Het ministerie van Justitie is een groot onderzoek gestart naar het lekken van vertrouwelijke informatie van de Landelijke Bijzondere Bijstandseenheid (LBB)…Onbekenden hebben een aantal weken geleden op internet gevoelige documenten en e-mails van de LBB gepubliceerd. Daarin staan onder meer namen en telefoonnummers van leden van de LBB…Wie achter de publicaties op internet zitten, is nog niet duidelijk. Zelf noemen de verantwoordelijken zich ‘Boris Boef en de Boze Bajesklanten’. Gezien de staat van de documenten, zijn ze vermoedelijk uit een prullenbak of vuilniszak gehaald (bron).
Ik kan natuurlijk ingaan op hoe stom dit wel niet is en dat als Justitie al geen informatie vertrouwelijk kan houden het voor andere bedrijven al helemaal niet te doen is, maar dat doe ik niet. Het is immers al pijnlijk genoeg dat dit soort incidenten gebeuren. En geloof me, ik weet hoe ontzettend moeilijk het is om alle beveiligingsrisico’s op te sporen en te voorkomen.
Als inderdaad de documenten opgevist zijn uit de vuilnisbakken dan blijkt maar weer dat het zogenaamde dumpster diving een reëel risico is voor bedrijven. Kunnen we natuurlijk kijken naar informatiebeveiliging en dan met name naar de technische maatregelen als firewalls en anti-virus maatregelen, maar dit hoort daar net zo goed bij.
Als ik Justitie inschat dan hebben ze in het beleid zeker maatregelen hier tegen genomen, er staan genoeg versnipperaars en de medewerkers zijn echt wel geïnformeerd. Met name dat informeren van de medewerkers speelt hierin een grote rol. We kunnen natuurlijk wel op papier zetten dat vertrouwelijke informatie versnipperd moet worden, maar als de medewerkers het niet weten of zich er niet aan houden dan zit juist daar het probleem.
Beveiligingsbewustzijn binnen organisaties is van groot belang omdat de medewerkers vaak zowel de sterkste als de zwakste schakel zijn. Helaas zien we nog te vaak dat er simpelweg een poster aan de muur wordt gehangen of een mooie e-learning omgeving wordt ontwikkeld maar dat er weinig wordt gedaan aan de beveiligingscultuur binnen een organisatie. Het gaat bij bewustzijn en het gedrag van medewerkers altijd om kennis, houding en gedrag terwijl veel bewustzijnscampagnes zich met name op kennis richten. Dat is natuurlijk ook het makkelijkst maar levert helaas te weinig op in de praktijk.
Hoe we kunnen voorkomen dat dit soort incidenten, door menselijk gedrag, het nieuws halen? Door beveiligingsbewustzijn op de goede manier aan te pakken en een beveiligingscultuur te creëren is er daar één van maar wel een hele belangrijke die in de praktijk nog vaak te makkelijk wordt afgedaan. Alle posters ten spijt moet er meer gedaan worden om culturen te veranderen, dat kost nu eenmaal veel inspanning en kost als snel zo’n 5 tot 7 jaar continue aandacht. Succes, zou ik zeggen, want veel organisaties hebben op dit moment geen horizon van 5 tot 7 jaar, laat staan een structureel budget om dit goed te borgen.