[Dutch] Van hacken naar lekken: een roep in de woestijn

Foto van Nathan McBride op Unsplash

Door: Elsine van Os

Kernpunten:

  • Dagelijks wordt gevoelige data uit systemen, bewust en onbewust, gelekt en hier moeten betere integrale maatregelen voor komen.
  • De meeste lekken ontstaan door mensen. Er is ondertussen veel aandacht voor cyber security maar bedrijven en overheidsinstellingen moeten breder en strategischer kijken naar het beschermen van hun data. 
  • Door te investeren in een minimum aantal maatregelen, waarbij monitoring van gedrag op gebruikersaccounts een belangrijk element vormt, kunnen menselijke lekken worden voorkomen.

Afgelopen weekend zijn twee medewerkers van het landelijke coronatest callcentre aangehouden op verdenking van datadiefstal. Zij zouden tegen betaling persoonsgegevens uit de GGD-systemen hebben aangeboden. Het werd tevens duidelijk dat de diefstal erg makkelijk werd gemaakt voor deze medewerkers. De GGD blijkt met grote privacyproblemen te kampen rondom de corona systemen die miljoenen privégegevens van Nederlanders bevat. 

Het blijkt dat de GGD al maanden geleden gewaarschuwd was voor gaten in de bescherming van persoonsgegevens. In september waarschuwde de Volkskrant al dat iedereen overal bij kon. RTL Nieuws heeft met medewerkers gesproken en meldt op basis daarvan dat intern was geklaagd over de problemen, maar dat daar niets mee is gedaan. 

Minister De Jonge heeft temidden van alle uitdagingen van de pandemie geen goed zicht op de inrichting en mate van zorgvuldigheid waarmee de GGD haar werkzaamheden uitvoert en gegevens dient te beschermen. De GGD doet nu haastige pogingen om maatregelen te treffen. De geest is nu alleen uit de fles, zeer gevoelige persoonsgegevens van Nederlandse burgers zijn online beschikbaar voor criminelen

Wat is hier aan de hand? Maar vooral wat is hier de oplossing? Deze oplossing ligt niet in de eerste plaats in het cyber security domein. Daar gaat de aandacht vooral uit naar externe dreigingen. Daarnaast ligt de oplossing niet enkel in het IT domein. Dit is een belangrijke fout waar juist nu aandacht voor moet komen. Bovendien, het haastige werk in een pandemie staat echt niet op zich. Dagelijks wordt gevoelige data uit systemen gelekt en hier moeten betere integrale oplossingen voor komen.

Van hacken naar lekken

Het cyber security waterbed effect: als de externe maatregelen sterker worden zal je interne medewerker meer onder druk komen te staan.

In de afgelopen jaren is datadiefstal sterk toegenomen, omdat informatie steeds waardevoller en kwetsbaarder is geworden in een gedigitaliseerde wereld. Criminelen vinden voortdurend nieuwe manieren om geld te verdienen met vertrouwelijke informatie, waaronder persoonsgegevens.

Nu externe verdediging steeds sterker wordt, maken externe actoren steeds meer gebruik van insiders om hun behoeften te vervullen. Dit noemen we ook wel het cyber security waterbed effect: als de externe maatregelen sterker worden zal je interne medewerker meer onder druk komen te staan. Of interne medewerkers, ofwel insiders, zoeken juist die externe partijen op voor hun handel in data. Werknemers hebben vaak toegang tot zeer gevoelige informatie die per ongeluk of opzettelijk kan worden gepubliceerd, gestolen of verwijderd. En door de toenemende afhankelijkheid van digitale technologie kunnen gebruikers gemakkelijk toegang krijgen tot gevoelige informatie. Deze trends zullen zich voortzetten naarmate de werkplek steeds meer genetwerkt wordt. Denk ook aan de nieuwe manieren van werken die tijdens de COVID-19-omstandigheden zijn ontstaan en bijvoorbeeld het gebrek aan zicht op je medewerker.

De groeiende invloed van sociale media en het dark web speelt ook een rol. Actoren gebruiken het steeds vaker voor het werven van medewerkers en profiteren van deze toegang en het anoniem uit laten betalen. Ook medewerkers kunnen makkelijker op anonieme wijze hun markt vinden voor gestolen data zoals in het geval van de GGD.

Dit type incidenten van datadiefstal gebeuren elke dag met een enorme financiële impact en reputatieschade en hebben impact op organisaties in alle sectoren.

Forrester heeft in haar outlook voor 2021 aangegeven dat zij een 8% groei in “insider threats”, zoals deze thematiek wordt getypeerd, voorspellen. Dit komt door de volgende factoren:

1) de snelle druk van gebruikers om op afstand te werken als gevolg van de COVID-19-pandemie

