Bedrijven besteden veel geld aan de veiligheid van hun it-omgeving, ze bouwen hoge muren om hun digitale informatie te beschermen. Firewalls, anti-virus, intrusion prevention en application monitoring worden naar hartelust gecombineerd om de boze buitenwereld ook daadwerkelijk buiten te houden.
Dat is logisch. Er zijn genoeg voorbeelden te vinden van gegevensdiefstal met schadelijke gevolgen voor personen en organisaties. Gegevens moeten beschermd worden tegen hackers en kritische infrastructuren, zoals het elektriciteitsnet en Schiphol, mogen niet onderuit gaan.
Andere moraal
Bij e-mail lijkt ineens een andere moraal te gelden. Hoewel algemeen bekend is dat e-mail onveilig is, gebruiken we het allemaal om informatie te versturen. Informatie waarvoor we in eerste instantie zo ons best hebben gedaan om deze van de buitenwereld af te schermen. E-mail is onveilig. Ik vergelijk het wel eens met een ansichtkaart; de informatie op de kaart is onbeschermd én biedt maar weinig ruimte voor de boodschap. Overdracht van gegevens uit de beveiligde omgeving naar een ander – via e-mail of zelfs file sharing – vormt voor veel bedrijven dan ook een ‘witte vlek’ in de informatiebeveiliging.
We staan hier in de dagelijkse praktijk niet teveel bij stil. E-mail moet vooral makkelijk en laagdrempelig zijn en blijven. Ik ken voorbeelden van systeembeheerders die bij de raad van bestuur mochten gaan uitleggen waarom werknemers een extra handeling moesten uitvoeren om een e-mail beveiligd te kunnen versturen. Gevolg was dan dat alles weer terug gedraaid moest worden, want ‘het was te lastig voor de gebruikers…’.
Informatielek
De weerstand tegen het beveiligen van communicatie via e-mail en bestandsuitwisseling is begrijpelijk vanuit het standpunt dat er iets extra’s gedaan moet worden. Of dat nu door de gebruiker is of door een complexe inrichting van een systeem. Niemand zit te wachten op processen die het versturen van e-mails moeilijker maken, zeker wanneer de verzender zelf niet de ‘pijn’ voelt die een informatielek veroorzaakt. Technologisch zijn er voldoende middelen voorhanden om de online informatieuitwisseling met de buitenwereld veiliger te maken.
Het gaat er daarbij om draagvlak te creëren voor de maatregelen. In veel gevallen zullen gebruikers overtuigd en bewust gemaakt moeten worden van de risico’s. Dat kan bijvoorbeeld door gebruikers bewust te maken van de hoeveelheid moeite die er gedaan wordt om de data te beveiligen binnen een organisatie. In dat opzicht mag er ook best wat van de gebruiker verwacht worden.
Geen ontkomen aan
Bedrijven die te maken hebben met communicatie van gevoelige informatie zoals persoonsgegevens, intellectual property of financiële informatie, ontkomen er niet aan. Nieuwe wet- en regelgeving maakt de beveiliging van communicatie niet meer optioneel; ze verplicht organisaties maatregelen te nemen. Zoals we in de echte wereld onze huisdeur op slot doen, onze veiligheidsriem in de auto om doen en een vertrouwelijke brief per aangetekende post versturen, zullen we ook met e-mail moeten leren omgaan.
Waar heb ik een extra slot op de deur nodig en wanneer wil ik dat er getekend wordt voor ontvangst? In de fysieke wereld zijn we door schade en schande wijs geworden, met af en toe een beetje hulp van de overheid. Uw deur open laten terwijl u niet thuis bent, kan u de inboedel kosten. Zonder autogordel rijden kost u 140 euro als u gesnapt wordt. Het doel rechtvaardigt in zekere zin de middelen. Vanuit dat oogpunt juich ik de komst van GDPR/AVG dan ook zeker toe, al zal niet iedereen het daarmee eens zijn en de voorkeur blijven geven aan gebruiksgemak…