Nederland geeft Europa inzicht in de belangrijkste oorzaak van datalekken: menselijke fouten

9 min lezen - gepubliceerd op 18 maart 2019

Het onderwerp informatiebeveiliging is nog nooit zo actueel geweest als nu. Media over de hele wereld besteden aandacht aan de problemen die cyberaanvallen en andere bedreigingen van de veiligheid veroorzaken. Zij zadelen bedrijven op met hoge kosten. De oorzaak hiervan kunnen we niet alleen toeschrijven aan kwetsbaarheden in computersystemen. Het Nederlandse rapportagesysteem laat namelijk zien dat in werkelijkheid menselijke fouten, voor en na het delen van gevoelige informatie, de grootste zorg zijn met betrekking tot datalekken.

Een recent rapport van DLA-Piper laat zien dat er sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG of GDPR) een enorm verschil is geregistreerd in het aantal datalekken dat in de diverse Europese lidstaten voorkwam. Interessant is ook dat het rapport laat zien dat Nederland verreweg de meeste datalekken heeft gemeld. Ongeveer vijf keer meer per inwoner dan bijvoorbeeld in Duitsland en het Verenigd Koninkrijk het geval was, en 25 keer meer dan in België.

Nederlanders meldden in 2018 20.881 datalekken aan de Autoriteit Persoonsgegevens. Een verbazingwekkende 63% van die gerapporteerde lekken was te wijten aan het verzenden van data naar de verkeerde ontvanger. Hierbij is meestal sprake van een bekend scenario, zoals een e-mail die naar de verkeerde persoon werd verzonden of informatie die per ongeluk in een reactie werd gedeeld. Andere oorzaken waren het zoekraken of geopend retour krijgen van een brief (9%), verlies of diefstal van een opslagapparaat zoals een USB-stick (7%) en hacking, malware en phishing (samen 4%).

De cijfers uit dit rapport roepen vragen op, zoals:

  • Waarom is het aantal datalekken in Nederland zo veel hoger dan in andere Europese landen?
  • Waarom is de menselijke fout niet vaker onderwerp van gesprek, nu privacy zo belangrijk is?
  • Wat zijn de oplossingen om menselijke fouten te voorkomen en waarom worden ze niet breed geïmplementeerd?

Om deze vragen te beantwoorden, is het noodzakelijk om de Nederlandse cultuur en media eens nader te bekijken en te onderzoeken hoe organisaties over de hele wereld omgaan met gegevensbescherming.

De Nederlandse meldcultuur als wereldwijde maatstaf voor digitale gegevensbescherming

Per 1 januari 2016 trad de Wet Meldplicht Datalekken in werking. In deze wet is de verplichte melding van datalekken en het risico van een boete voor degenen die niet aan deze eis voldoen, opgenomen. Het was toen één van de eerste richtlijnen in de wereld met betrekking tot het voorkomen van datalekken en het rapporteren ervan. De Nederlandse overheid was bezig haar gegevens en activiteiten te digitaliseren. Een dergelijke beschermingsmaatregel achtte zij noodzakelijk om burgers te beschermen tegen mogelijk misbruik van privégegevens en om het vertrouwen in de digitaliseringsinspanningen te vergroten. De wet werd, samen met de degelijke Duitse wet voor gegevensbescherming, gebruikt als één van de inspiratiebronnen bij de totstandkoming van de AVG. Die werd op 25 mei 2018 in de hele EU van kracht. Al in de vele concepten die hieraan vooraf gingen, was de tijdige melding van incidenten één van de speerpunten van de AVG.

Daarnaast is ook de NTA 7516 in Nederland van kracht. Dit gaat ook impact hebben op Europese richtlijnen. Vooralsnog is de NTA 7516 een Nederlandse norm. De NEN heeft laten weten dat zij de intentie heeft om een traject te starten om deze norm tot een Europese CEN-norm te maken. Nederland is namelijk het eerste land dat een dergelijke norm voor veilige ad hoc communicatie heeft opgesteld. Vaak worden dit soort normen centraal of decentraal overgenomen door andere bij de CEN aangesloten landen, waaronder alle 28 Europese lidstaten.

