Tag: vertrouwelijk

Omgang met vertrouwelijke informatie

  door

De voorschriften voor informatie en vertrouwelijke informatie zijn opgesteld. Hopelijk hebben we het aantal velletjes papier kunnen minimaliseren zodat het allemaal nog goed leesbaar (en begrijpelijk) blijft voor degene die er echt mee moeten werken: de medewerkers.

Kunst is nu om deze voorschriften in te voeren, de bijbehorende vraag is niet voor niets:
Is bij de medewerkers duidelijk welke informatie als vertrouwelijk behandeld dient te worden?

Het lijkt misschien een simpele vraag maar het antwoord is toch wat lastiger. Enerzijds moeten de voorschriften er dus zijn, anderzijds moeten de voorschriften ook nog bij de medewerkers bekend zijn. Zijn ze bij de medewerkers bekend dan moeten ze ook nog duidelijk zijn en moeten we er vervolgens nog voor proberen te zorgen dat er gewerkt wordt conform deze voorschriften. Kennis, houding en gedrag, succes ga er maar aan staan.

De voorschriften plaatsen we natuurlijk op onze intranetomgeving en nieuwe medewerkers krijgen een afschrift zodra ze in dienst treden. En klaar is Kees. Theoretisch zouden de medewerkers nu inderdaad de kennis moeten kunnen hebben. Je leest al uit de zin hoe voorzichtig die geformuleerd is. Een nieuwe medewerker krijgt de eerste paar dagen zoveel informatie over zich heen dat dit voorschrift er even bij in is geschoten. De medewerker die op het intranet kijkt verzuipt ook letterlijk in alle informatie waardoor de kans erg klein is dat hij bij ons voorschrift terecht komt.

Medewerkers die actief zoeken op de classificatie van vertrouwelijke gegevens kunnen de voorschriften waarschijnlijk nog wel vinden. De rest van de organisatie weet niet van het bestaan af. Helaas, we kunnen denken dat dat anders is, maar dat is niet het geval. Weet jij wat voor informatie er allemaal beschikbaar is op het intranet van je organisatie? Kleine kans dat je alle informatie al eens gelezen hebt. Grotere kans dat je de informatie hebt gelezen die voor jou interessant is…en beveiligingsonderwerpen horen daar voor de meeste medewerkers nu eenmaal niet bij.

De beveiligingsbewustzijnsprogramma’s kunnen zeker van invloed zijn op de bekendheid met de regels en voorschriften. Maar dan wel goede programma’s die zich richten op kennis, houding en gedrag. Een poster aan de wand volstaat niet en de sociaal wenselijke nulmetingen brengen ook vaak niet veel helderheid.

Begrijp me niet verkeerd, ik ben zeker geen tegenstander van bewustzijnsprogramma’s, maar in vind het wel weggegooid geld als we voor meer dan 100.000 euro aan posters, e-learningen, etc. spenderen als het niet echt bijdraagt aan de verbetering van de beveiliging. Het bewustzijnsprogramma moet onderdeel zijn van een groter geheel, het moet onderdeel zijn van de beveiligingscultuur. Een dergelijke cultuur bereiken is vele malen moeilijker, kost jaren continue inspanning en is dan ook nog een afgeleide van de totale organisatiecultuur (waar we vanuit beveiliging weinig invloed op hebben in de praktijk).

Een cultuur verander je niet, de mensen in de organisatie maken een cultuur. Door de mensen (door de jaren heen) te veranderen, verandert uiteindelijk de cultuur. Zoals ik al schreef: succes, ga er maar aan staan. Moeten we het dan maar niet proberen? Nee, natuurlijk niet, we moeten er juist ons stinkende best voor doen zodat we er over een aantal jaren de vruchten van plukken. Beginnen we er nu niet aan dan wordt de drempel alleen maar hoger en zal het er wel nooit meer van komen om de organisatie beveiligingsbewust te maken.

Voorschriften voor vertrouwelijke informatie

  door

Gaan we het nu alweer over voorschriften voor informatie hebben? Ehm, juist, inderdaad. De nuance zit hem nu in het feit dat het hier over vertrouwelijke informatie gaat. We willen immers niet dat onze informatie op straat komt, maar we willen al helemaal niet dat onze vertrouwelijke informatie daar belandt.

