Drie stappen tegen onbewuste datadiefstal

Tony Pepper

Tony Pepper, Oprichter en CEO van Egress

Mensen zijn dieven. Althans, wanneer het gaat om ons gedrag op het werk. We zijn alleen niet geneigd om ons gedrag als diefstal te bestempelen. Denk er maar eens over na, iedereen heeft wel eens bedrijfsdata meegenomen bij een overstap naar een nieuwe baan. Of het nou ging om contactgegevens van klanten, projectdata, of informatie uit interne systemen. Het grote probleem hierbij is dat we ons niet realiseren dat het eigenlijk niet mag. 

Hoewel het meenemen van data door vertrekkende werknemers een hardnekkig probleem is, doen ze dit meestal niet met de intentie om het bedrijf schade aan te brengen. Ze hebben alleen een andere opvatting van rechtmatig databezit dan de organisatie waar ze voor werkten. Kortom, ze zien niet in waarom ze geen toegang tot diezelfde informatie zouden mogen hebben in hun nieuwe baan. Maar het is en blijft diefstal van data. 

Het probleem is dat dergelijke opzettelijke, interne diefstallen veel moeilijker te signaleren en voorkomen zijn dan externe aanvallen. Insiders hebben goedgekeurde (en vaak geprivilegieerde) toegang tot informatie - dat maakt het lastig om toegang met kwade bedoelingen te onderscheiden van toegang met eerlijke intenties. 

Het meenemen van informatie als werknemers van werkgever wisselen, kwaadwillend of niet, is slechts een deel van het probleem. Het andere deel bestaat uit werknemers die per ongeluk bedrijfsgevoelige informatie van hun huidige werkgever delen - dit gebeurt opvallend regelmatig en vormt een groeiend probleem. In het recente Egress Insider Data Breach-onderzoek was de meest genoemde menselijke fout dan ook niet geheel toevallig het per ongeluk versturen van data naar de verkeerde persoon (45%).
En wees eens eerlijk, wie is dat nou niet overkomen? Een spelfout is snel gemaakt, of het per ongeluk selecteren van iemand uit het adresboek met dezelfde voornaam. Naast schaamte en ergernis kan dit ook reputatieschade opleveren wanneer het om bedrijfsgevoelige informatie gaat. Volgens IT-verantwoordelijken is de kans op reputatieschade met 48% het grootste gevaar bij een intern datalek, gevolgd door financiële gevolgen (27%) en het kwijtraken van intellectueel eigendom (18%). 

Hoe kunnen bedrijven het probleem van opzettelijke én accidentele interne datalekken aanpakken? 

Educatie

Voor veel werknemers is het niet duidelijk wie de bedrijfsdata bezit. Zo bleek uit het onderzoek van Egress dat een op de vijf datalekken veroorzaakt werd doordat werknemers van mening waren dat zij de rechtmatige eigenaar van de betreffende data waren. En dat ze dus het volste recht hadden om deze informatie te delen met anderen of mee te nemen. 29% van alle respondenten was van mening dat de data waarmee ze werken hun eigendom was en niet van de organisatie, 60% erkende niet dat de organisatie exclusief eigenaar van bedrijfsdata was, maar dacht dat dit eigendom bij afdelingen of individuen lag. Het is onmogelijk te verwachten dat werknemers op de juiste manier met data omgaan als ze zich niet realiseren dat ze iets verkeerd doen. 

Bijna een kwart van de werknemers die opzettelijk data deelden, deed dat toen ze aan een nieuwe baan begonnen. En 32% geeft aan dit te overwegen wanneer ze van baan zouden wisselen. Rancune speelt in 13% van de datalekken een rol. Maar de meerderheid (55%) geeft aan data onveilig te hebben gedeeld omdat ze niet over de tools of informatie beschikken om dit veilig te kunnen doen. Betere educatie en training zal werknemers helpen begrijpen welke gegevens ze wel of niet mogen delen en met welke tools ze dit kunnen doen. 

Beleid

Hoogstwaarschijnlijk is databeleid onderdeel van de kleine lettertjes in het arbeidscontract, maar op welke andere manier wordt deze informatie benadrukt? Werknemersverantwoordelijk voor de bescherming van bedrijfsgevoelige informatie moet niet alleen benoemd worden in een contract dat de HR-afdeling opstelt, het moet ook benadrukt (en nageleefd) worden in het dagelijkse beleid en via voortdurende training. Wanneer werknemers niet op gezette tijden worden herinnerd aan dit beleid, zullen ze er minder snel naar handelen. 

Technologie

Educatie en beleid zijn onderdeel van de oplossing, maar zonder de juiste technologie zal de impact gering zijn. Vergissen blijft immers menselijk en er zullen ook genoeg werknemers zijn die het risico wel willen lopen om bijvoorbeeld data mee te nemen naar een nieuwe baan. Hedendaagse geavanceerde Data Leak Prevention-oplossingen voorkomen per ongeluk gedeelde data en kunnen door middel van geavanceerde analytics gedrag signaleren dat duidt op kwaadwillende datalekken. Dat gaat van encryptietechnologie tot machine learning-toepassingen die signaleren wanneer e-mails aan de verkeerde persoon zijn geadresseerd. Omdat dergelijke technologie bedrijven inzicht geeft in hoe informatie gedeeld wordt en welke risico’s daaraan verbonden zijn, kan er direct actie worden ondernomen waarmee zowel werknemers als werkgevers beschermd worden tegen de kwalijke gevolgen van een datalek. 

Omdat de hoeveelheid ongestructureerde data groeit, tezamen met het aantal manieren waarop deze informatie gedeeld kan worden, stijgt  het gevaar van een lek van binnenuit. Om dit risico in te dammen, is een gecombineerde aanpak van educatie, beleid en technologie noodzakelijk. Door security-oplossingen te gebruiken die passen bij de manier waarop data worden gedeeld en die AI inzetten om lekken te voorkomen, kunnen IT-verantwoordelijken de stap nemen van het minimaliseren van de impact van een lek naar het helemaal voorkomen van het ontstaan van het lek.