Rapport
Security by behavioural design
In 2021 heeft het NCSC de Universiteit Leiden gevraagd om een rapid review uit te voeren naar best practices en mogelijkheden voor vervolgonderzoek over de integratie van gedragswetenschappen in security by design methodologieën en projecten. Dit academische veld wordt security by behavioural design genoemd. Het doel ervan is om systemen op zo’n manier te ontwerpen dat de gebruiker zich vrijwel automatisch veiliger gaan gedragen.
- Auteur
- Dr. Els de Busser & Dr. Tommy van Steen
- Datum
- 20 september 2021
- Links
- NCSC 'Security by behavioural design'
De rapid review is een literatuurstudie, aangevuld met een sense check waarbij de globale bevindingen zijn voorgelegd aan experts om te onderzoeken in hoeverre zij potentie zien in security by behavioural design oplossing voor cybersecurity problemen. Het onderzoek richt zich vooral op nudging, ook wel choice architecture genoemd, en techno-regulation. Dit is een rechtsgebied dat suggereert dat securtity geforceerd kan worden door de vrijheid om daar niet voor te kiezen, weg te nemen.
Bij nudging wordt nagegaan hoe keuzes zo kunnen worden aangeboden dat ze gestuurd kunnen worden in een voorbedachte richting, zoals het verbeteren van cybersecuritygedrag. Uit de resultaten van het onderzoek blijkt dat security by behavioural design een goede methode is om cybersecuritygedrag te verbeteren. Voor een langdurige verbetering is het nodig om meermaals een nudge toe te passen wanneer gebruikers een keuze moeten maken tussen security en bruikbaarheid.
Bij het gebruik van nudging moeten wel ethische aspecten meegewogen worden, daarnaast moeten nudges uitvoerig getest worden op effectiviteit. Hierbij kunnen ontwikkelaars en gedragswetenschappers goed samenwerken, zeker in het geval van complexe(re) beslissingen en gedrag van gebruikers.
De geraadpleegde experts zien de toegevoegde waarde van het meenemen van veilig cybersecuritygedrag in ontwerpprocessen. Hierbij is vooral de combinatie van techno-regulation en nudging relevant. Techno-regulation kan gebruikt worden voor hoog risicogedrag en nudging voor casussen waarbij er weinig tot geen risico is.