Dat deze inspiratie uit Nederland kwam is niet verrassend, want over vrijwel alles wat zich in ons land heeft afgespeeld, zijn gedetailleerde verslagen te vinden. Organisatie en archivering zijn onderdeel van het Nederlandse DNA. Een kijkje in de agenda van een gemiddelde Nederlander zal dit al snel bewijzen. Daarnaast heeft ons land één van de beste infrastructuren voor snel en stabiel internet ter wereld én het hoogste gebruik van het elektronisch patiëntendossier in ziekenhuizen en huisartsenpraktijken.

Het alarmerende aantal Nederlandse datalekken is niet te wijten aan een groter aantal cyberaanvallen dan in andere landen. Het geeft slechts het aantal gemelde datalekken weer. Als we kijken naar vergelijkbare statistieken van andere Europese landen wordt duidelijk dat Nederland, sinds de implementatie van de AVG, veruit de meeste datalekken heeft gerapporteerd. Dit toont de onderstaande grafiek.

Graphic_Datalekken_2 copy

Waarom komen datalekken als gevolg van menselijke fouten dan toch als een verrassing?


2018 was, door de spraakmakende hoeveelheid gerapporteerde datalekken, een historisch jaar. Ironisch genoeg was het ook het jaar waarin de AVG in werking trad. Bedrijven die actief zijn in de Europese Unie worden nu verantwoordelijk gehouden voor de bescherming van gegevens. Zij moeten datalekken onmiddellijk melden, anders worden ze bestraft met enorme boetes. Informatiebeveiliging was in 2018 een populair onderwerp in de media. We werden gebombardeerd met nieuwsberichten zoals:

  • FACEBOOK-GEGEVENS VAN CAMBRIDGE ANALYTICA GEBRUIKT VOOR RUSSISCHE INMENGING BIJ AMERIKAANSE VERKIEZINGEN
  • PERSOONLIJKE GEGEVENS VAN AMERIKAANSE MILITAIREN VOOR IEDEREEN TE ZIEN OP FITNESS-APP POLAR
  • PERSOONLIJKE INFORMATIE VAN 340 MILJOEN MENSEN EN BEDRIJVEN GELEKT DOOR EXACTIS
  • MILJOENEN INDIASE BURGERSERVICENUMMERS (AADHAAR) OP STRAAT NA GROOT DATALEK
  • DATALEK DUPEERT HALF MILJARD HOTELGASTEN VAN MARRIOTT
  • AFGESCHERMDE GEGEVENS VAN 52,5 MILJOEN GOOGLE-GEBRUIKERS OPEN EN BLOOT TOEGANKELIJK

Er zijn veel artikelen over deze incidenten te vinden, waarin de gevolgen uitgebreid en gedetailleerd worden beschreven. De media richten zich vooral op spraakmakende datalekken met grote gegevensbestanden. Individuele incidenten zijn minder aantrekkelijk om verslag van te doen. Hierdoor is het grote publiek zich niet bewust van de kosten van het onderzoek en het herstel van de potentiële imagoschade van de geïsoleerde voorvallen. Het resultaat hiervan is dat mensen denken dat de verantwoordelijkheid voor deze aanvallen bij hackers ligt, een gevolg is van een gebrek aan goede beveiliging of zelfs van een cyberoorlog.

De schuld bij slechteriken leggen, maakt het verhaal voor lezers spannender. Criminaliteit fascineert mensen. Helaas werd de waarschijnlijkheid dat deze incidenten veroorzaakt zijn door menselijke fouten, nauwelijks of helemaal niet gerapporteerd. Het grote publiek is dus niet op de hoogte van het feit dat het gevaar veel dichterbij is dan de meeste mensen denken. De dreiging komt hoogstwaarschijnlijk van een onschuldig persoon, die een onbedoelde fout begaat. Een dergelijk besef zou bedrijven en grote instellingen moeten aansporen om een proactieve benadering van de bescherming van gevoelige gegevens te hanteren. Dit gebrek aan bewustzijn van de correlatie tussen datalekken en menselijke fouten is het antwoord op de vraag waarom men preventieve oplossingen niet op grote schaal implementeert.

