3 manieren waarop je gebruikers data lekken

lek

Als IT’er heb je veel risico’s zelf in de hand. Je houdt je software bijvoorbeeld up-to-data en voert een strikt wachtwoordbeleid. Ook houd je de logs scherp in de gaten zodat je weet of er aanvallen van buitenaf plaatsvinden. Toch is er een zwakke schakel in dit geheel, en die is alomtegenwoordig: de gebruiker. En helaas is de gebruiker geen lek dat je met technische middelen hermetisch kunt afsluiten. Medewerkers moeten hun werk kunnen doen en als IT’er is het zelfs je taak om hun werk zo goed mogelijk te faciliteren. Dus hebben ze toegang tot data nodig en allerlei tools om er op allerlei plekken mee te werken en om informatie uit te wisselen met mensen binnen en buiten de organisatie.

Maar je bent je ervan bewust dat je data het kapitaal is van je bedrijf en dat je er alles aan moet doen om het binnen de organisatie te houden. Als IT’er kijk je natuurlijk vooral naar de technische mogelijkheden, toch kun je beter eerst kijken naar wat voor maatregelen je als organisatie kunt nemen. Zo is het verstandig om je gebruikers een training te geven, waardoor ze zich bewust worden van de gevaren en de waarde leren kennen van de data waar ze mee werken. Daarnaast is het belangrijk om hen de mogelijkheid te geven om het veilig en gemakkelijk te kunnen te melden als ze data hebben gelekt. Want dat er data lekt is erg, maar het is nog erger als jij er niet van op de hoogte bent.

Tot zover de maatregelen die de organisatie kan treffen. Maar ook met IT kun je veel gedaan krijgen, zonder de gebruikers in de weg te zitten. Om te illustreren aan wat voor maatregelen je moet denken, geven we je hieronder drie soorten gebruikers die data lekken en wat IT zou moeten doen om dit tegen te gaan.

De gemakzuchtige gebruiker

De meeste gebruikers willen helemaal geen data lekken, ze zoeken gewoon altijd de makkelijkste manier om hun werk te doen. En als IT het ze moeilijk maakt met allerlei regels, dan vinden ze wel een manier waarop ze toch hun zin krijgen. Ze zetten data in Dropbox, mailen het naar hun Gmail, verzenden data via WeTransfer of zetten het op een old school usb-stick. Hierdoor raak je de greep op de data kwijt. Bovendien wordt het risico groter dat ze usb-sticks laten rondslingeren of dat ze bijvoorbeeld door autocomplete data naar mensen buiten de organisatie mailen. Zeker gevoelige bedrijfsinformatie mag je niet op deze manier laten wegglippen.

De eerste stap die IT kan zetten om dit soort lekken te voorkomen is het opzetten van een goede clouddienst waar medewerkers altijd en overal bij kunnen en waarmee ze documenten kunnen delen met collega’s. Daarmee sla je twee vliegen in één klap, je maakt het je gebruikers makkelijk om hun werk te doen en je behoudt de controle. Maar je zult het gebruik van deze corporate dienst moeten afdwingen, wat betekent dat je andere soortgelijke diensten moet afsluiten binnen je organisatie.

En met behulp van IT kun je er daarnaast voor zorgen dat de welwillende gebruiker er op de juiste tijd aan wordt herinnerd dat hij of zij voorzichtig moet zijn. Zo kan er een melding worden weergegeven als er een mail met een attachment naar buiten de organisatie wordt gestuurd. En het moet niet mogelijk zijn om een bestand op een usb-stick te zetten zonder het te versleutelen. Met deze maatregelen kunnen mensen wel hun werk doen, maar wordt het risico op ongewild datalekken geminimaliseerd.

De kwaadwillende gebruiker

Een goede training helpt natuurlijk niet tegen werknemers met een eigen agenda. Ze kunnen een wrok koesteren of uit zijn op eigen gewin. Het moedwillig lekken van data door medewerkers is dan ook heel lastig tegen te gaan, maar toch is de organisatie verantwoordelijk als het gebeurt. Daarom is het op dit punt vooral belangrijk dat achteraf is na te gaan wie wat op welke manier heeft gelekt. Zo zijn er gevallen bekend waarbij mensen tijdens een vergadering over het overnemen van een bedrijf hun familie via een chat de opdracht gaven om aandelen te kopen van het bedrijf in kwestie. Natuurlijk werden er vervolgens door de toezichthouder verdachte pieken in de aandelenhandel gesignaleerd, waar de directie op werd aangesproken. Dan is het van belang dat je de beschikking hebt over een forensische tool waarmee je de digitale sporen kunt volgen.

Vooral voor de board is het belangrijk dat ze verantwoording kunnen afleggen richting de toezichthouders. Het bedrijf moet compliant zijn, en met dit soort tools kan IT hierin voorzien. In ieder geval moet je beducht zijn op werknemers die moedwillig data lekken en dan is een forensische tool onontbeerlijk. Die moet ook persoonlijke chat, Facebook en Dropbox kunnen doorzoeken, aangezien dat de typische kanalen zijn waarop data het bedrijf verlaat.

De gebruiker als aanvalsvector van criminelen

De tijd dat hackers amateurs op zolderkamers waren is definitief voorbij. Cybercrime is geprofessionaliseerd en de methoden om bijvoorbeeld te phishen worden steeds geavanceerder. Ten eerste is het van belang dat je gebruikers erin worden getraind om de gevaren te zien, zodat ze niet blindelings op elke link klikken die ze tegenkomen. Maar de phishingaanvallen worden zo geavanceerd en zo goed gericht dat goede Advanced Threat Protection onontbeerlijk is.

Een simpel voorbeeld maakt dit duidelijker. Veel producten scannen mails op malafide urls als ze binnenkomen. Maar tegenwoordig zijn de technieken van criminelen zo verfijnd dat die urls onschuldig zijn als de mail langs de beveiliging komt, maar veranderen in malafide links ze als de gebruikers de mail opent. Goede ATP-software zal de url dus ook scannen op het moment dat de gebruiker ze onder ogen krijgen. En dat is slechts één voorbeeld. De middelen van criminelen worden steeds weer beter, het is een wapenwedloop die nooit als gelopen mag worden beschouwd.