Er zijn twee soorten datalekken: lek door hack en lek door insider. We
kunnen ons relatief goed beschermen tegen hackers, en dus ook tegen hackers die
data stelen. Dat is een kwestie van de deur stijf gesloten houden voor iedereen
zonder autorisatie. De tweede soort valt ook weer in tweeën uiteen: medewerkers
die opzettelijk data naar buiten brengen en medewerkers die dat per ongeluk
doen. Ik ben ervan overtuigd dat verreweg de meeste datalekken door die laatste
groep worden veroorzaakt.
Het opzettelijk lekken door een medewerker is nauwelijks tegen te gaan.
Natuurlijk, je kunt heel veel dichtzetten: je verstrekt autorisaties alleen aan
wie ze echt nodig heeft (need to know),
schrijfrechten op externe media (zoals USB-sticks) geef je alleen aan
medewerkers waarvan de hoogste baas vindt dat ze anders hun werk niet
fatsoenlijk kunnen uitvoeren, dat soort dingen. Maar kun je ook externe mailen
dichtzetten en de printer afvoeren? Ik betwijfel of een organisatie dan nog
effectief kan functioneren, laat staan efficiënt.
Maar zoals gezegd, de meeste datalekken worden per ongeluk veroorzaakt
door eigen medewerkers. Bijvoorbeeld door een USB-stick die in de trein uit je
broekzak glijdt, door een stapeltje documenten dat ergens blijft liggen of door
bestanden die iemand naar zijn privé-adres mailt om er thuis aan verder te
werken. Ook dergelijke onopzettelijke lekken kun je maar tot op zekere hoogte
technisch dichten. Je kunt ervoor zorgen dat USB-sticks altijd automatisch
versleuteld zijn en dat zo min mogelijk medewerkers überhaupt iets met externe
media kunnen doen. Net als bij de bestrijding van opzettelijk lekken geldt
echter ook hier dat er grenzen zijn aan de maatregelen die je kunt treffen
zonder het functioneren van de organisatie aan te tasten.
Wat ons dan nog rest is het vergroten van het risicobewustzijn van
medewerkers. Die doen bepaalde dingen met de beste bedoelingen, zonder zich te
realiseren dat die in strijd zijn met het beveiligingsbeleid – het beleid dat
beschrijft hoe we de beschikbaarheid, integriteit en vertrouwelijkheid van onze
data borgen, en dat dus ook regels bevat die het lekken van data moeten
voorkomen.
Neem nou het ‘naar huis mailen’ van bestanden. Het gaat al mis bij deze
zegswijze. Je mailt namelijk helemaal niet ‘naar huis’. Je mailt vanuit de
mailserver van je organisatie naar een mailserver in de buitenwereld, en vanaf
die mailserver gaat het mailtje naar een volgende mailserver, tot dat het
uiteindelijk op de mailserver van jouw provider of e-maildienst terechtkomt,
waar jij het ten slotte ophaalt. Al deze tussenstappen maken van jouw mailtje
het elektronische equivalent van een briefkaart, waardoor andere mensen, als ze
daar wat moeite voor doen, jouw mailtje kunnen lezen. Er zijn weliswaar
initiatieven die uiteindelijk moeten leiden tot beveiliging van e-mail waar je
als gebruiker geen omkijken naar hebt, maar het duurt nog wel even voordat we
daarvan kunnen genieten. Daar komt nog bij dat bepaalde e-maildiensten – zoals
Gmail, Outlook en Yahoo – buiten Europa draaien. De privacywetgeving staat niet
toe dat persoonsgegevens (van bijvoorbeeld klanten of personeel) wordt
opgeslagen buiten de Europese Economische Ruimte (EU + Noorwegen, IJsland en
Liechtenstein). Binnen alle regels thuis werken kan slechts op één manier: met
je goed beveiligde zakelijke laptop.
Met e-mail loop je ook nog het risico dat je naar het verkeerde adres
mailt. Als je de naam van de geadresseerde begint te typen, dan wordt die vaak
automatisch aangevuld. Maar is het adres dat er nu staat werkelijk het adres dat
je bedoelde? Het is een kleine moeite om daar een keer extra naar te kijken,
zeker bij mail naar een extern adres.
Je kunt ook zonder het te beseffen intern
gegevens lekken. Maak je wel eens een afspraak voor een overleg in de agenda en
stop je daar voor het gemak de vergaderstukken als bijlage bij? Dan kan
iedereen die de agenda van een deelnemer kan inzien óók die bestanden inzien.
Foute boel dus als het om vertrouwelijke informatie gaat, zeker in een
organisatie waar het gebruikelijk is dat iedereen je agenda mag inzien. Degene
die de vergadering inplant is ervoor verantwoordelijk dat hij geen vertrouwelijke
stukken in de uitnodiging stopt.
Zonder alerte medewerkers is een organisatie zo lek als een mandje.
En in de grote boze buitenwereld …
... verbiedt ook de nieuwe privacywetgeving dat iedereen zomaar het BSN
gaat gebruiken.
... maken Britse scholen zich zorgen over de nieuwe feature van Snapchat
waarmee je de exacte locatie van je ‘vrienden’ kunt zien – en zij die van jou.
... keert het beschermen van data tegen inzage door grenscontroleurs zich mogelijk tegen je.
... vragen niet alleen Amerikaanse en Britse grenscontroleurs om je
wachtwoord, maar ook bijvoorbeeld Nieuw-Zeelandse.
... heeft de Oekraïense politie servers in beslag genomen bij het
bedrijf dat de M.E.Doc-software maakt, die verantwoordelijk wordt gehouden voor
het verspreiden van de ransomware NotPetya. Het bedrijf ontkende, maar heeft
inmiddels bevestigd dat er toch iets mis is.
... zeggen deze onderzoekers zelfs dat er nog meer malware via M.E.Doc is
verspreid.
... zouden de aanvallers het wachtwoord van een systeembeheerder hebben
misbruikt om M.E.Doc te besmetten.
... hebben de hackers achter NotPetya inmiddels hun bitcoin-portemonnee
geleegd.
... gaat Windows 10 ons beter beschermen tegen ransomware.
... is het Russische antivirusbedrijf Kaspersky bereid om zijn broncode
door de wantrouwende Amerikaanse overheid te laten onderzoeken.
... zijn miljoenen Android-toestellen geroot door het installeren van
apps via onofficiële marktplaatsen.
Geen opmerkingen:
Een reactie posten