Plaatsgenoot Rutger Bregman schreef een tijdje terug het boek met de hoopgevende titel “De meeste mensen deugen”. Waar ik het helemaal mee eens ben/wil zijn. Maar zoals de titel al suggereert: er zijn dus ook mensen die niet deugen. En die kunnen je het leven knap lastig maken. Zeker als ze op je data uit zijn. Helaas lijken er hiervan steeds meer te zijn. Maar deze hackers blijken niet eens het grootste risico voor een datalek. Onderzoek van de Autoriteit Persoonsgegevens wijst uit dat eigen medewerkers een minstens zo groot risico vormen.
Spraakmakende voorbeelden
Data wordt ook wel “het nieuwe goud” genoemd. Met de juiste data valt in de huidige tijd immers veel geld te verdienen. Bovendien worden organisaties er steeds afhankelijker van. En dus worden in organisaties steeds meer data verzameld. Die hackers vervolgens proberen te stelen of te gijzelen.
Er zijn de laatste tijd aardig wat nieuwsitems geweest over organisaties waarvan gegevens gestolen of gegijzeld werden. Denk aan de gemeente Hof van Twente waarvan de gegevens werden gegijzeld welke vervolgens alleen weer vrijgegeven zouden worden als de gemeente Eur 750.000,– in bitcoins zou betalen. Iets wat ook de Universiteit Maastricht overkwam. Ander voorbeelden zijn RDC en Allekabels waar data van autobezitters respectievelijk klanten werden gestolen middels een hack.
De zwakste schakel
De zwakste schakel waar hackers gebruik van proberen te maken is steeds vaker de medewerker. Ramsomware, software waarmee bestanden van een organisatie worden gegijzeld, wordt veelal verspreid via e-mails. Ook worden steeds vaker SMS’jes en whatsapp berichten gestuurd waarmee geprobeerd wordt inloggegevens te achterhalen. Afgelopen week heb ik zelf al weer twee van dergelijke berichten ontvangen.
Daar waar je in eerste instantie vanwege het gebrekkig Nederlands in de berichten direct doorhad dat je niet op een bericht moest reageren, worden de hackers steeds doortrapter. Het komt dan ook steeds vaker voor dat medewerkers in een truck trappen. Met alle gevolgen van dien.
En dan zijn dit nog niet eens de grootste bedreigingen als het gaat om datalekken. Uit onderzoek van de Autoriteit Persoonsgegevens is namelijk gebleken dat de meeste datalekken uiteindelijk vooral samenhangen met verkeerd geadresseerde e-mails. Dus medewerkers die persoonsgegevens naar een verkeerd adres mailen. Niet voor niets is in de zorg de NTA 7516, een norm voor beveiligd mailen, verplicht gesteld.
Verstrekkende gevolgen
Zowel wanneer er een datalek plaatsvindt als wanneer data worden gegijzeld kan dit verstrekkende gevolgen hebben. Voor de desbetreffende organisatie in financiële zin en/of in termen van imagoschade. In het geval van een datalek voor betrokkenen omdat hun privacy wordt geschonden maar ook omdat het risico op identiteitsfraude steeds meer toeneemt.
Aandacht bestuurders vereist
Met het oog op voorgaande is het dan ook van groot belang dat bestuurders informatiebeveiliging serieus nemen en op hun agenda hebben staan. De aandacht die eraan wordt besteed binnen een organisatie staat of valt met bestuurlijke urgentie. Alleen dan zijn langdurige bewustwordingscampagnes voor medewerkers mogelijk en kan er voldoende geld worden vrijgemaakt voor het treffen van preventieve (technische) maatregelen.
Verontrustend in dit kader is een recente publicatie in het Financieel Dagblad. Hierin wordt gerefereerd aan een onderzoek van PWC waaruit bleek dat bijvoorbeeld de AVG wel op de agenda van bestuurders staat, maar op de verkeerde manier. De bestuurders, zo bleek uit het onderzoek liggen vooral wakker van de AVG omdat zij het vooral zien als overregulering. Over datalekken die de AVG probeert te voorkomen maken zij zich veel minder zorgen. Er is dus nog een wereld te winnen.
Nee, informatiebeveiliging is geen sexy onderwerp. Nee, het is niet leuk om na te denken over wat er wel niet allemaal mis kan gaan. Nee, het is niet eenvoudig om de handen op elkaar te krijgen voor investeringen in preventieve maatregelen. En nee, het is niet makkelijk scoren met puur het voorkomen van ongewenste effecten. Maar in de huidige fase van digitale transitie waar organisaties in zitten kan het domweg niet anders. Iedere organisatie van enige omvang zou mijns inziens naast een FG een security officer moeten hebben en zichzelf moeten spiegelen aan bijvoorbeeld een ISO 27001/NEN 7510.
Auteur: Bert van de Bovenkamp
