Achtergrondartikel

Wat is social engineering?
auteur: Hans Dalhuijsen


Samenvatting

Social Engineering is een in oorsprong positief politicologisch begrip, dat is verworden tot zoiets als het gebruiken van sociale vaardigheden om anderen te beïnvloeden en vooral te benadelen.
Onze hele Nederlandse samenleving is echter gebaseerd op 'Social Engineering'. Misbruik van sociale vaardigheden voor criminele doelen kun je dus niet voorkomen door veiligheidsprocedures, door verbieden van contacten of zelfs door een verbod op het leren van sociale vaardigheden.

De oplossing moet aangrijpen bij de mens zelf. Kernvragen daarvoor zijn:
  • Hoe motiveer je mensen om het goede te doen en hoe neem je waar wanneer ze daarvan afwijken?
  • Hoe neem je waar wanneer iemand je tracht te misleiden?
Het antwoord op deze vragen is: krijg inzicht in hoe mensen zich motiveren en hoe ze communiceren. Gebruik dat vervolgens om hen en jezelf op weg te houden naar het positieve doel.
Trainingen in Social Engineering op basis van het ISE persoonlijkheids- en culturenmodel bieden hiervoor het optimale gereedschap.


De oorsprong van Social Engineering

Mensen zijn groepsdieren. Als twee of meer mensen bij elkaar komen is er dus altijd groepsdynamiek waarmee zij elkaar beïnvloeden om een groep te vormen. Dit proces leidt uiteindelijk tot een veilige, gemotiveerde groep die zich inzet voor het doel van de resulterende leider.
Communiceren is invloed uitoefenen en 'niet communiceren' is niet mogelijk. Immers ook niet naar de vergadering gaan is een interventie.
De westerse (Amerikaanse) cultuur die in Nederland steeds meer terrein wint heeft veel kenmerken van een beginnende groep waarin je je communicatievaardigheden alleen ten bate van jezelf gebruikt. Je omgang met anderen blijft beperkt tot sociale relaties waarin geldt: 'ieder voor zich en God voor ons allen'.

In deze Amerikaanse 'ik-gerichte' cultuur is ook het begrip 'Social Engineering' ontstaan. Social Engineering is 'het door de overheid bouwen aan een welvaartstaat door het creëren van besturingsinstrumenten voor de daarvoor nodige sociale solidariteit'.
President Johnson's 'Great Society' (1964) en McGovern's gegarandeerde minimum inkomen voor gezinnen (1972) waren doelen die met 'social engineering' moesten worden bereikt.
De betrokken politici moesten de burgers bewegen om via belastingen in deze solidariteit te willen investeren. Dit is toen niet gelukt. Het draagvlak bij de burgers (een beginnende groep) ontbrak voor het creëren van wat zij noemden een 'onbeheersbaar overheidsapparaat'.


Ontstaan van het Institute of Social Engineering

In 1980 rees bij mij de vraag: Hoe motiveren mensen zich om aan iets nieuws te beginnen? Als ingenieur bedoelde ik deze vraag in technische zin. Hoe zet je 'motiveren' aan en hoe zet je het weer uit.
Dit wilde ik weten om daarmee meer draagvlak te kunnen creëren voor mijn beleids- en organisatieadviezen en om leidinggevenden en adviseurs effectiever te kunnen coachen.

Daar de mensgerichte studierichtingen en andere opleidingen in Nederland zich hiermee niet bezig hielden (en houden), ben ik zelf het antwoord op die vraag gaan vinden, uitgaande van waarneembare gedrags- en motivatiepatronen van mensen in hun sociale relaties en persoonlijke contacten.
Zo construeerde ik het ISE persoonlijkheids- en culturenmodel, een universeel model waarmee je menselijke motivatie-, communicatie- en gedragspatronen in alle culturen kunt herkennen en beschrijven; een model dus van de structuren achter sociale relaties.
Daarbij kwam omstreeks 1985 het begrip 'Social Engineering' weer boven drijven als naam voor het instituut van waaruit ik mijn activiteiten als adviseur en management trainer wilde voortzetten.

