De Britse politie heeft de e-mailadressen van meer dan duizend misdaadslachtoffers gelekt door de CC- in plaats van de BCC-functie tijdens het e-mailen te gebruiken. Het ging om 1.136 slachtoffers, van voornamelijk autodiefstal en zakkenrollerij, die een enquête van de Metropolitan police kregen toegestuurd. Door een fout werden de e-mailadressen in het verkeerde veld geplakt. “Geen andere persoonlijke gegevens zijn onthuld en we nemen met iedereen contact op om uit te leggen wat er is gebeurd en onze excuses aan te bieden”, aldus een woordvoerder (bron).
We willen natuurlijk allemaal heel erg graag geloven dat informatiebeveiliging vooral veel technische maatregelen omvat, omdat het ook altijd de techniek is die wordt aangevallen, of niet? Oké, misschien wat erg zwart-wit en er zijn zeker technische systemen die goed beveiligd moeten worden. Maar uit bovenstaande blijkt maar weer dat met name het menselijk aspect niet onderschat moet worden.
Je kunt nog zulke mooie technische beveiligingssystemen installeren, maar als er door een menselijke fout e-mailadressen in het verkeerde veld geplakt worden dan helpt daar geen enkel technisch systeem tegen. Wat wel kan helpen is natuurlijk nog een menselijke check, check, dubbel check voor dat een dergelijk bericht verzonden wordt. Nu weet iedereen die het mailtje ontvangen heeft van de andere 1.135 ook hun e-mailadres. Overigens gebeurde het hier op grote schaal, maar gebeurt niet hetzelfde als jij aangifte gaat doen van een misdaad? Jij moet je gegevens afstaan voor het proces verbaal en daarin worden ook jouw persoonlijke gegevens opgenomen. Vinden ze de dader en wordt die ervoor opgepakt dan is de kans zeer groot dat hij of zij het proces verbaal ooit onder ogen zal krijgen en dus exact jouw gegevens kent. Nu maar hopen dat hij voor lange tijd de cel in moet of dat jij op zeer korte termijn verhuist, want voor je het weet staat de crimineel weer voor je deur.
Laten we nog even terug komen op het feit dat het merendeel van de incidenten dus niet zozeer door de techniek veroorzaakt wordt maar veelal door het menselijk aspect. Natuurlijk kun je bij een kwetsbaarheid van een systeem de schuld aan dat systeem geven, maar ligt het eigenlijk niet gewoon aan gebrek aan patch management? Ligt het er eigenlijk niet aan dat het management willens en wetens besloten heeft om te bezuinigen op onderhoud van dat systeem? Ligt het eigenlijk niet aan onwetendheid van de beheerders van dat systeem? Hier moeten we dus wederom kijken naar de oorzaak-gevolg relaties en dan komen we al snel tot de conclusie dat het gevolg veelal een security incident is dat veroorzaakt wordt door een technische kwetsbaarheid, maar dat die technische kwetsbaarheid toch meestal een menselijke oorzaak heeft.
Tijd dus om geld te investeren aan beveiligingsbewustwording en dan het liefst op de juiste wijze waarbij we kennis, houding en gedrag van medewerkers, management maar ook van beheerders willen verbeteren. Een leuke uitdaging, dat kan ik je wel vertellen.