‘Fout van politievrijwilliger zette deur open voor hackers’, kopt De Telegraaf. Daar had natuurlijk moeten staan: "Fout van het management zette deur open voor criminelen", schrijft Fleur van Leusden op LinkedIn in een stuk dat veel bijval kreeg. "Dit is van hetzelfde kaliber als de stagiaire de schuld geven. Of de CISO ontslaan na een aanval. Als dit de conclusie is bij een datalek als deze, dan snap je duidelijk security niet."
"In mijn periode als digitaal onderzoeker bij de Onderzoeksraad voor Veiligheid heb ik veel geleerd. Maar het voornaamste dat ik leerde is dat dit soort dingen nooit gebeuren in een vacuüm. Het is nooit de schuld van een enkel individu. Het is nooit Bob die de rode knop wel of niet indrukte op het juiste moment, waardoor de ramp gebeurde. Het is de context, de omgeving, waarin iemand werkt."
"Krijgen mensen de juiste begeleiding, opleiding, middelen en tijd ter beschikking? Zijn systemen fool-proof ingericht? Is de juiste manier van handelen intuïtief wat je zou kiezen?
Het zijn de mensen die hiervoor verantwoordelijk zijn, die de verantwoordelijke zijn voor Bob (verzonnen naam voor het voorbeeld) die op de phishinglink klikte. De phishingmail had nooit in de inbox terecht moeten komen door goede filtering. De link had niet moeten werken, door goede firewall instellingen. Etc, etc. Het is zelden de schuld van een individuele medewerker. Dat is het alleen als die actief maatregelen saboteert om willens en wetens narigheid te veroorzaken."
"Ik heb te doen met deze vrijwilliger. Je zou maar zo in de krant staan. Reken maar dat collega's weten over wie dit gaat. En het is onterecht, want het is dus helemaal niet diens schuld. Medewerkers zijn de laatste verdedigingslinie, niet de eerste. Wat er had moeten staan? Fout van het management zette deur open voor criminelen."
Fleur van Leusden is CISO bij de Kiesraad