De activiteiten van het Institute of Social Engineering richten zich op:
  • creëren van inzicht in de structuren achter maatschappelijke en organisatorische processen,
  • overdracht van vaardigheden in het creëren van draagvlak voor gewenste veranderingsprocessen in mensen en organisaties,
  • het (bege)leiden van deze veranderingsprocessen.

De 'moderne' betekenis van Social Engineering

Social Engineering betekent tegenwoordig vooral: het gebruik van je sociale vaardigheden om andere mensen te bewegen tot het doen van dingen die ze anders niet gedaan zouden hebben.
Daarbij gaat het vooral om activiteiten die inhoudelijk gezien negatief geduid kunnen worden.

Dit speelt vooral in de IT-sector: iemand van buiten de organisatie (de 'social engineer') geeft zich telefonisch uit voor de hogere chef van een net aangenomen IT-medewerker. Hij deelt de nieuweling mede dat die een fout heeft gemaakt en vraagt om zijn wachtwoord, waarmee hij zich vervolgens toegang verschaft tot het computersysteem.
Deze techniek is door hackers in de USA gebruikt om zich toegang te verschaffen tot enkele grote computersystemen van bedrijven en de overheid.

In gewoon Nederlands hebben we het dan bij een negatieve inhoud over 'openlijke misleiding' en anders over voorlichting, of handelen met een verborgen eigen doel of belang.
Dit doel kan strijdig zijn met het openlijke (organisatie- of persoonlijke) doel, maar dat hoeft niet.

Social Engineering in deze moderne betekenis kun je alleen negatief kwalificeren als je de positieve kant van het onderliggende gedragspatroon van de 'social engineer' negeert. Dit gedragspatroon is:
Het beïnvloeden van mensen om ze iets te laten ondernemen of beslissen, waarvan ze niet vooraf weten of dat goed voor hen zal uitpakken.
Het is een natuurlijk gedragspatroon van leiders in elke groep.

In Nederland vinden we 'Social Engineering' in deze moderne betekenis vrijwel overal terug. 'Negatieve' en 'positieve' voorbeelden zijn:
  • verkiezingscampagnes, Haagse lobby-activiteiten en politieke debatten in de Tweede Kamer,
  • persberichten van de Nederlandse overheid en Postbus 51 activiteiten,
  • het uit eten gaan met en omkopen van ambtenaren,
  • het samen met een collega gemaakte rapport als eigen werk bij de baas indienen om zelf te scoren,
  • het als straatartiest, -muzikant of schrijver van bedelbrieven ophalen van geld,
  • het als marktkramer, autoverkoper, verzekeringsadviseur/bemiddelaar of reclamebureau mensen artikelen en producten aanpraten,
  • het als arts een patiënt overhalen tot het ondergaan van chemotherapie,
  • het als manager overhalen van medewerkers om de voetbalwedstrijd in hun vrije tijd in te wisselen voor overwerk,
  • het motiveren van je kinderen tot goede schoolprestaties,
  • het als therapeut bewegen van je cliënt om het trauma of een depressie achter zich te laten,
  • enzovoorts.
Kortom, onze hele maatschappelijke ordening is gebaseerd op 'Social Engineering'. Immers zonder burgers te bewegen, te motiveren, om zich in nieuwe beleidsmaatregelen te voegen, kan de overheid het wel schudden. Echter, door onwetendheid over wat mensen motiveert en hoe dan wel, schiet de overheid hierbij nogal eens mis.
Bewijs hiervoor zijn de vele mislukte beleidsmaatregelen 'zonder maatschappelijk draagvlak', variërend van te lage maximum snelheden op de snelweg tot het verbod op het gebruik van chemische en soft drugs.
Ook in organisaties gaat veel mis door gebrek aan Social Engineering door het management.

En hiermee zijn we weer terug bij de oorspronkelijke betekenis van Social Engineering.


Hoe voorkom je misbruik van sociale vaardigheden?

