Het is de meest voorkomende vorm van datalekken: verkeerd geadresseerde e-mails. Het is dan erg makkelijk om met een beschuldigende vinger naar de afzender te wijzen, alsof deze een blunder heeft begaan die een echte professional niet mag maken. Maar veel waarschijnlijker schiet de organisatie zelf tekort.
Volgens cijfers van de Autoriteit Persoonsgegevens (AP) ging het in maar liefst 63 procent van de datalekmeldingen in 2018 om e-mails die bij de verkeerde personen terechtkwamen. Hieronder vallen ook incidenten met e-mails verstuurd aan veel verschillende personen, waarbij adressen in het ‘to’- of ‘cc’- veld zijn geplakt, in plaats van in het ‘bcc’-veld. Op die manier zijn de adressen zichtbaar voor iedereen. Dit overkwam bijvoorbeeld zorggroep Parnassia afgelopen zomer. De verzender plakte 450 e-mailadressen in het ‘to’-veld, in plaats van het bcc-veld van een mail over een afspraak bij het autismecentrum.
Dit zijn ernstige gevallen. De gevolgen zijn er als eerste voor de mensen van wie de gegevens zijn. Maar ook de organisatie heeft een probleem. Ze moeten het lek melden bij de AP, hun reputatie staat op het spel en ze riskeren boetes in het kader van de algemene verordening gegevensbescherming (AVG).
Het is echter veel te makkelijk om afzonderlijke collega’s de schuld te geven van datalekken. Een fout is in deze tijd van stress en druk snel gemaakt. In vrijwel iedere emailclient staan de velden ‘cc’ en ‘bcc’ direct onder elkaar, en eenmaal verstuurd is een mail ook echt verstuurd. Het is echt een moment van onoplettendheid geweest.
Steun nodig van ict
De nadruk op snelheid en de ‘altijd aan’-mentaliteit bij steeds meer bedrijven gaat ten koste van scherpte. Medewerkers hebben daarom steun nodig vanuit de ict-afdeling. Verwijten verhogen de druk alleen maar verder, ook bij hun collega’s. En dat verhoogt het risico op incidenten.
In plaats van met de vinger te wijzen, kunnen management en ict zich beter afvragen hoe ze collega’s de helpende hand bieden. Hoe kunnen ze het risico op menselijke fouten zoveel mogelijk beperken? Deze vier stappen helpen daarbij:
1. Maak beleid. Medewerkers zijn echt wel voornemens zorgvuldig om te gaan met gegevens. Daarvoor moeten ze wel bekend zijn met de richtlijnen die er gelden. Welke gegevens mag je naar buiten toe delen en welke niet? Bij wie moet ik een incident melden wanneer ik het opmerk? Een helder beleid zorgt bovendien voor duidelijkheid en voorkomt discussies (en vingerwijzingen) achteraf.
Beleid gaat echter verder dan het opstellen van gedragsregels. Ook technische regels vallen hieronder. Niet iedereen moet in staat zijn om toegang te krijgen tot vertrouwelijke gegevens, laat staan dat ze deze naar buiten kunnen mailen.
2. Train de awareness. Bekendheid met de regels is één, Maar bewustwording onder de medewerkers houdt niet alleen in dat ze weten wat niet mag, maar ook wáárom iets niet mag. Dat maakt medewerkers weerbaarder en oplettender in riskante situaties. Dat kan ook gaan om zeer eenvoudige dingen: ‘laat geen onbekenden zomaar binnen’ of ‘steek geen usb-stick die je in het park hebt gevonden in je laptop’.
Hoe eenvoudig ook, een eenmalige cursus is hiervoor onvoldoende. Awareness kun je alleen opbouwen als er regelmatig aandacht voor is. Daar wringt de schoen, want uit onderzoek blijkt dat slechts 16 procent van de organisaties in Nederland trainingen aanbiedt om potentiële datadiefstal te herkennen.
Het is daarnaast erg effectief om de trainingen zo praktisch mogelijk te maken. Het is bijvoorbeeld mogelijk gebruikers die onveilige links aanklikken om te leiden naar een korte vragenlijst: waarom vertrouwde je deze link? Heb je opgelet? Gebruikers worden hierdoor scherper en voorzichtiger.
3. Implementeer DLP en securitygateways. De techniek speelt dus een belangrijke rol in het bewustwordingsproces, maar ook bij preventie en bescherming. Het scannen van inkomende mail is ondertussen de standaard, maar door ook uitgaande mail te scannen met een oplossing voor data loss prevention (dlp) voorkom je veel ellende. Securitygateways boven op het e-mailplatform bieden bovendien veel controle over de e-mailomgeving.
Met regels kun je voorkomen dat een grote groep ontvangers open en bloot in het cc- of bcc-veld staat. Zo kun je instellen dat je slechts een beperkt aantal e-mailadressen, bijvoorbeeld vijf, in de ‘to’- en ‘cc’-velden kunt plakken. En je kunt extra waarschuwingen laten afgeven als de gebruiker op het punt staat een mail te sturen naar een onbekend adres.
De sleutel van alle technische hulpmiddelen is dat het de gebruiker niet in de weg zit. Immers, hinderlijke technologie nodigt alleen maar uit om deze te omzeilen.
4. Bereid je voor op incidenten. De vraag die iedere organisatie zichzelf moet stellen is niet óf het ooit misgaat, maar wanneer. Na de melding moet je in staat zijn de schade te beperken, maar er moet ook een plan klaarliggen om aan alle geldende procedures te voldoen. Wie informeert de AP? Wie de eindgebruikers? Op welke manier? En welke stappen nemen we om het incident te analyseren en herhaling te voorkomen? Tijd is hierin van groot belang, want wie snel en adequaat reageert, toont niet alleen goodwill, maar voorkomt wellicht ook hogere boetes. Een plan dat al klaarligt, helpt hier enorm bij.
Conclusie
De organisatie heeft dus de middelen én de verantwoordelijkheid eindgebruikers te beschermen. Tegen dreigingen van buiten, maar ook tegen de risico’s die werkdruk en snelheid met zich meebrengen. Door deze toe te passen, kom je al een heel eind.
