28 mei, 2018

De mens: de zwakste schakel in databeveiliging

alt text image

Dat is natuurlijk niks nieuws, want dit wordt al jaren geroepen. Hoe komt het dan toch, dat het vandaag de dag nog steeds het geval is? En nog belangrijker, wat kan je als organisatie doen om optimale dataveiligheid te realiseren? Daarover hopen we in dit artikel duidelijkheid te scheppen en handvatten te bieden. De focus in dit artikel ligt op datalekken door menselijk toedoen vanuit organisatorisch perspectief waarbij persoonsgegevens betrokken zijn. Wellicht goed om eerst te beginnen met een kleine opfrisser wat betreft een datalek, toegespitst op persoonsgegevens.

Datalek persoonsgegevens


In deze situatie wordt er gesproken over een datalek zodra er een inbreuk is op de beveiliging van persoonsgegevens. De incidenten kunnen daardoor sterk uiteenlopend zijn. De Autoriteit Persoonsgegevens omschrijft het letterlijk als volgt:

Een datalek betekent toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt niet alleen het vrijkomen (lekken) van gegevens, maar ook de onrechtmatige verwerking ervan.

Menselijk handelen


Datalekken en risico’s tot datalekken door menselijk handelen zijn moeilijk te voorkomen. Technische gebreken zijn door een specialistische partij op te sporen en verbeteringen en optimalisaties zijn doorgaans eenvoudig door te voeren. In het geval van menselijk gedrag is dit daarentegen een stuk complexer, maar tot het minimum beperken is zeker niet onmogelijk.


Het gebeurd op dagelijkse basis dat onder andere brieven en e-mails verkeerd worden geadresseerd, hardware van medewerkers die kwijt raken of een verkeerde link die wordt aangeklikt. De laatste tijd is ook een aantal keer in het nieuws gebleken dat de nieuwsgierigheid van medewerkers een risico vormt voor persoonsgegevens. Denk hierbij bijvoorbeeld aan incidenten met beroemde personen, hoewel dit natuurlijk ook bij mensen gebeurd die niet in de media bekend zijn. Met name branches waar veel met persoonsgegevens wordt gewerkt zijn hier gevoelig voor. Zo staat de zorgsector al jarenlang op nummer een als het om dergelijke datalekken gaat. Daarnaast is de educatieve sector hier ook gevoelig voor. Dit betekent overigens niet dat andere branches uitgewist kunnen worden in deze kwestie.

Risico’s en consequenties


Het risico is natuurlijk dat data in verkeerde handen terecht komt. Op dit moment wordt dit nog vaak gebagatelliseerd. Natuurlijk is de kans erg klein dat de gegevens uit een papierbak in de handen komen van iemand die er bewust kwaad mee doet. Het gebeurt zelden dat een instantie per ongeluk namen, adressen en BSN-nummers deelt met tientallen, honderden of duizenden anderen. Daarbij moet er dan ook nog net iemand tussen zitten die er misbruik van maakt.


Echter, risico gaat niet over hoe groot of hoe klein de kans is dat iets gebeurd. Het gaat over een combinatie van kans en impact. De kans is klein, soms nihil zelfs, maar de impact kan enorm zijn voor zowel het ‘slachtoffer’ als de verantwoordelijk gehouden organisatie. U kunt hierbij denken aan een gekopieerde identiteit, de verhandeling van medische gegevens, maar ook het bewust lekken van informatie aan de media bij bekende personen bijvoorbeeld. Voor de verantwoordelijk gehouden organisatie kan de consequentie variëren van een waarschuwing tot een geldboete die hoog op kan lopen. Het is de taak van elke organisatie om het risico tot het minimum in te perken.

Wat te doen ter voorkoming

Gelukkig is er een hoop te doen en is er veel verbetering mogelijk om menselijke fouten te minimaliseren, zowel organisatorisch als technisch. Er zijn een aantal eenvoudige voorbeelden van veranderingen die in combinatie met boerenverstand prima door te voeren zijn. Dit betekent overigens niet dat u er bent, beveiliging is een continu proces dat voortdurend de aandacht verdient. De hierop volgende voorbeelden helpen u om meer of snellere stappen vooruit te maken.

 

Er wordt bijvoorbeeld een hoop data opgeslagen wat helemaal niet noodzakelijk is om op te slaan. Data die je niet hebt hoef je tenslotte ook niet te beveiligen. Sommige gevoelige data heb je wél nodig, in dat geval is het belangrijk dat het apart wordt bewaard. Te vaak komt het nog voor dat gegevens mee worden genomen in een grotere bulk aan data. Hierdoor wordt het onnodig heen en weer gestuurd en is het mogelijk inzichtelijk voor te veel mensen. Een voorbeeldsituatie waarin dit veel gebeurd zijn Excel export mogelijkheden in softwarepakketten.

 

Daarnaast is uiteraard bewustwording belangrijk. Wellicht klinkt dit voor u als een open deur, maar voor veel medewerkers is het nog een ‘ver van hun bed show’. Het is zeker aan te bevelen om medewerkers met regelmaat en herhaling te trainen op het vlak van privacy. Bedenk maar dat we ook jaarlijks specifieke medewerkers op BHV training sturen. De kracht van herhaling is ook in het geval van privacy enorm belangrijk, ondanks dat het niet verplicht is.

 

Naast bewustwording en organisatorische aanpassingen zijn er ook tools die menselijke fouten drastisch kunnen verlagen. Microsoft Azure biedt bijvoorbeeld Azure Information Protection, een tool die in staat is om informatie te encrypten en om automatisch classificaties toe te wijzen aan een document. Het is namelijk in staat om gevoelige data in een document te herkennen. De gebruikers binnen uw IT-omgeving kunt u dan rechten toewijzen. Zo kan bijvoorbeeld een specifieke persoon wel hoog vertrouwelijke data inzien, maar printen of doorsturen wordt geblokkeerd.

 

Sentia kan organisaties helpen met het opzetten en beheren van de volledige, maar vooral bedrijfskritische, IT-omgeving. Dagelijks helpen we klanten, in het kader van end-to-end ontzorging, door te ondersteunen bij de implementatie van diverse tools en processen. Het gezamenlijke doel is altijd de IT-omgeving van de klant optimaliseren op elk vlak en deze veiliger maken. Bij de implementatie van dergelijke tools is het tevens belangrijk om goed na te denken over de inrichting, eventuele alternatieven en het gebruiksgemak. Het dagelijks leven van medewerkers moet niet ingewikkelder of moeilijker gemaakt worden. Dit spoort mensen aan om buiten de kaders te gaan en alternatieven te zoeken om informatie bijvoorbeeld door te sturen.

Vragen?

Wij helpen u graag

Bij Sentia hebben wij een toegewijd team dat altijd bereid is uw vragen te beantwoorden!

Contact