Iedere organisatie heeft een guilty secret

Axel van Drongelen

Axel van Drongelen is Manager Benelux bij Egress

De term guilty pleasure kennen we allemaal, maar ben je ook bekend met een guilty secret? Hiermee wordt iets bedoeld waar je je van bewust bent, maar waarover je niet in het openbaar spreekt. Het is een probleem of situatie waarvan het bestaan je bekend is, maar waar je niet te veel naar wilt graven omdat je bang bent voor wat er nog meer boven tafel komt. 

Werknemers als hoofdoorzaak van datalekken is een klassieke guilty secret. We wijzen niet graag naar het team als de oorzaak van security-incidenten. We willen de schaalgrootte van dit probleem niet onder ogen zien, en we willen niet nadenken over het implementeren van oplossingen om het op te lossen. 

Maar ondertussen worden er binnen elke organisatie dagelijks gegevens gelekt door werknemers. De cijfers van de Autoriteit Persoonsgegevens (AP) spreken boekdelen; onbewuste menselijke fouten zijn de belangrijkste oorzaak voor het lekken van persoonsgegevens. 

In de eerste helft van 2019 ontving de AP 11.906 meldingen van datalekken, 63% daarvan werd veroorzaakt doordat persoonsgegevens naar de verkeerde ontvanger werden gestuurd. Brieven die kwijtraakten in de post waren goed voor 10% van de datalekken, verlies of diefstal van apparaten en papieren met gegevens voor 5%. 

Bovendien, securityprofessionals weten dat deze datalekken plaatsvinden. Het 2019 Insider Data Breach-onderzoek toont aan dat 95% van de CISO’s zich zorgen maakt over werknemers die data lekken. Maar uit ervaring weten we dat deze incidenten vaak als te beschamend worden beschouwd om op te biechten. Bovendien zijn ze moeilijk te signaleren en op te lossen. Organisaties leggen liever de focus op het tegengaan van externe, kwaadaardige dreigingen omdat deze eenvoudiger te kwantificeren zijn - en daarmee beter bespreekbaar. 

Maar waarom is het zo moeilijk om toe te geven dat datalekken van binnenuit ontstaan?   

Allereerst houdt niemand ervan om zijn eigen mensen ergens de schuld van te geven. Het is slecht voor het moraal en het kan leiden tot een niet-productieve schuldcultuur. Naar de buitenwereld toe kan het beeld ontstaan van een organisatie die zijn eigen werknemers, die bovendien zijn aangenomen om verantwoord om te gaan met gevoelige data, niet kan vertrouwen. Daarnaast is het probleem moeilijk op te lossen omdat werknemers zich niet altijd voorspelbaar gedragen; ze handelen autonoom, en staan onder externe druk en invloeden. Voor organisaties is het daarom eenvoudiger om te focussen op statische (en weinig verrassende) technische verdedigingstechnieken zoals antivirus scans en firewalls om bekende en voorspelbare dreigingen aan te pakken. 

Maar zoals de cijfers van de AP aantonen, organisaties moeten meer doen om het structurele probleem van datalekken van binnenuit aan te pakken. Het probleem aanpakken is met de volgende stappen eenvoudiger dan het op het eerste gezicht lijkt. 

Stap 1: Geef toe dat er een probleem is. Alleen door toe te geven dat er een probleem is, kunnen de juiste middelen worden vrijgemaakt om het op te lossen. Uit de AP-cijfers over de eerste zes maanden van dit jaar blijkt dat een groot deel van de datalekken veroorzaakt wordt door een menselijke fout. De kans is dus groot dat op dit moment data gevaar lopen door fouten van personeel. Het Insider Data Breach-onderzoek laat zien dat 79% van de IT-verantwoordelijken aangeeft dat werknemers in hun organisatie per ongeluk data in gevaar hebben gebracht. En 61% geeft aan dat er bewust data zijn gelekt door werknemers. Het is een algemeen beeld - een eerste stap is dit erkennen. 