De vraag:
Zijn er voorschriften opgesteld ter bescherming van vertrouwelijke informatie tegen onbevoegde kennisneming, verlies en/of beschadiging?

Het interessante bij deze vraag is dat gegevens afzonderlijk niet vertrouwelijk hoeven te zijn, maar dat als we ze samen brengen ze dat in eens wel weer zijn. Vergelijk het met je inlognaam en wachtwoord. Afzonderlijk van elkaar kun je er niet zoveel mee (ja, ja, ik weet het met illegale activiteiten kun je alsnog erg ver komen, maar dat gaat voor nu te ver). Brengen we ze echter samen dan zijn we ineens een stap verder. Als je weet dat mijn inlognaam “pietje1234” is dan is dat een feit. Weet je aan de andere kant dat mijn wachtwoord “Welkom01” is dan heb je wederom een feit te pakken. Ken je beide en weet je dat ik via Hotmail mail dan is het een koud kunstje om namens mij in te loggen.

Ik wil je overigens nergens toe aansporen. De gegevens zijn natuurlijk fictief…maar excuses voor alle Pietjes en voor alle mensen die Welkom01 als wachtwoord gebruiken.

Dezelfde parallel geldt voor de gegevens in veel van onze databases. De afzonderlijke gegevens zeggen misschien niet zoveel, maar de combinatie van meerdere gegevens kan ineens vertrouwelijk zijn. Juist daarom willen we extra inzoomen op de voorschriften voor vertrouwelijke informatie.

Natuurlijk willen we gemeld hebben als niet vertrouwelijke informatie in verkeerde handen terecht is gekomen of als we die op het dak van onze auto hebben achtergelaten voordat we wegreden (geloof me, het gebeurt vaker dan je denkt). Maar misschien moeten we wel andere stappen ondernemen als blijkt dat het hier om vertrouwelijke informatie ging.

Een issue daarbij is dat medewerkers er, in enkele gevallen, niet bij gebaat zijn om het te melden. Stel je voor, straks volgen er sancties. Nee, we beschouwen de informatie als verloren en maken gewoon een nieuw printje. Natuurlijk kunnen we bepalen om sancties op te leggen bij dergelijke incidenten. We geven de medewerker een veeg uit de pan en in het ergste geval nemen we afscheid van elkaar. Dat is toch een beetje de put dempen als het kalf verdronken is. Beter is het om te proberen de schade te beperken. Analyseer wat er gebeurt is en of we de informatie wellicht nog terug kunnen krijgen zonder dat ons imago kleerscheuren oploopt.

Lukt dat niet omdat we de informatie echt uit het oog zijn verloren, dan zullen we met de billen bloot moeten. We kunnen natuurlijk met ons voltallig personeel gaan zitten duimen, in de hoop dat de informatie niet ineens in de krant belandt…maar dat kan destructief zijn voor ons imago en is dus erg risicovol. Aan de andere kant, als we onze verantwoordelijkheid nemen en de klant informeren dat we zijn gegevens rond hebben laten slingeren, dan weten we zeker dat we in de krant komen.

Een lastig besluit en in heel veel gevallen een besluit dat we niet vanuit beveiliging moeten nemen. Nee, we informeren de juiste managementlagen en komen misschien zelfs met het crisisteam bij elkaar om het vervolg te bepalen. Geen leuke situatie natuurlijk, maar wel van groot belang. Dergelijke incidenten willen we niet onder onze beveiligingspet houden, daar is ons petje te klein voor.

Vertrouwelijke informatie verdient dus wat extra aandacht…en laat dat “wat” eigenlijk maar weg. We moeten zowel preventief, detectief, correctief als repressief extra nadenken over de impact van die informatie. Doen we dat niet dan staan we vast en zeker binnenkort in de krant…en negatieve berichten zijn ook reclame, maar of we daar op zitten te wachten is de vraag.

Mobieltjes afluisteren veel moeilijker dan beweerd

  door

Een paar weken geleden hadden we het er nog over dat het afluisteren van mobieltjes voor een beetje techneut steeds makkelijker werd en dat het met goedkope tools al mogelijk was. Nu een tegenbericht…en welk bericht je moet geloven? Dat laat ik in het midden.

Een mobiele telefoon afluisteren is niet zo makkelijk als hackers doen overkomen. Goedkope hardware en gratis software om gesprekken af te luisteren werken helemaal niet (bron).

