuldig.

Alles bij elkaar genomen is het duidelijk dat werknemers die betrokken zijn bij cyberbeveiligingsincidenten, of ze nu ongewild slachtoffer zijn of deel uitmaken van het cyberbeveiligingsteam, onder enorme druk kunnen komen te staan. In een tijd waarin werkgevers meer energie steken in het welzijn op de werkplek, kan het negeren van deze kwesties leiden tot verwoestende persoonlijke gevolgen.

Organisaties die proactief maatregelen nemen om inbreuken op de beveiliging te voorkomen en tegelijkertijd een ondersteunende omgeving creëren voor degenen die getroffen worden door cyberincidenten, zijn niet alleen veerkrachtiger, maar geven ook blijk van hun toewijding aan het welzijn van hun medewerkers. Met het oog op de risico’s die gepaard gaan met cyberbeveiliging en gegevensbescherming is dit een uiterst krachtige organisatorische kwaliteit om te laten zien.

Bronnen:

https://static.rusi.org/ransomware-harms-op-january-2024.pdf
https://26168787.fs1.hubspotusercontent-eu1.net/hubfs/26168787/Northwave-Research-After-the-crisis-comes-the-blow-The-mental-impact-of-ransomware-attacks-1.pdf
https://newsroom.ibm.com/2022-10-03-New-IBM-Study-Finds-Cybersecurity-Incident-Responders-Have-Strong-Sense-of-Service-as-Threats-Cross-Over-to-Physical-World
https://www.prnewswire.com/news-releases/keeper-security-releases-cybersecurity-disasters-survey-incident-reporting–disclosure-301938319.html