De correlatie tussen menselijke fouten en datalekken in het juiste perspectief


De meeste organisaties zijn nog steeds zeer inefficiënt in het beveiligen van gevoelige gegevens. De zorgsector is hiervan een goed voorbeeld. De Britse website The Register, een nieuws- en opiniesite over technologie en wetenschap, meldde dat wat betreft Britse datalekken de gezondheidszorg aan kop loopt. Bijna de helft van alle gemelde datalekken (43%) vond binnen deze sector plaats. Een menselijke fout was de primaire oorzaak hiervan. Ook in Nederland rapporteerde de gezondheidszorg het grootste aantal datalekken.

De politieke sector is een ander goed voorbeeld. Gezien de gevoelige aard van politieke gegevens en de bedreiging die datalekken vormen voor de nationale veiligheid en het persoonlijk welzijn van politici, ligt het voor de hand om aan te nemen dat die gegevens uiterst zorgvuldig worden behandeld. Niettemin meldde ITNews eind 2018 dat Duitse politici waren getroffen door een enorm datalek. De persoonlijke gegevens en documenten van honderden Duitse politici en prominenten, waaronder bondskanselier Angela Merkel, werden online gepubliceerd in een van Duitslands meest verstrekkende datalekken. De Bondsminister van Binnenlandse Zaken, Horst Seehofer, zei in een verklaring dat het incident werd veroorzaakt door "onrechtmatig gebruik van inloginformatie voor clouddiensten, e-mailaccounts of sociale netwerken.”

In de financiële sector kan het lekken van gegevens als gevolg van een menselijke fout ook rampzalige gevolgen hebben. Op 31 maart 2017 ontdekte een beveiligingsonderzoeker op een vrij toegankelijke server niet-versleutelde informatie over consumenten van de Scottrade Bank, de bankafdeling van Scottrade Financial Services. De database bevatte namen, adressen en burgerservicenummers van klanten van Scottrade, evenals de gebruikersnamen en de wachtwoorden van verschillende accounts van medewerkers. Een paar dagen later werd duidelijk dat die gegevens per abuis door een externe leverancier, dienstverlener Genpact, waren geüpload. Hierbij lekte de informatie van ongeveer 20.000 klanten van Scottrade. Dit was één van de vele incidenten die in het afgelopen decennium bij de bank plaatsvonden. Om die reden heeft de American Financial Industry Regulatory Authority Scottrade een boete van US $ 2,6 miljoen opgelegd.

In de juridische sector heeft een exponentiële stijging van beveiligingsincidenten plaatsgevonden, zoals werd gerapporteerd aan het Britse Information Commissioner's Office. Naar schatting is in de afgelopen twee jaar het aantal datalekken met 128% toegenomen. Ook hier waren menselijke fouten voor de overgrote meerderheid de oorzaak, waarbij ‘naar de verkeerde ontvanger mailen’ het meest werd genoemd.

Hoewel het toespelen van de zwartepiet aan hackers een tijdje werkte, houden het grote publiek en de autoriteiten organisaties nu verantwoordelijk voor datalekken. Vooral sinds de invoering van de AVG. De nieuwe Europese verordening kan bedrijven tot 4% van hun wereldwijde inkomsten beboeten.

