Inbreuken op de gegevensbeveiliging beginnen vaak met een moment van menselijke kwetsbaarheid onder druk of vermeende autoriteit, zegt Mark T. Hofmann, een misdaad- en inlichtingenprofiler en bedrijfspsycholoog die onderzoek doet naar de methoden van hackers op het darknet. In een interview met ICT&health legt hij uit waarom cybercriminaliteit in de eerste plaats een psychologische uitdaging is, hoe aanvallers misbruik maken van menselijk gedrag en waarom zorginstellingen bijzonder kwetsbaar zijn.
Wat doe je in de praktijk als crimineel en inlichtingenanalist en organisatiepsycholoog?
Mijn aanpak is riskant, maar effectief. Ik ga waar anderen niet kijken, naar het darknet, hackerforums, Telegram en gelekte chatlogs zoals de Conti-leaks. In de praktijk combineer ik gedragsanalyse met direct onderzoek op het darknet en interacties. Ik probeer hackers uit de eerste hand te analyseren: wie zijn ze? Hoe denken ze? Wat drijft hen? Hoe organiseren ze zich? Het doel is altijd hetzelfde: ik leer van de ‘slechteriken’ om organisaties en autoriteiten te laten zien hoe ze zichzelf kunnen beschermen. Ik richt me op de menselijke kant van cyberbeveiliging, zoals bewustwording en cyberprofilering. Op het eerste gezicht zou je kunnen denken dat cybercriminaliteit een technisch probleem is, maar aan de kant van de slachtoffers en hackers speelt veel psychologie mee. Dat is mijn focus.
Welke psychologische eigenschappen komen het meest naar voren uit je profilering van hackers en cybercriminelen? Wat moet iedereen weten over hun motieven?
Hackers zijn vaak jong, zeer intelligent en goed opgeleid, met een sterk verlangen om het systeem uit te dagen. Velen zou ik omschrijven als ‘digitale anarchisten’, omdat ze genieten van het kat-en-muisspel met autoriteiten en trots zijn op hun vaardigheden. Geld is vaak slechts de eerste drijfveer; de spanning, de uitdaging, het verlangen om de ‘puzzel’ op te lossen en prestige zijn net zo belangrijk. Zelfs hackers die al voldoende geld hebben, zetten hun activiteiten voort; het gaat niet alleen om geld, maar ook om status, macht, aandacht en beheersing van systemen. In de loop der tijd heb ik een breed scala aan motieven geïdentificeerd; ze zijn niet allemaal hetzelfde, maar dit patroon is duidelijk.
Waarom trappen mensen ondanks jarenlange bewustmakingscampagnes nog steeds in social engineering-aanvallen?
Cybercriminaliteit is geen technisch probleem. Het is een psychologisch probleem. Aanvallers gebruiken altijd dezelfde triggers: emotie, tijdsdruk en ongebruikelijke verzoeken. Emotie is misschien wel de belangrijkste. Dit werkt omdat mensen reflexmatig reageren voordat ze nadenken. Bewustwording alleen is vaak niet voldoende wanneer stress, routine of verrassing een rol spelen. Zelfs ervaren mensen kunnen worden misleid, vooral wanneer vertrouwen wordt gesuggereerd door middel van stem, autoriteit of urgentie. Stel je voor dat je een noodoproep krijgt van je dochter met de echte stem van je dochter. Met deepfake-technologie is dat mogelijk. En ja, dit kan verdomd overtuigend zijn.
Wat maakt zorgprofessionals en administratief personeel vanuit psychologisch oogpunt bijzonder kwetsbaar voor social engineering? Welk dagelijks gedrag in zorginstellingen leidt tot het grootste cyberrisico?
Zorgpersoneel werkt onder hoge stress en verantwoordelijkheid. Artsen, verpleegkundigen en administratief personeel handelen snel en onder druk. Aanvallers maken hier misbruik van met social engineering: een kort telefoontje, e-mail of bericht dat urgentie creëert, waardoor rationeel denken wordt uitgeschakeld. Typische risico's zijn onder meer het onbeheerd achterlaten van laptops, het delen van wachtwoorden via de telefoon of het opschrijven ervan op Post-it-briefjes, het openen van bijlagen zonder verificatie of het luid bespreken van patiëntinformatie in openbare ruimtes. Elke kleine routinefout kan een toegangspoort voor aanvallers worden. Op een avond liep ik door de gangen van het Charité Berlin en moest ik lang wachten. Het aantal computers dat ik ontgrendeld en onbeheerd zag staan, was behoorlijk schokkend.
