Cybercrime? Eigen medewerkers vormen (onbewust) grootste bedreiging

3 min lezen - gepubliceerd op 22 september 2016

De groei van cybercriminaliteit is al jaren exponentieel. Dat is geen nieuws. Minder bekend is dat de grootste bron van datalekken geen kwaadwillende partij van buiten is, maar de eigen medewerkers die mailen en bestanden uitwisselen. “De eerste en enige stap die dit daadwerkelijk voorkomt, is het werken aan bewustwording. Niet eenmalig, maar als een continu proces.”

Bjorn Stemerdink is expert informatieveiligheid bij ICT-specialist Solviteers. Hij wijst op de plicht van organisaties om zorgvuldig om te gaan met privacygevoelige gegevens. “Als het gaat om informatiebeveiliging vormen de medewerkers de zwakste schakel. Zij hebben niet per se kwade bedoelingen, integendeel, maar ze zijn vaak onwetend en onbewust. En dus worden zwakke wachtwoorden gebruikt omdat dat lekker makkelijk is, laat iemand zijn computer aanstaan tijdens de lunchpauze en kan het voorkomen dat een e-mail per ongeluk aan de verkeerde persoon geadresseerd wordt. En dat terwijl het onbedoeld versturen van persoonlijke gegevens zoals namen, BSN-nummers en geboortedata verstrekkende gevolgen kan hebben, voor de desbetreffende personen én voor de organisatie die deze fout begaat.”

 

Werken aan bewustwording
De oplossing zit volgens Stemerdink in het creëren van bewustwording. Niet als eenmalige sessie,  maar als een continu onderdeel van afdelings- en persoonlijke gesprekken. Hij gaat zelfs zo ver dat hij de suggestie doet om informatieveiligheid mee te nemen in de jaarlijkse beoordelingsgesprekken. "Natuurlijk verschilt de mate waarin iemand toegang heeft tot privacygevoelige gegevens, maar dat neemt niet weg dat iedere medewerker binnen een organisatie zich bewust moet zijn van de potentiële gevaren. Door hier frequent en nadrukkelijk aandacht aan te besteden en medewerkers te confronteren met mogelijke fouten, groeit het bewustzijn en daarmee de informatieveiligheid. Overigens heeft de werknemer ook een eigen verantwoordelijkheid. Er staat regelmatig iets over in de krant en tijdschriften. Phishing-berichten bijvoorbeeld worden steeds persoonlijker en zijn soms nauwelijks van echt te onderscheiden. Ik stel: zorg dat je dit weet en alert bent.”

 

Technische oplossingen

Stemerdink is ervan overtuigd dat hiermee de grootste winst te behalen is. Uiteraard zonder daarbij de technische mogelijkheden uit het oog te verliezen. “Natuurlijk moeten organisaties ook technisch hun zaken op orde hebben. Een goede virusbeveiliging ligt voor de hand, maar wat te denken van een goed toegangsbeleid, met de juiste rechten gekoppeld aan de juiste gebruiker. Het komt meer dan eens voor dat een tijdelijke medewerker ook na vertrek nog kan inloggen. Terwijl het mogelijk is om de datum van uitdiensttreding te koppelen aan het beëindigen van de toegang.” Daarbij benadrukt Stemerdink dat ook servers en software onderhoud behoeven. Meerdere keren per maand worden updates aangeboden om recent geconstateerde lekken te dichten. “Ook hier is bewustwording noodzakelijk. Die lekken zijn bekend, ook bij mensen met minder goede bedoelingen. Een update uitvoeren is dus dringend noodzakelijk om het hacken van gegevens te voorkomen.”

 

Veilig e-mailen en chatten
Om klanten een nog betere klantspecifieke oplossing te kunnen bieden, gaat Solviteers selectief samenwerkingsverbanden aan, ook op het gebied van informatieveiligheid. Een van die samenwerkingspartners is ZIVVER. “Dit is absoluut noemenswaardig, omdat zij echt een gebruiksvriendelijke oplossing hebben om veilig te communiceren en bewustzijn te vergroten”, aldus Stemerdink. Rick Goud, directeur & medeoprichter van ZIVVER, legt uit dat zijn oplossing medewerkers op een gebruiksvriendelijke manier helpt om fouten te voorkomen. “Met onze webapplicatie, mobiele app en Outlook plug-in  kunnen werknemers eenvoudig veilig e-mailen, chatten en grote bestanden versturen. De werkwijze is slim en simpel. Zodra een medewerker een e-mail wil versturen, wordt automatisch gemonitord of de e-mail privacygevoelige informatie bevat. Is dit niet het geval, dan kan de e-mail direct verstuurd worden. Bevat deze echter wel dergelijke informatie, dan krijgt de medewerker eerst een waarschuwing met de vraag of het juist is dat deze informatie naar de desbetreffende ontvanger gaat. Daarbij is bovendien sprake van een volledig versleutelde verbinding. Een belangrijk pluspunt is verder dat ontvangers van een bericht zelf geen ZIVVER account nodig hebben om het bericht te lezen én om hierop te antwoorden. Naast deze toepassing voor gebruikers, bevat ZIVVER ook een dashboard met relevante stuurinformatie. Hiermee kunnen security officers vervolgens aan de slag gaan, bijvoorbeeld als een bepaalde afdeling qua veiligheidsgedrag afwijkt van een andere.”

 

Bewezen implementaties
Goud is overtuigd van de voordelen van ZIVVER. “Het technisch implementeren is redelijk snel geregeld. Echter, het wordt pas succesvol met het juiste verandermanagement. Solviteers is wat dat betreft de juiste partij. Zij hebben de kennis om de technische implementatie goed te verzorgen, maar zijn daarnaast sterk in het communiceren met medewerkers en het creëren van bewustwording. Ik ben het met Stemerdink eens dat goede, veilige communicatie in hoofdzaak het resultaat is van de medewerkers die zich hier bewust voor inzetten.”

Picture of Francis Mustert

Francis Mustert

Francis studeerde Communicatiewetenschap aan de Universiteit van Amsterdam. Na haar stage bij Vodafone kreeg ze de smaak te pakken en startte zij haar Master Corporate Communication. Daarna ging zij in MKB aan de slag waar zij zelfstandig alle facetten van de marketing en communicatie opzette. Bij ZIVVER vindt ze de gedreven ondernemendheid aanstekelijk. Het meeste energie krijgt zij van kansen signaleren en ten volste benutten. Waarom? Omdat stilstand achteruitgang betekent. In haar vrije tijd staat Francis graag op het volleybalveld, maar geniet ook van de derde helft. Daarnaast maakt ze graag één keer per jaar een mooie reis.