Iedere organisatie is zo lek als een mandje. Pardon? Ja, je leest het
goed. Ook de onze. Maar we hebben toch wetten, beleid en vooral technische
maatregelen, die dat moeten voorkomen? Ja, dat is óók waar. Maar al die
organisaties maken onderdeel uit van de maatschappij en ze hebben daar ook op
de een of andere wijze – vaak op een heleboel wijzen – interactie mee.
Interactie betekent communicatie. En lekken is een vorm van communicatie.
Neem nou een handelsonderneming. Die heeft te maken met klanten en met
leveranciers. Met leveranciers moet zij communiceren over assortiment,
inkoopprijzen, orderomvang, gewenste kwaliteit en vast nog een heleboel andere
zaken. Naar haar klanten communiceert het bedrijf over assortiment en
verkoopprijzen, en de klant laat weten hoeveel hij waarvan wil hebben. Dat ging vroeger allemaal per post, fax en
vertegenwoordiger. Die laatste zal er nog wel zijn, maar dan wel hevig
ondersteund door dezelfde moderne techniek die jij en ik gebruiken als we waar
ook ter wereld iets willen kopen. Ik hoor trouwens net op de radio dat we, als
consumenten, vorig jaar twintig procent méér online hebben besteld dan in het
jaar ervoor.
Je moet dus communiceren met de buitenwereld en daarvoor moeten bepaalde
systemen in contact staan met de buitenwereld, bijvoorbeeld je online (!) shop
en je e-mail (wie herinnert zich nog de tijd dat we alleen interne e-mail
hadden, wat trouwens ook al reuze handig was?). Die gedeeltelijke openstelling
noemden wij vroeger onze ‘logisch gesloten technische infrastructuur’. Daarmee
gaven we aan dat de systemen niet fysiek losgekoppeld waren van de
buitenwereld, maar met bijvoorbeeld firewalls wel dichtgetimmerd waren. Alleen
daar waar de organisatie een opening naar de buitenwereld wenste, werd dat – op
gecontroleerde wijze – toegestaan.
Als je bepaalde kanalen openstelt, dan kun je die op twee manieren
gebruiken: enerzijds zoals ze bedoeld zijn, en tja, anderzijds. Via e-mail kun
je met je leverancier overleggen, maar een medewerker met kwade bedoelingen kan
ook het klantenbestand naar de concurrent mailen. Dat is opzettelijk lekken,
maar je kunt ook gegevens lekken zonder kwaad te willen: je mailt de in- en
verkoopprijzen naar je privéadres om de gegevens thuis te bewerken, waarbij je
even was vergeten dat e-mail niet veilig is, waardoor een concurrent het
mailtje zou kunnen onderscheppen en zodoende waardevolle informatie in handen
krijgen. USB-sticks vormen ook zo’n notoire bron van lekkage. Volledig te
goeder trouw zet je daar gegevens op die elders nodig zijn, en in de trein
glijdt dat ding uit je broekzak. Dan mag je blij zijn als de gegevens
versleuteld zijn en je bedrijfsnaam niet pontificaal op dat ding staat, want
voor je het weet sta je al datalekkend in de krant.
Je wilt je beschermen tegen twee soorten
lekken: de per-ongelukjes en de doelbewuste. De eerste categorie kun je
aanpakken met allerlei technische beperkingen, maar die andere groep kun je nooit
helemaal tegenhouden. Sluit je de USB-poort af, dan gaan ze mailen. Ga je de
mail strenger inregelen, dan gooien ze de informatie via een mobiel apparaat in
de cloud. Desnoods printen ze het op vrijdagmiddag uit. Waar een wil is, is een
lek.
Natuurlijk kun je er wel voor zorgen dat bepaalde functionarissen
beperkt worden in hun mogelijkheden, bijvoorbeeld omdat zij toegang hebben tot
wel érg veel en/of vertrouwelijke gegevens. Ze mogen niet extern mailen en
hebben geen of beperkte internettoegang, om te voorkomen dat ze gegevens kunnen
wegzetten. Op die manier voorkom je waarschijnlijk de meeste per-ongelukjes en
voor de doelbewuste lekker maak je het een stuk moeilijker – maar niet
onmogelijk. Voor die groep moet je dus méér doen: ervoor zorgen dat ze niet
wíllen lekken. Door bijvoorbeeld tijdig te signaleren als iemand iedere dag
weer baalt van z’n werk. De rancuneuze medewerker is een factor om rekening mee
te houden. Maar er zijn nog talrijke andere redenen waarom mensen dingen doen
die ze niet zouden moeten doen. Door daar oog voor te hebben en het gesprek aan
te gaan, bereik je wellicht meer dan met het zoveelste technische foefje.
Oké, misschien zijn niet álle organisaties zo lek als een mandje. Als je
zó speciaal bent dat je het je kunt veroorloven om je systemen helemaal af te
sluiten van de buitenwereld, dan heb je het wat lekken betreft goed geregeld.
Maar dan kom je wel dicht in de buurt van de in beton gegoten computer die naar
de zeebodem is afgezonken: superveilig, maar knap waardeloos.
En in de grote boze buitenwereld …
... heeft ook de politie last van lekkage.
... komt lekken natuurlijk ook voor in spionagekringen.
... mag de bloemist je niet vertellen wie jou dat valentijnsboeket
stuurde.
... voert te politie een online campagne om jongeren duidelijk te maken
dat hun gedrag gemakkelijk kan uitmonden in cybercrime.
... is een gehackte hamburgerapp slecht voor je portemonnee.
... heeft iemand een curieus proces tegen Apple aangespannen omdat hij
de tweefactorauthenticatie niet meer kan uitzetten en daardoor economisch
verlies lijdt en tijd verspilt.
... was vorige week al in het nieuws dat Google je gaat waarschuwen als
je ergens inlogt met een gecompromitteerd wachtwoord. Nu stelt iemand de vraag
of dat juridisch en ethisch wel in de haak is.
... leggen nogal wat iPhone-apps precies vast wat jij in die app doet.
... geloven veel informatiebeveiligers dat de cloud niet veilig is.
... krijgen Amerikaanse helpdeskfraudeslachtoffers hun geld terug.
... kun je natuurlijk ook een elektrische step hacken.
... heeft Enisa richtlijnen voor veilige mobiele apps gepubliceerd.
... kun je ook al aangeklaagd worden als je in een scam trapt.
Geen opmerkingen:
Een reactie posten