De mens: de zwakke schakel in databeveiliging

21 april 2020
SHARE

Dat is natuurlijk niks nieuws, want dit wordt al jaren geroepen. Hoe komt het dan toch, dat het vandaag de dag nog steeds het geval is? En nog belangrijker, wat kan je als organisatie doen om optimale dataveiligheid te realiseren? Daarover geven we in dit artikel duidelijkheid en bieden we je handvatten om de dataveiligheid te waarborgen. De focus in dit artikel ligt op datalekken door menselijk toedoen vanuit organisatorisch perspectief waarbij persoonsgegevens betrokken zijn. Wellicht goed om eerst te beginnen met een kleine opfrisser wat betreft een datalek, toegespitst op persoonsgegevens.


Datalek persoonsgegevens
In deze situatie wordt er gesproken over een datalek zodra er een inbreuk is op de beveiliging van persoonsgegevens. De incidenten kunnen daardoor sterk uiteenlopend zijn. De Autoriteit Persoonsgegevens omschrijft het letterlijk als volgt:

De Autoriteit Persoonsgegevens (AP) omschrijft de definitie van een datalek als volgt:

Een datalek betekent toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt niet alleen het vrijkomen (lekken) van gegevens, maar ook de onrechtmatige verwerking ervan.

 

Menselijk handelen
Datalekken en risico’s tot datalekken door menselijk handelen zijn moeilijk te voorkomen. Technische gebreken in informatiebeveiliging zijn door een specialistische partij daarentegen wel op te sporen en verbeteringen en optimalisaties zijn doorgaans eenvoudig door te voeren.

Ook kan je als organisatie goed aan de privacy werken. Denk hierbij aan concepten als “privacy by design” of “privacy by default.” Het uitvoeren van een Data Protection Impact assessment (DPIA) kan hierbij ook helpen. Dit zijn allemaal voorbeelden hoe je als organisatie zelf al wat stappen kan zetten om te werken aan de het privacybeleid.  In het geval van menselijk gedrag is dit daarentegen een stuk complexer, maar tot het minimum beperken is zeker niet onmogelijk.

Het gebeurd op dagelijkse basis dat onder andere brieven en e-mails verkeerd worden geadresseerd, hardware van medewerkers die kwijt raken of een verkeerde link die wordt aangeklikt. De laatste tijd is ook een aantal keer in het nieuws gebleken dat de nieuwsgierigheid van medewerkers een risico vormt voor persoonsgegevens. Denk hierbij bijvoorbeeld aan incidenten met beroemde personen, hoewel dit natuurlijk ook bij mensen gebeurd die niet in de media bekend zijn. Met name branches waar veel met persoonsgegevens wordt gewerkt zijn hier gevoelig voor. Zo staat de zorgsector al jarenlang op nummer een als het om dergelijke datalekken gaat. Daarnaast is de educatieve sector hier ook gevoelig voor. Dit betekent overigens niet dat andere branches uitgewist kunnen worden in deze kwestie.


Risico's en consequenties
Het risico is natuurlijk dat data in verkeerde handen terecht komt. Op dit moment wordt dit nog vaak gebagatelliseerd. Natuurlijk is de kans erg klein dat de gegevens uit een papierbak in de handen komen van iemand die er bewust kwaad mee doet. Helaas hebben we de afgelopen jaren toch ook wel voorbeelden gezien van organisaties waarbij gegevens gestolen zijn en actief misbruikt zijn of tenminste via the Dark Web verhandeld werden:

  1. 2011: Sony 75 miljoen gegevens
  2. 2013: Adobe 75 miljoen gegevens
  3. 2017: Equifax 143 miljoen gegevens
  4. 2018: Mariott 500 miljoen gegevens

Echter, risico gaat niet over hoe groot of hoe klein de kans is dat iets gebeurd. Het gaat over een combinatie van kans en impact. De kans is klein, soms nihil zelfs, maar de impact kan enorm zijn voor zowel het ‘slachtoffer’ als de verantwoordelijk gehouden organisatie. U kunt hierbij denken aan een gekopieerde identiteit, de verhandeling van medische gegevens, maar ook het bewust lekken van informatie aan de media bij bekende personen bijvoorbeeld. Voor de verantwoordelijk gehouden organisatie kan de consequentie variëren van een waarschuwing tot een geldboete die hoog op kan lopen. Maar vergeet ook niet de imago schade wat hiermee gepaard gaat. Het is de taak van elke organisatie om het risico tot het minimum in te perken.


