Personeel schuldig aan meeste datalekken

Bedrijven geven hun werknemers de schuld van de meeste datalekken die plaatsvinden. 78% stelt dat er gegevens zijn uitgelekt door nalatig gedrag of kwaadwillend personeel. De voornaamste oorzaak van datalekken zijn het verlies van laptops of andere mobiele apparaten (35%), blunders (32%) en systeemfouten (29%), aldus onderzoek van het Ponemon Institute (bron).

Het is al langer bekend (en zelf vind ik het een te gemakkelijke uitspraak en als je verder leest weet je ook waarom), maar het personeel is de zwakke schakel. Zo, daarmee kunnen we als werkgever onze verantwoordelijkheid afschuiven en treft ons geen blaam, toch? Nou, dat is zomaar de vraag. Want integrale beveiliging bestaat nog steeds uit een combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Als het personeel echt de zwakste schakel is, dan zul je als werkgever dus moeten zorgen dat jouw basis beveiligingsniveau op orde is. Daarnaast zorg je ervoor dat je weet waar de risico’s zitten en heb je er ook nog eens alles aan gedaan om je medewerkers bewust te maken van deze risico’s en de beveiligingsmaatregelen.

Als je het zo beziet, is het veel te makkelijk om de schuld in de schoenen van de medewerkers te schuiven. Natuurlijk zijn er medewerkers die willens en wetens de boel lopen te manipuleren. Dat moet je als werkgever onderkennen en daar moet je keihard tegen op treden. Maar je moet natuurlijk eerst voorkomen dat deze medewerkers grote schade aan kunnen richten. Dat doe je door ze bijvoorbeeld te screenen en door functiescheiding toe te passen. Maar dat doe je ook door je personeel niet meer als nummer te zien. Nee, je moet ze verantwoordelijkheid geven en je moet ze respecteren. Het is heel simpel: deze medewerkers mogen dan een risico vormen voor de beveiliging, maar als het goed is leveren ze ook een actieve bijdrage aan het voortbestaan van de organisatie (anders heb je ze niet nodig en had je ze allang weg gereorganiseerd, toch?).

Oké, we zoomen nog even iets verder in op de cijfertjes die genoemd werden:
78% stelt dat er gegevens zijn uitgelekt door nalatig gedrag of kwaadwillend personeel. De voornaamste oorzaak van datalekken zijn het verlies van laptops of andere mobiele apparaten (35%), blunders (32%) en systeemfouten (29%)

Er wordt geschreven dat 78% nalatig of kwaadwillend is geweest. Maar de voornaamste redenen zijn verlies, blunders en systeemfouten. Dat kun je toch moeilijk kwaadwillend noemen. Nalatig, misschien, maar waar gewerkt wordt, worden fouten gemaakt. Het gaat er met name om of die nalatigheid verwijtbaar is. Deden ze het met opzet of is het een menselijke fout (die iedereen kan overkomen)?

Verlies van laptops en mobiele apparaten gebeurt zelden expres. Daarom heet het ook verlies, anders was het wel diefstal. En er zijn zat managers waarvan de laptop verloren is geraakt, zijn zij allemaal verdacht? Een blunder wordt ook zelden bewust gemaakt en systeemfouten hebben het al in zich: fouten. En was fouten maken niet menselijk?

Nee, prima dat we wijzen naar de medewerker en ja ze vervullen een belangrijke taak, maar voordat we wijzen moeten we als organisatie toch echt eerst even in de spiegel kijken en zorgen dat we de beveiliging ook echt goed op orde hebben (en niet alleen op papier, zoals we nog te vaak zien).

Menselijk gedrag geeft doorslag bij diefstal

Gisteren lieten we al zien dat beveiligingsincidenten veelal veroorzaakt worden door factoren buiten het vakgebied. Een veel gehoorde term is dat de mens de zwakste schakel is. Ook duidelijk een factor buiten ons gebied, toch?

Onderzoeker Trajce Dimkov doet promotieonderzoek naar veiligheidsbeleving van organisaties en liet studenten laptops stelen bij wijze van wetenschappelijk experiment. Van de zestig pogingen die Dimkov liet doen, slaagden er dertig. Conclusie: je kan nog zo’n goed beveiligingssysteem hebben, menselijk gedrag geeft uiteindelijk de doorslag.

De studenten slaagden vrij eenvoudig in het stelen van de laptops, bijvoorbeeld door zich voor te doen als ICT-medewerkers. Ook vroegen ze met een smoes aan een conciërge om een deur te openen waardoor ze bij een laptop konden komen. Ze werden nooit betrapt, al mislukten wel enkele pogingen. Vals gewekt vertrouwen blijkt volgens het onderzoek een bedreiging te zijn voor de beveiliging van persoonlijke eigendommen maar zeker ook voor organisaties, waar dan ook. (bron)

Social engineering bestaat natuurlijk al jaren en we worden al jaren beïnvloed door allerlei factoren. Sterker nog daar zijn speciale branches voor in het leven geroepen zoals de marketingbranche, de reclamebureaus maar ook de psychologie bestaat daar voor een groot deel uit.

Als we mensen kunnen beïnvloeden dan kunnen we daar resultaten mee bereiken. We kunnen onze omzet er door laten groeien of kunnen mensen bijvoorbeeld van allerlei fobieën af helpen. Op zich prima allemaal, maar ook voor minder legitieme doelen kan de mens bespeeld worden (en of jij marketing en reclame een legitiem doel vindt, mag je dan zelf bepalen).