Mensen zijn de zwakste schakel in cyberbeveiliging. Welke cognitieve vooroordelen maken aanvallers het meest effectief gebruik van?
De belangrijkste hefbomen zijn emotie, urgentie en soms het autoriteitsprincipe: " Hier is de politie“, ”Er is een probleem met uw bankrekening, we moeten snel handelen". Vooral wanneer iemand druk uitoefent om ons iets ongewoons te laten doen, zoals het onthullen van wachtwoorden of het overmaken van geld, moeten we even pauzeren, rustig aan doen en snel de realiteit controleren: Zou mijn bank me bellen en om mijn wachtwoord vragen? Zou de belastingdienst me bellen? Zou mijn zoon me telefonisch om geld vragen? Denk na voordat u handelt en luister naar uw intuïtie.
Wat voegt “gedragsprofilering” eigenlijk toe aan cyberdefensie dat technische hulpmiddelen niet kunnen?
Ken je vijand. Ik beschrijf cybercriminaliteit graag als een soort gedrags-schaakspel. Hoe beter we de gedachten, motieven en methoden van hackers begrijpen, hoe beter we ons kunnen verdedigen en voorbereiden. Als we nu begrijpen hoe hackers AI en deepfakes gebruiken en waar deze trend naartoe gaat, kunnen we ons voorbereiden.
Er zijn gedragingen die technische beveiligingsmaatregelen kunnen aanpakken. Als je een wachtwoord op een telefoon prijsgeeft omdat iemand beweert de ‘IT-ondersteuning’ te zijn en er een noodgeval is, wat kan je firewall of technisch beveiligingsteam daar dan aan doen? Ik ben niet tegen technische beveiligingsmaatregelen. Lange, gevarieerde wachtwoorden, firewalls, netwerkbeveiliging en meervoudige authenticatie zijn essentieel. Maar we hebben zowel een technische als een menselijke firewall nodig. Beveilig je systemen en train je mensen.
Wat betekent ‘menselijke firewall’ precies?
Een ‘menselijke firewall’ betekent dat mensen in de organisatie niet het zwakke punt zijn, maar de eerste verdedigingslinie. Het gaat om bewustzijn, kritisch denken, routines en een beveiligingscultuur. Mijn motto als keynote speaker is ‘Make Cybersecurity great again’. Ik denk dat we dit soort dingen te saai laten klinken, en dat mensen een hekel hebben aan cybersecurity-bewustzijnstrainingen. Maar dat hoeft niet zo te zijn. Een reis naar het darknet kan boeiend zijn, net als een Netflix-film, en tegelijkertijd mensen leren hoe ze zichzelf kunnen beschermen.
Is er duidelijke begeleiding voor het creëren van een organisatiecultuur om cyberrisico's te minimaliseren?
Ik heb twee belangrijke principes om mensen echt te inspireren. Ten eerste: maak cybersecurity weer geweldig. Ik wil het net zo boeiend maken als een true crime-serie (wat het eigenlijk ook is) en tegelijkertijd vermakelijk. Na mijn eerste TEDx-lezing over de ‘psychologie van cybercriminaliteit’ zei iemand achteraf: ‘Dat was vermakelijk, maar vind je echt dat een doodserieus onderwerp als cybercriminaliteit vermakelijk moet zijn?’ Nee, het moet niet vermakelijk zijn; het moet vermakelijk zijn. Het is de enige manier om mensen te bereiken die niet geïnteresseerd zijn in deze IT- en cybersecurityonderwerpen. En is dat niet de belangrijkste doelgroep?
Ten tweede: maak het persoonlijk en niet alleen zakelijk. We geven allemaal om onze dierbaren en ons eigen welzijn. Ik probeer altijd een verband te leggen tussen persoonlijke risico's en zakelijke risico's: wat ‘CEO-fraude’ is in het bedrijfsleven, is ‘grootouderzwendel’ in de privésfeer. Dezelfde werkwijze. Als je het over mensen hebt en niet alleen over zaken, zullen ze luisteren. Vooral in ziekenhuizen gaat het niet (alleen) om geld, maar om levens.
