Gedrag is het grootste probleem

Menselijk handelen is oorzaak nummer één van het ontstaan van een breach

Geschreven door Orly Polak

Cyber Security wordt de aankomende periode een nog pijnlijker dossier dan het nu al is. Regelmatig staat er een grote multinational in de krant met een tenenkrommende breach. Om een paar voorbeelden van afgelopen maanden te noemen: in Nederlandse ziekenhuizen wordt bijna dagelijks een datalek gemeld, persoonsgegevens van 2.000 Philips medewerkers zijn gestolen en online gezet, Yahoo verloor eind 2014 de persoonlijke data van wel 500 miljoen accounts en bij de Britse Tesco bank zijn een paar weken geleden 20.000 rekeningen geplunderd. Even een verkeerd mailtje openen of overal hetzelfde wachtwoord gebruiken kan er al voor zorgen dat een bedrijf al zijn klantgegevens, geldtegoeden of geheime ontwerptekeningen kwijtraakt. Niet de organisatie wordt als target gebruikt, maar vooral de individuele medewerker. Echter, deze medewerker is zich meestal van geen kwaad bewust. Zij openen gewoon hun mails op hun telefoon, gebruiken dezelfde wachtwoorden, laten USB sticks rondslingeren of kopiëren en versturen wel eens bestanden naar hun eigen drive. En dan hebben we het nog niets eens over alle toeleveranciers waarmee medewerkers werken, die ook weer allerlei data ontvangen, bewaren en doorsturen. Met als hoogtepunt een afdeling die huidige IT-infrastructuur irritant vindt en zijn bestanden in een publieke cloud gaan hangen omdat deze makkelijker toegankelijk is vanuit huis.

Cyber security is niet alleen een kwestie van een goed hek bouwen. Het is ook zaak om medewerkers te informeren en bewust te maken van het niet openzetten van deuren. Wat de gemiddelde medewerker namelijk niet weet, is dat hacken tegenwoordig kinderspel is. Een hacker gaat vaak als volgt te werk. Zij traceren een individuele medewerker. Komen via social media alles van hem of haar te weten en kunnen zo op deze manier persoonlijke informatie achterhalen. Hackers hanteren diverse strategieën om achter persoonlijke informatie te komen. De bekendste is de phishing mail. Maar wat dacht je van deze? De wifi-fluisteraar. Dit is een simpel kastje van maar 60 euro waarmee alle niet beveiligde mobiele telefoons in een straal van 10 meter kunnen worden uitgelezen. Met de gênante foto’s en stoute sms-jes van de onwetende medewerker doet de hacker niets, behalve lachen en doorsturen aan vrienden, maar met de andere informatie gevonden in opgeslagen mails en gebruikersprofielen jatten ze geld, bouwtekeningen van medische machines, recepten van koekjes of persoonsgegevens van klanten.

Maar het probleem wordt nog groter. Vanuit Europa wordt de druk opgevoerd om maatregelen te nemen. Reeds bestaande maatregelen: geldboetes, strenge audits, naming-and-shaming, en de mogelijkheid om aansprakelijk gesteld te worden door gedupeerden. In de wandelgangen gaan ook geluiden dat de GDPR, de General Data Protection Regulation van de Europese Commissie, individuele aansprakelijkheid als maatregel wil gaan invoeren. Dan wordt een data breach straks net zo bestraft als handelen met voorkennis, kartelafspraken of arbeidsongevallen door nalatigheid. Ook in Nederland zijn we ermee bezig: PvdA heeft net nog bekend gemaakt een wettelijk verbod te willen op privacyschending door middel van het commercieel gebruik van persoonlijke data door banken en verzekeraars. Data privacy kan niet meer enkel worden toegeschoven naar het kopen van een systeem. De steeds strengere begrenzing en controle van het data privacy dossier dwingt bedrijven om de focus ook op gedrag te leggen.