Het is natuurlijk al jaren bekend dat als je een laptop wilt stelen uit een bedrijf je er beter 10 tegelijk mee kunt nemen. Trek je overall aan, regel een karretje en zet daar 10 laptops op. Grotere kans dat de bewaker de deur voor je opent dan dat je onhandig met 1 laptop naar buiten wilt glippen. Hoe je dan binnen komt? Ach, ook daar zijn genoeg mogelijkheden voor. Regel 10 lege laptop dozen en geef aan dat je ze komt omruilen voor de oude laptops in het gebouw. Of loop mee met degene die net even een sigaretje zijn gaan roken buiten het gebouw. Overigens wil ik je nergens toe aanzetten. Want best leuk dat iemand zo’n onderzoek uitvoert, maar als je het niet goed regelt (door vooraf bijvoorbeeld toestemming te krijgen van het bedrijf) dan ben je gewoon illegaal bezig. Nu maar hopen dat er niemand wetenschappelijk uit gaat zoeken hoe makkelijk het is om iemand te vermoorden of te verkrachten.

Hoe opvallender je het doet, hoe kleiner de kans lijkt dat je er voor gepakt wordt. Dat geldt niet alleen binnen bedrijven maar ook voor simpelere zaken als winkeldiefstal. Een brutaal mens heeft de halve wereld, dat is al jaren zo en dat zal wel altijd zo blijven.

De conclusie is echter wat erg sterk neergezet. Conclusie: je kan nog zo’n goed beveiligingssysteem hebben, menselijk gedrag geeft uiteindelijk de doorslag. Tenzij je systeem natuurlijk puur als technisch iets ziet. Wat mij betreft horen ook de procedurele en organisatorische maatregelen tot het systeem. En regel je dat goed in dan houdt deze conclusie geen stand (maar ook dat is theorie, want in de praktijk blijft het voorlopig gewoon mogelijk).

Beveiligingseisen in contracten

De keten is zo zwak als de zwakste schakel, een mooi gezegde en misschien een dooddoener, maar toch waarheid als een koe als je het mij vraagt. Ok, vaak horen we dat de zwakste schakel in het geheel van informatiebeveiliging het personeel is. Misschien waar, misschien niet. We moeten er zeker alles aan doen om de medewerkers mee te krijgen in onze beveiligingsaanpak, want een belangrijke rol spelen ze zeker.

Vandaag gaan we niet in op de medewerkers maar juist op de keten. Als organisatie staan we niet los van de wereld maar we maken onderdeel uit van een bedrijfskolom. Toeleveranciers en afnemers en ergens in het midden staan wij (of aan het begin of eind natuurlijk). Als de keten zo zwak is als de zwakste schakel moeten we dus ook goed kijken naar hoe onze leveranciers en afnemers hun beveiliging hebben ingericht. Wij willen zelf niet de zwakste schakel zijn, maar willen ook zeker niet dat de anderen er een potje van maken. Juist daarom de volgende vraag:

Wordt in contracten met derden ingegaan op de beveiligingseisen die over en weer gesteld mogen worden?

Zo, dat is nogal een vraag en gelukkig hebben we allerlei Service Level Agreements afgesloten. Juist, hartstikke goed zeker een eerste stap. Maar hebben we in die SLA ook afgesproken hoe we omgaan met de beveiliging? Hoe we de beschikbaarheid, integriteit en exclusiviteit geborgd hebben? Dat we audits uit mogen voeren bij onze leveranciers (en doen we dat dan ook)? Weet je dat zeker? Misschien zijn we op een mooi punt aangeland om nog eens kritisch naar onze SLA’s te kijken.

Een beveiligingsparagraaf nemen we voortaan op in onze SLA’s. Hoe die er exact uit moet zien hangt heel erg van de diensten af die we afnemen. Maar als we eisen gaan stellen aan onze leveranciers en onze afnemers dan mogen we zelf niet de zwakste schakel zijn, zelf blijven we dus ook kritisch op onze aanpak.

Ok, de bezwaren zijn me bekend. Die leverancier moet dat maar lekker zelf regelen en als het misgaat dan kan hij een claim verwachten. Op zich prima, maar misschien wat kortzichtig. De claim is altijd gemaximaliseerd en inzicht ontbreekt vaak in hoe goed of slecht de leverancier het voor elkaar heeft.

Maar stel nou dat je een autofabrikant bent…laten we Toyota als voorbeeld nemen. Jij krijgt je remmen aangeleverd door een leverancier. Schroeft ze op de auto en hop, naar het dealerkanaal. Na verloop van tijd kom je er achter dat de remmen toch niet helemaal functioneren zoals je wilt en je roept voor de zekerheid alle auto’s van een bepaald type terug voor herstelwerkzaamheden. Gelukkig kun je een claim neerleggen bij de remmen leverancier die de kosten dan maar moet vergoeden. Nog los van het feit of je remmen leverancier over de middelen beschikt om al die kosten voor zijn rekening te nemen (bij faillissement geldt: van een kale kip valt niet te plukken…en je bent een leverancier kwijt), maar denk je nu echt dat al die Toyota rijders zich bedenken dat het de schuld is van de leverancier? Nee, Toyota loopt in dit voorbeeld imagoschade op…en die is vele malen hoger dan de claim die neergelegd kan worden bij de leverancier.

Kortom: we zorgen er eerst zelf voor dat we de informatiebeveiliging goed op orde hebben maar direct daarna gaan we ook in op de beveiliging bij onze leveranciers en afnemers. Zo versterken we de gehele keten en zorgen we voor echte continuïteit. We willen juist de claims voorkomen en willen onze leveranciers en afnemers graag helpen. Doen we het op deze wijze dan wordt de band tussen onze organisatie en alle andere partijen alleen maar versterkt.