Stap 2: Begrijp het probleem. Na het erkennen van het hebben van een probleem is het zaak er grip op te krijgen. Begrijpen hoe werknemers omgaan met gevoelige informatie is een eerste stap in het voorkomen van lekken en het beschermen van data. Eén van de grootste problemen vormt bijvoorbeeld onduidelijkheid onder werknemers over databezit - zo gelooft 29% van de werknemers dat de informatie en projectdata waarmee ze werken, hun bezit is. Bovendien erkent 60% van de werknemers niet dat het exclusieve recht op bezit van bedrijfsdata bij het bedrijf ligt. Zij zijn van mening dat verantwoordelijke afdelingen of individuen dit recht hebben. In praktijk betekent dit dat werknemers vinden dat ze het recht hebben om bepaalde informatie te delen of bijvoorbeeld mee te nemen als ze van baan wisselen. 

Stap 3: Maak middelen vrij. Securityprofessionals moeten een deel van hun budget inzetten om intern datalekken tegen te gaan. Meer dan de helft van de werknemers die tegen de bedrijfsregels in bewust data heeft gedeeld, , deed dit namelijk omdat er geen goede tools beschikbaar waren om data veilig te delen. IT-leiders moeten daarom een databeschermingsbeleid opstellen, inclusief securitytools die intuïtief en eenvoudig in gebruik zijn, ondersteuning voor eindgebruikers en geautomatiseerde securitybesluiten waar mogelijk. Ook moeten ze nadenken over hoe technologie kan helpen om het risico van een lek van binnenuit terug te dringen. Kan de inzet van contextuele machine learningtechnologie bijvoorbeeld helpen om te voorspellen wanneer een werknemer in de fout gaat of risicovol met data omgaat? En kunnen gebruikers en admins vervolgens automatisch gewaarschuwd worden, zodat datalekken eerder worden voorkomen? 

Stap 4: Educatie. De meeste werknemers willen geen gegevens lekken. Betere educatie en training zal ze helpen om beter te begrijpen of ze bepaalde data wel of niet mogen delen, en hoe ze beschikbare tools kunnen gebruiken om gevoelige informatie te beveiligen. Uit onderzoek blijkt dat er een verschil is tussen generaties in hoe ze met databezit en -verantwoordelijkheid omgaan. Training- en educatieprogramma’s dienen hier rekening mee te houden. Ze moeten op maat gemaakt zijn voor de verschillende werknemersprofielen binnen een organisatie. Intuïtief en eenvoudig gebruik van securitytools is eveneens belangrijk - wanneer tools moeilijk in gebruik zijn, is de kans groot dat werknemers manieren zullen zoeken om er niet mee te hoeven werken. 

Stap 5: Investeer in moderne technologie. Een statische vorm van Data Leakage Prevention (DLP) helpt niet tegen onvoorspelbare werknemers. Een geavanceerde vorm van DLP met contextuele machine learningtechnologie zal dit wel doen. Alleen al de sterke groei van ongestructureerde data en de toenemende manieren waarop werknemers data kunnen delen, tonen aan dat een geavanceerde DLP onmisbaar is. Machine learning wordt bijvoorbeeld ingezet om te voorkomen dat de verkeerde geadresseerden aan een e-mail worden gekoppeld of de verkeerde bestanden worden bijgesloten. Machine learning kan ook bepalen welk encryptieniveau nodig is om data te beschermen. Niet door keywords op een ja-of-nee-manier te benaderen, maar door factoren zoals het gedrag van zender en ontvanger mee te nemen - inclusief het realtime risico dat dit gedrag met zich meebrengt. 

Werknemers zullen altijd nodig blijven om werk gedaan te krijgen. Dat betekent dat de dreiging van datalekken van binnenuit niet vanzelf zal verdwijnen. Het is tijd om het tij te keren - door werknemers te ondersteunen om veilig en effectief te kunnen werken, door veiligheidsnetten te bieden die fouten opvangen en door kwaadaardig gedrag op tijd te stoppen. Organisaties moeten afrekenen met hun guilty secrets en het herstelproces starten.