Hoe veranderen psychologische aanvalspatronen nu AI, deepfakes en stemklonen in opkomst zijn? Is het realistisch om in de dagelijkse stress en tijdsdruk van de gezondheidszorg een menselijke firewall op te bouwen tegen telefonische phishing, die moeilijk te detecteren is?
De Duitse federale politie (BKA) waarschuwt dat AI de kwantiteit en kwaliteit van cyberaanvallen kan vergroten. AI en deepfakes tillen social engineering naar een nieuw niveau. Een paar seconden opgenomen stem, een korte video of zelfs een voicemail is voldoende om een overtuigende kloon te creëren. Dit maakt CEO-fraude, imitatie en identiteitsaanvallen aanzienlijk effectiever. In de gezondheidszorg maakt de combinatie van tijdsdruk, stress en multitasking detectie uiterst moeilijk.
Toch is een menselijke firewall realistisch als het personeel is getraind om even stil te staan, te verifiëren en vastgestelde routines te volgen – het echte nummer bellen, verificatievragen stellen of vooraf afgesproken codewoorden gebruiken. Bewustzijn, in combinatie met cultuur en routine, blijft de meest effectieve verdediging.
Welke aspecten van menselijk gedrag moeten cybersecurityteams beter begrijpen om aanvallers voor te blijven?
Ik noem drie belangrijke punten:
- Mensen reageren reflexmatig onder invloed van emoties en stress. Aanvallers maken hier systematisch gebruik van, en AI zal zowel de kwantiteit als de kwaliteit van deze aanvallen vergroten.
- Autoriteit en urgentie zijn krachtige hefbomen; zelfs hoogopgeleide mensen kunnen worden misleid.
- De meeste cyberaanvallen beginnen met menselijke fouten, maar mensen kunnen ook de sterkste verdediging zijn als ze zijn getraind, gemotiveerd en bekwaam. Maak het persoonlijk. Maak het leuk en spannend.
Als u het ziekenhuismanagement drie psychologische prioriteiten zou moeten geven om de cyberbeveiliging te verbeteren, welke zouden dat dan zijn?
Als ik het voor het ziekenhuismanagement zou moeten samenvatten, zou ik zeggen dat de eerste prioriteit is om cyberbeveiliging niet langer als een puur technisch probleem te zien, maar mensen te gaan beschouwen als de echte eerste verdedigingslinie. Dat betekent dat er een sterke menselijke firewall moet worden opgebouwd en onderhouden door middel van voortdurende bewustwording, duidelijke routines en een cultuur waarin beveiliging deel uitmaakt van het dagelijkse werk, en niet slechts een incidentele trainingspresentatie is.
De tweede prioriteit is het normaliseren van verificatie. Medewerkers moeten worden aangemoedigd om even stil te staan, dubbel te controleren en te verifiëren voordat ze handelen, zelfs onder druk. Meervoudige authenticatie, terugbellen of eenvoudige codewoordprocedures moeten worden gezien als ondersteunende vangnetten, niet als tekenen van wantrouwen of bureaucratie.
En tot slot is het cruciaal om medewerkers te helpen de psychologie van aanvallers te begrijpen. Wanneer mensen leren waarom aanvallen werken, hoe urgentie, autoriteit en angst opzettelijk worden gebruikt en welke cognitieve vooroordelen worden uitgebuit, worden ze veel beter in het herkennen van rode vlaggen en het weerstaan van manipulatie in praktijksituaties.
Mark T. Hofmann is misdaad- en inlichtingenanalist (‘profiler’) en bedrijfspsycholoog (M.A.). Hij bestudeert hackers op het darknet om een insiderperspectief te krijgen. Hij is een bekende cyberprofiler die bekend is van internationale televisie- en streaming series (CNN, CBS, Forbes, 60 Minutes Australia). Als keynote speaker inspireert hij wereldwijd zijn publiek door te spreken over de psychologie van cybercriminaliteit en de donkere kant van AI. Website: www.mark-thorben-hofmann.de/en/cybercrime