2) de baanonzekerheid van werknemers en de daarmee afgenomen loyaliteit

3) het grotere gemak waarmee bedrijfsgegevens kunnen worden gestolen en vermarkt

Van systeem naar medewerker

Laten we het eerst over de medewerkers hebben voordat we direct de systemen in duiken.  Wie zijn de personen die dit soort data diefstallen plegen? Hoe dan ook krijgen medewerkers gevoelige data tot hen toevertrouwd. Alles ‘op slot zetten’ is onmogelijk. Het is daarom altijd belangrijk de medewerker zelf niet uit het oog te verliezen. Uit onderzoek is gebleken dat gedragsveranderingen, problemen op het werk of in hun omgeving vooraf gaan aan technische risico-indicatoren. Maar liefst 97% van de medewerkers die een datadiefstal pleegden had al officiële aandacht voor zorgwekkend gedrag zoals het overtreden van regels, beleid, of algemeen ongepast gedrag. Met techniek alleen ga je het dus niet (vroegtijdig) oplossen. Deze statistieken tonen aan dat er echt een rol is weggelegd voor educatie en het herkennen van afwijkend gedrag op het werk, goed functionerende rapportage kanalen en leiderschap dat zorgwekkend gedrag goed adresseert. Ook een betere screening van medewerkers vooraf, al is het maar een VOG, kan een belangrijke rol van betekenis spelen in de keuze of je iemand gevoelige data wilt toevertrouwen. 

Het juiste handelingsperspectief: integraal insider risk management

Bedrijven en overheidsinstellingen moeten strategischer kijken naar het beschermen van hun data. Dat begint met integrale risicoanalyses. Deze moeten hiaten op niet enkel systeem, maar tevens en even belangrijk op mens en procesniveau blootleggen. De Amerikaanse overheid loopt hierin ver voorop. Op overheidsniveau is in 2011 door President Obama een Executive Order opgesteld gericht op het voorkomen van datalekken. In 2012 is een Presidentieel Memorandum voor een nationaal ‘insider threat’ beleid om datalekken van binnenuit het hoofd te bieden. Er zijn minimumeisen opgesteld waaraan moet worden voldaan, die in de eerste instantie door federale overheidsinstanties en diens contractors worden toegepast maar nu ook steeds meer in het bedrijfsleven. Voorbeelden hiervan een senior verantwoordelijke voor het beschermen van data, een oversight mechanisme, monitoring van gedrag op gebruikersaccounts en training. 

Strategische vragen die het management van organisaties bij het beschermen van gegevens zich moet stellen zijn de volgende: 

  • Wat zijn mijn plichten en verantwoordelijkheden voor het beschermen van de data die mij is toevertrouwd?
  • Heb ik goed zicht op waar mijn data staat en in welke mate deze adequaat wordt beschermd?
  • Dekken de maatregelen zowel de elementen techniek, systeem, mens, proces en governance?
  • Zijn de maatregelen van een preventieve aard, maar heb ik ook detectie, respons en herstel mechanismen op z’n plek en geoefend? Belangrijk hierbij is ook: heb ik mijn bedrijf zodanig ingericht om eventuele schade te beperken? Dus als iemand de mist in gaat: hoe zorg ik ervoor dat ze niet met alles de deur uit kunnen lopen?

Wat voor stappen kan de GGD het beste zetten? De omstandigheden zijn een grote uitdaging. Callcenter medewerkers worden in korte teams gesprekjes snel aangenomen en zicht op elkaar in deze digitale thuiswerk wereld is zeer minimaal. Een greep uit belangrijke praktische stappen:

  • Oog voor potentiële risico’s bij aanname en ondanks de tijdsdruk toch die VOG verzoeken.
  • Zorg dragen voor een goede thuiswerkomgeving, ook in het kader van onbewuste fouten.
  • Het monitoren op afwijkend gedrag door gebruikersaccounts om vroegtijdig te kunnen detecteren dat gebruikers bijvoorbeeld gegevens opvragen die niet tot hun regio of takenpakket behoren.
  • Toegangsrestricties inrichten tot de data in het systeem. Hierdoor blijft de eventuele schade beperkt.
  • Het hebben van een respons protocol. In deze precaire situatie is de schaalgrootte van het incident (want mogelijk meerdere) nog niet inzichtelijk en de handelingsrichting hierop onduidelijk. Hierop had proactiever kunnen worden gemanaged.

Waar blijft de actie?

Op organisatieniveau is de implementatie van een integraal insider risico programma best uitdagend. Bovenstaande vragen zijn moeilijk en de afdelingsoverschrijdende aard ervan zal van invloed zijn op tal van processen, beleid en mensen. En vaak wil er geen afdeling verantwoordelijk zijn voor het geheel aan ‘oversight’. Hierdoor is de oplossing vaak gefragmenteerd en zal er veelal geen verantwoordelijke kunnen zeggen dat ze er inderdaad alles aan doen om zorg te dragen voor de aan hen toevertrouwde gegevens. In het geval van de GGD gaat nu een externe partij een audit doen. Welke vorm dit aan neemt is nog onbekend. Hopelijk biedt een stukje van de puzzel dat onderdeel van een oplossing kan vormen.

Is de context van de pandemie en daarmee haastwerk een excuus? Laten we zeggen dat datalekken dagelijks plaatsvinden, pandemie of niet. We delen ook dagelijks onze gegevens met overheid en bedrijfsleven. Het is de vraag of verantwoordelijken echt goed zicht hebben of er op integrale wijze zorgvuldig om wordt gegaan met de aan het toevertrouwde gegevens. Minister De Jonge had er geen zicht op maar hij staat daarin niet alleen. Laten we het leiderschap van bedrijven de strategische vragen stellen. Dat is de eerste stap om maatregelen te gaan treffen. Het is alleen zeer betreurenswaardig dat het treffen van maatregelen omtrent lekken vaak een roep in de woestijn is tot er een groot incident plaatsvindt.

 

Related Blogs