Feit is wel om echt vertrouwelijke informatie toch maar op een andere manier te bespreken. Niet alleen omdat het mobieltje misschien kan worden afgeluisterd maar juist ook omdat het risico bestaat dat er iemand over je schouder mee luistert.

Ander feit is dat het afluisteren van mobieltjes wel gewoon mogelijk is, maar dan met dure apparatuur die alleen aan overheden geleverd wordt. Nou ja, alleen aan overheden…dat valt nog te bezien. Grote kans dat als je genoeg geld neerlegt jij die apparatuur ook gewoon kunt kopen.

Maar goed, voor een beetje hobbyist zijn deze spullen te duur, deze zal je dus voorlopig nog niet zo snel afluisteren (als we dit bericht mogen geloven). Een geruststelling? Ehm, wat mij betreft niet echt. Als ik echt vertrouwelijke informatie via de telefoon bespreek heb ik liever dat een hobbyist me afluistert (die weet waarschijnlijk toch niet waar ik het over heb) dan dat een overheid of mijn concurrent dat doet. Afluisteren is dus wel degelijk mogelijk, als je maar genoeg geld neer telt.

Advies: de echt vertrouwelijke informatie dan toch maar face-to-face bespreken maar dan moet je natuurlijk wel weer zeker weten dat de ruimte waarin de bespreking is veilig is en niet afgeluisterd wordt. Maar goed, we hebben het alleen over echt vertrouwelijke informatie…en natuurlijk kan veel informatie als vertrouwelijk worden gezien, maar voor de buitenwereld is die informatie helemaal niet zo vertrouwelijk. We moeten natuurlijk niet overdrijven en onze informatie teveel als geheim gaan zien. Doen we dat wel dan zullen we ook de daad bij het woord moeten voegen en zorgen dat die informatie ook echt veilig is…en dan hebben we meer te doen dan alleen vertrouwelijke gesprekken voeren er zijn immers genoeg andere methoden om aan die informatie te komen.

Vertrouwelijke faxen justitie verkeerd terechtgekomen

  door

Een 75-jarige inwoner van Weert heeft naar eigen zeggen de afgelopen jaren bij herhaling faxen met vertrouwelijke informatie van justitie gekregen, die niet voor hem bestemd zijn. Daarin staan volgens de man privacygevoelige gegevens (bron).

We kunnen natuurlijk allerlei technische, ingewikkelde en dure beveiligingsoplossingen bedenken en implementeren, maar de mens is en blijft toch vaak de zwakste schakel. Even een nummertje verkeerd invoeren en de fax komt bij de verkeerde terecht.

Gelukkig een incident dat we niet vaak tegenkomen (denken we) en wat in de toekomst langzaam zal uitsterven. Wie stuurt er nog een fax (wees eerlijk, wanneer stuurde jij er voor het laatst één?) en wie heeft er nog een fax? Justitie heeft in dit geval natuurlijk pure pech, de kans dat je een fax verkeerd zendt, wordt steeds kleiner, er moet aan de andere kant maar net zo’n antiek apparaat hangen.

De vraag is natuurlijk met welke antieke instellingen Justitie nog zaken doet die niet over de email kunnen. Ben benieuwd, maar dat zal wel nooit duidelijk worden. Volgende keer toch maar gewoon email verzenden en dan wel eerst even checken of je de juiste adressen hebt ingevoerd.

Want als we terug gaan naar de basis dan is dit een risico dat steeds groter wordt. Meer en meer wordt er gecommuniceerd via de email, meer en meer berichten worden heen en weer gestuurd. De kans dat je een typefoutje maakt in een emailadres is groot en voor je het weet ligt heel je ziel en zaligheid op straat. Volgens mij mogen vertrouwelijke berichten binnen Justitie alleen gemaild worden als ze versleuteld zijn, dan wordt het risico al een stuk kleiner, maar blijkbaar geldt dit voor faxen (nog) niet.

Werknemers nemen bedrijfsgegevens mee op vakantie

  door

Europese bedrijven hebben hun vertrouwelijke informatie onvoldoende beveiligd. Nu veel werknemers werk meenemen op vakantie lopen bedrijven het risico dat vertrouwelijke informatie op straat komt te liggen (bron).