Zoals met alles geldt ook hier: niet de techniek of de vaardigheid is het probleem, maar de mensen die hem voor hun eigen doelen gebruiken. Misbruik gebeurt vrijwel alleen wanneer contact tussen mensen slechts 'sociaal' en niet persoonlijk is, immers: 'mensen schieten geen mensen dood maar alleen ideeën (normafwijkingen of vijandbeelden)'.

In onze westerse cultuur worden mensen, gestimuleerd door overheid en media, steeds vaker beoordeeld als een verlengstuk van hun gedrag. Motieven voor gedrag tellen steeds minder mee. Wijkt iemands gedrag af van je norm, dan heeft iedere 18 jarige al 40.000 keer op TV gezien dat je deze lastpak gewoon kunt afknallen.
De huidige Social Engineering van de Nederlandse overheid beoogt een sociale en veilige maatschappij te creëren door handhaven van 'normen en waarden' boven 'omgaan met de mens achter het gedrag' te stellen. Hiermee wordt echter de Amerikaanse manier van 'niet-met-elkaar-omgaan' gestimuleerd met als voorspelbaar en overal zichtbaar bij-effect: toenemend fysiek geweld tegen de ander die slechts een 'normafwijking' is.

In deze cultuur leren mensen steeds opnieuw dat technologische hardware, regels en procedures geen oplossing bieden voor communicatie-, loyaliteits- en integriteitsproblemen tussen mensen onderling en in organisaties. Dit soort 'omgangstoornissen' kun je alleen oplossen door weer met elkaar om te gaan als met mensen.
Dit vraagt niet om normen, maar om een ontmoetingsproces waarin mensen leren assertief met elkaar te communiceren op basis van integriteit, loyaliteit, een door allen gedragen groepshiërarchie en een groepsdoel. In de veilige en contactuele (organisatie)cultuur die daardoor ontstaat, krijgt 'misleiding ten eigen bate' weinig kans. In een contactuele organisatiecultuur is het bovengenoemde IT-probleem als volgt gemakkelijk te ondervangen:

Elke medewerker met toegang tot systemen moet op dag van zijn aanstelling al snappen welke belangen zijn/haar systeem en de toegang daartoe dienen. Voorts dient hij/zij iets als de volgende procedure te kennen en te gebruiken:
  1. Na een telefonische vraag om een wachtwoord (dus in een situatie zonder visueel contact en identiteitscontrole) moet altijd een fout wachtwoord worden afgegeven, ongeacht de geloofwaardigheid van de beller en ongeacht het prettige gesprek.
  2. Hij/zij dient onmiddellijk de chef in kwestie terug te bellen op diens vaste telefoonaansluiting, of ernaar toe te gaan, ongeacht het tijdstip van de dag. Dit kan, daar de chef de medewerker immers ook net belde. Weet de chef van niets dan is er geen probleem en is de misleiding gesignaleerd. De 'social engineer' zal op grond van het goede contact opnieuw bellen, waarna hij/zij kan worden opgespoord.
Deze procedure moet al op dag 1 worden getest door de chef zelf en daarna geregeld opnieuw, ook door anderen, op momenten met verschillende stressniveaus. Het is belangrijk dat de chef en de medewerker dan elke keer even een ontspannen contact kunnen hebben.

Om zo te kunnen werken is in veel organisaties een cultuurverandering nodig. In veel IT-ondernemingen zijn de Amerikaanse culturele waarden 'acceptatie' en 'erkenning', 'beloning' en 'straf' de belangrijkste managementinstrumenten. Juist deze waarden creëren het klimaat waarin de bovengenoemde misleiding mogelijk is. Voorts blokkeren zij een adequate beveiliging ertegen.
Gelukkig begint de IT-sector thans het belang van contactuele en coachende vaardigheden in te zien.

Het bereiken en onderhouden van een contactuele organisatiecultuur door menselijk en stimulerend om te gaan met collega's, is de voornaamste taak van zowel leidinggevenden als medewerkers.
Onze programma's bieden u de hiervoor nodige contactuele-, leidinggevende-, coachings- en interventievaardigheden, kortom vaardigheden in Social Engineering.

© copyright ISE-Training 16 februari 2004 Hans Dalhuijsen

Download dit artikel »

top