Wat te doen ter voorkoming
Gelukkig is er een hoop te doen en is er veel verbetering mogelijk om menselijke fouten te minimaliseren, zowel organisatorisch als technisch. Er zijn een aantal eenvoudige voorbeelden van veranderingen die in combinatie met boerenverstand prima door te voeren zijn. Dit betekent overigens niet dat u er bent, beveiliging is een continu proces dat voortdurend de aandacht verdient. De hierop volgende voorbeelden helpen u om meer of snellere stappen vooruit te maken.

Er wordt bijvoorbeeld een hoop data opgeslagen wat helemaal niet noodzakelijk is om op te slaan. Data die je niet hebt hoef je tenslotte ook niet te beveiligen. Sommige gevoelige data heb je wél nodig, in dat geval is het belangrijk dat het apart wordt bewaard met dien verstande dat je hiermee wel een verhoogd risico neemt en dus maatregelen zal moeten nemen om dit risico te verminderen. Te vaak komt het nog voor dat gegevens mee worden genomen in een grotere bulk aan data. Hierdoor wordt het onnodig heen en weer gestuurd en is het mogelijk inzichtelijk voor te veel mensen. Een voorbeeldsituatie waarin dit veel gebeurd zijn Excel export mogelijkheden in softwarepakketten.

Daarnaast is uiteraard bewustwording belangrijk. Wellicht klinkt dit voor u als een open deur, maar voor veel medewerkers is het nog een ‘ver van hun bed show’. Het is zeker noodzakelijk om medewerkers met regelmaat en herhaling te trainen op het vlak van informatiebeveiliging en privacy. Bedenk maar dat we ook jaarlijks specifieke medewerkers op BHV training sturen. De kracht van herhaling is ook in het geval van privacy enorm belangrijk, ondanks dat het niet verplicht is. Bovendien zou het een vast onderdeel moeten zijn van een groter plan zodat het echt bij het organisatiebeleid hoort.

Naast bewustwording en organisatorische aanpassingen is er ook ondersteunende software die menselijke fouten drastisch kunnen verlagen. Zo is Microsoft Azure een goed voorbeeld hiervan. Zo biedt Azure bijvoorbeeld “Azure Information Protection,” een tool die in staat is om informatie te encrypten en om automatisch informatieclassificaties toe te wijzen aan een document. Het is namelijk in staat om gevoelige data in een document te herkennen. De gebruikers binnen uw IT-omgeving kunt u dan rechten toewijzen. Zo kan bijvoorbeeld een specifieke persoon wel hoog vertrouwelijke data inzien, maar printen of doorsturen wordt geblokkeerd.

Sentia kan organisaties helpen met het opzetten en beheren van de volledige, maar vooral bedrijfskritische, IT-omgeving. Dagelijks helpen we klanten, in het kader van end-to-end ontzorging, door te ondersteunen bij de implementatie van diverse tools en processen. Het gezamenlijke doel is altijd de IT-omgeving van de klant optimaliseren op elk vlak en deze veiliger maken. Bij de implementatie is het tevens belangrijk om goed na te denken over de inrichting, eventuele alternatieven en het gebruiksgemak. We lead the way!

Contact onze expert!

Meer over dit onderwerp? Stel nu jouw vragen en krijg een helder antwoord!

Contact onze expert ››

A little spark can lead to great things.
You just need to know how to ignite it.

Neem contact op met onze experts »