Eerst maar even de feiten op een rij:

  • Slechts 44% van de bedrijven een beleid heeft om te voorkomen dat werknemers bedrijfsgevoelige informatie met zich meenemen.
  • Niet meer dan 41% een beleid voor het afdrukken van vertrouwelijke documenten.
  • Slechts 47% van de Europese bedrijven heeft een beleid om het afdrukken van klantgegevens te beheren.

Het staat natuurlijk leuk dat werknemers bedrijfsgegevens meenemen op vakantie maar daar gaat het in dit geval helemaal niet om. Het gaat namelijk in zijn algemeenheid over het meenemen van bedrijfsgegevens en daarbij doet het er niet toe of dat is naar de camping of gewoon naar huis. Nee het gaat erom dat bedrijven helemaal geen zicht hebben op wat er met hun gegevens gebeurt. Hierbij moeten we verder kijken dan afgedrukte gegevens alleen, want er gebeuren ook dingen met onze digitale gegevens waar we geen zicht op hebben.

Slechts 41% heeft een beleid voor het afdrukken van vertrouwelijke gegevens en 44% voor het meenemen daarvan, dat klinkt al schrikbarend maar tel daarbij nog even de volgende discussie op: wat zijn vertrouwelijke gegevens? Wat voor jou vertrouwelijk is hoeft dat voor mij helemaal niet te zijn. Nee de discussie gaat dus veel verder dan vertrouwelijke gegevens. Het gaat om een algemeen afdruk/meeneem beleid van zowel analoge als digitale gegevens. Verschillende niet vertrouwelijke gegevens bij elkaar kunnen juist weer vertrouwelijk worden en wat vandaag vertrouwelijk is hoeft dat morgen niet meer te zijn (denk bijv. aan financiële jaarstukken).

Slechts weinig bedrijven hebben echt zicht op de vertrouwelijkheid van hun gegevens. Vaak moet de medewerker maar bepalen of het vertrouwelijk is zonder dat daar enig toezicht op is en we weten toch allemaal hoe het met het beveiligingsbewustzijn van het personeel gesteld is?

Zo te zien ligt er de komende jaren nog genoeg werk op ons te wachten en dat begint bij het bewust maken van het management en juist daar ontbreekt het vaak aan.
Er zijn echt wel maatregelen te bedenken om de gegevens beter te beveiligen, maar dan zal het management de eerste stap moeten zetten en moeten snappen welke risico’s ze nu echt lopen. Het meenemen van (vertrouwelijke) gegevens is er daar slechts één van.

Twijfels over beveiliging Elektronisch Patientendossier

  door

Ik word er zo langzamerhand goed ziek van…bij wijze van spreken.

Het Elektronisch Patientendossier (EPD) is onvoldoende beveiligd. Daardoor kunnen vertrouwelijke patientgegevens in verkeerde handen komen…Volgens het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zijn de twijfels ongegrond (bron).

Een korte toelichting op het onderzoek geeft wat meer inzicht in de problemen:

Patientgegevens zijn decentraal opgeslagen bij de zorgaanbieders, maar via het Landelijk Schakelpunt (LSP) te raadplegen door geautoriseerde behandelaars. Door in te breken bij het LSP kunnen kwaadwillenden bij alle patientgegevens, want decentraal is niet vast te stellen of er een zorgverlener of een hacker achter de aanvraag zit. Maar ook de mandatering, waarmee artsen medewerkers toegang geven tot het EPD, is volgens de onderzoeker eenvoudig te misbruiken. Een derde probleem is dat gegevens die door de patient worden gewist, nooit helemaal uit het systeem verdwijnen, aldus VWS.

Maar er is nog hoop, er kunnen wel degelijk betere beveiligingsmaatregelen aangebracht worden…helaas moet daar de architectuur grondig voor worden aangepast…en dat gaat zeer waarschijnlijk dus niet gebeuren.
Voorlopig lopen we dus enorme risico’s met het EPD…de beste oplossing? De komende jaren maar niet ziek worden dan.

Beveiliging op z’n Disneys

  door

Ja een wat vreemde titel, ik geef het toe. Ik associeerde het ook ergens anders mee…

De Japan Trendshop komt met stempels waarmee je cijfers of vertrouwelijke teksten onleesbaar kunt maken. De stempels zijn er in de vorm van Mickey Mouse, Winnie the Pooh en Stitch. Je koopt een set van drie rollers voor 68 dollar.

Oh ja, wil je 68 dollar besparen? Dan kun je het altijd nog verscheuren en/of verbranden.