De grootste risico’s doen zich voor tijdens e-mailen en het delen van bestanden


Om de kosten en de juridische consequenties die voortvloeien uit datalekken te voorkomen, moeten publieke en private organisaties de beveiliging van gegevens serieus gaan nemen. Cyberveiligheid is voor zowel externe als interne dreigingen van het grootste belang. Aangezien gevoelige gegevens intern het meest kwetsbaar zijn, moeten organisaties extra voorzorgsmaatregelen nemen door oplossingen te implementeren die datalekken van binnenuit voorkomen. Organisaties moeten nadrukkelijk aandacht schenken aan alle vormen van communicatie, aangezien de meeste datalekken afkomstig zijn van werknemers die communiceren via e-mail, papier of een portal. Vooral e-mail is in veel bedrijven de belangrijkste vorm van interactie. Gemiddeld besteden medewerkers ongeveer twee uur per dag aan het werken met e-mail. Het is dus niet verwonderlijk dat datalekken via de e-mail de primaire oorzaak waren van datalekken die werden gerapporteerd door de onafhankelijke instantie van het Verenigd Koninkrijk, ICO (Information Commissioner's Office). Volgens de grafiek hieronder werd 93,8% van de datalekken veroorzaakt door niet-kwaadwillende mensen binnen organisaties. Gezien het ICO-rapport is het eenvoudig om te concluderen dat de meerderheid het gevolg was van een e-mail die naar een verkeerd adres werd gestuurd. Dit is vergelijkbaar met de 63% in Nederland.

Graphic_Datalekken_1 copyBeveiligingsplatforms voor e-mail zijn een eenvoudige oplossing voor het kostbare probleem van datalekken


E-mails die in verkeerde handen terechtkomen, kunnen voor een bedrijf verwoestende gevolgen hebben. Een dergelijke fout kan aanzienlijke consequenties hebben, variërend van het in gevaar brengen van klantinformatie tot direct financieel verlies of grote reputatieschade. Daarom moeten bedrijven een beveiligingsplatform voor zakelijke communicatie implementeren. Hiermee roepen zij hun primaire risico op datalekken - verkeerd geadresseerde e-mailberichten of informatie die onbedoeld openbaar gemaakt wordt - een halt toe.

Een beveiligingsplatform voor zakelijke communicatie kan, naast het melden van fouten nadat zij zijn opgetreden, ook datalekken voorkomen. Oplossingen die automatisch gevoelige gegevens classificeren, het gedrag van werknemers evalueren en kunnen ingrijpen om een schending te voorkomen, hebben de voorkeur. Voor bedrijven die op grote schaal met veel werknemers werken, is het ook essentieel om een personeelstraining over e-mailbeveiliging voor het hele bedrijf te implementeren.

Omdat menselijke fouten de economie miljoenen euro’s per jaar kosten, is het een strategische noodzaak om software te implementeren die dit probleem tot een minimum beperkt. ZIVVER is een perfect voorbeeld van een veelomvattend Nederlands platform voor gegevensbescherming. Het richt zich op gegevensuitwisseling volgens de richtlijnen van de AVG. Niet alleen door e-mailversleuteling, maar juist ook door gebruikers te helpen bij het selecteren van

  • de juiste content ('jouw bijlage A bevat BSN’s, klopt dat?'),

  • de juiste ontvanger ('je hebt nooit eerder medische informatie gedeeld met Pietje Puk, weet je zeker dat je dit wilt doen?') en

  • de juiste beveiligingsmaatregelen ('je staat op het punt om gevoelige financiële informatie te delen, wil je beveiliging aan jouw e-mail toevoegen?').

Dit platform helpt organisaties bij het aanpakken van meer dan 90% van de oorzaken van datalekken. En dat niet alleen: het helpt ook bij het significant verminderen van de negatieve gevolgen van menselijke fouten bij digitale communicatie en bestandsdeling. En natuurlijk voorkomt het een mogelijke boete voor het niet naleven van de AVG.

Conclusie

Als het gaat om datalekken, kan de rest van de wereld leren van Nederland. Wij leveren uitgebreide rapporten, die wereldwijd kunnen worden gebruikt als inspiratie voor digitale beveiliging van communicatie. Als Nederland met zijn meldcultuur, archivering, innovatieve mentaliteit, infrastructuur en technologie een heel land tegen de Noordzee kan beschermen, kun je je voorstellen dat de mogelijkheden met betrekking tot gegevensbescherming groot zijn. Op dit gebied hebben de Nederlanders een voorsprong. Wil jij je bedrijf succesvol beschermen? Help je werknemers dan en leidt hen op in het omgaan met gevoelige gegevens.

Ga naar het ebook