Af en toe doet zich een incident voor dat nieuw licht werpt op het belang van databeveiliging. Datalekken zijn tegenwoordig zo gewoon geworden dat we nu ongevoelig zijn geworden voor verhalen over kwaadaardige aanvallen en hackers. Voor de 250 Afghaanse tolken die onlangs het slachtoffer werden van het data-incident van het Britse Ministerie van Defensie (MoD), is de impact echter onmetelijk.
Het Ministerie van Defensie is in hetzelfde gat gevallen waarin duizenden organisaties over de hele wereld zich elk jaar bevinden. Zo lang de mens centraal staat in het bedrijfsleven, zullen er fouten optreden; menselijke fouten zijn tenslotte ‘menselijk’. Niet elke fout kan echter als een leermoment worden beschouwd.
Het onderwerp van grote verontwaardiging, het MoD in VK, wordt momenteel onderzocht voor een incident dat, gezien de juiste beveiligingspraktijken, voorkomen had kunnen worden.
MoD datalek - wat is er gebeurd?
Op 20 september 2021 werd gemeld dat Defensie de persoonlijk identificeerbare informatie (PII) van 250 Afghaanse tolken niet had beschermd. Het verhaal benadrukt de verwoestende impact van een volledig vermijdbaar beveiligingsincident; de e-mailadressen van 250 personen waren onjuist gecc'd zodat iedereen ze kon zien.
Zoals met de overgrote meerderheid van de gerapporteerde data-incidenten vandaag (meer dan 70% in het VK, volgens de ICO), is het MoD-incident naar verluidt te wijten aan een fundamentele menselijke fout. 30 minuten nadat de eerste e-mail was verzonden, verspreidde het Ministerie van Defensie een tweede e-mail met de onderwerpregel "Urgent - Arap case contact", waarin de ontvangers werden verzocht de vorige e-mail te verwijderen en te waarschuwen "uw e-mailadres is mogelijk gecompromitteerd".
En nu, slechts enkele dagen later, heeft de BBC een tweede incident ontdekt met een e-mail die een maand eerder was verzonden en waarin per ongeluk de e-mailadressen en namen van 55 personen werden weergegeven.
Terwijl het incident wordt onderzocht en het verhaal zich blijft ontvouwen, blijft Defensie het onderwerp van veel kritiek.
Gegevensbescherming is de bescherming van mensen
Door de aard zijn de rampzalige gevolgen van dit specifieke data-incident zeldzaam. Dit is echter een kans om na te denken over de manier waarop gegevens tegenwoordig worden verwerkt:
“Het nieuws over datalekken in Afghanistan/MoD is een grimmige realiteit van wat er kan gebeuren als digitale communicatie niet wordt beveiligd (...) Alle bedrijfsleiders moeten achterover leunen en bekijken hoe gevoelige informatie wordt gedeeld en welke middelen hun mensen hebben om veilig te communiceren. Vaak zijn incidenten zoals deze het gevolg van menselijke fouten (...) Organisaties moeten zich concentreren op hoe ze hun mensen in staat kunnen stellen om informatie veilig te delen wanneer ze dat nodig hebben, met vertrouwen en met gemak om een potentieel schadelijke situatie te voorkomen.” - Wouter Klinkhamer, CEO bij Zivver
Het beschermen van persoonlijk identificeerbare informatie (PII) gaat verder dan het garanderen van naleving; het gaat over het respecteren van het recht op privacy van een individu. Zoals Maxine Holt aangeeft, beschermt cyberbeveiliging individuen, niet alleen hun gegevens:
“Dit incident herinnert ons er duidelijk aan dat cyberbeveiliging niet alleen gaat over het beschermen van computersystemen en gegevens waar we niet bij kunnen. Cybersecurity beschermt mensen. Het niet beschermen van de PII van Afghaanse tolken door Defensie heeft implicaties die veel verder gaan dan een schending van de naleving.”
Er wordt tegenwoordig te veel nadruk gelegd op geïsoleerde aspecten van strategieën voor het voorkomen van gegevensverlies. We kunnen niet alleen op mensen vertrouwen wanneer menselijke fouten de belangrijkste oorzaak van gegevensverlies blijven. Evenzo is technologie geen wondermiddel voor cyberbeveiliging. IT-beleid en -procedures zijn op papier prima, maar het is onwaarschijnlijk dat ze ‘best practice’ garanderen als de bovengenoemde gebieden ontbreken.
We zijn zo goed als de middelen die we hebben
Tegenwoordig gaat cyberbeveiliging verder dan verplichte training en goedgekeurde leverancierslijsten. Een ‘security-first’-cultuur is er één waarin werknemers de tools krijgen die ze nodig hebben om hun werk zo veilig en efficiënt mogelijk uit te voeren.
Hoewel e-mail een krachtig hulpmiddel blijft, laat het op het gebied van beveiliging veel te wensen over. Gelukkig escaleert de technologie om verder te gaan waar traditionele e-mailclients ophouden. Door handmatige taken te automatiseren en gebruikers in realtime te waarschuwen voor mogelijke fouten, laat machine learning geen ruimte voor menselijke fouten in uitgaande communicatie.
Het per ongeluk gebruiken van Cc in plaats van Bcc is verantwoordelijk voor duizenden datalekken per jaar in het VK en lijkt de oorzaak te zijn van het MoD-gegevensincident. Dat een ogenschijnlijk kleine fout zulke rampzalige gevolgen kan hebben, is een onmiskenbaar signaal voor organisaties om de kracht van bestaande technologieën te gebruiken om in te grijpen - niet om mensen te vervangen, maar om hen in staat te stellen zich zo veilig mogelijk te gedragen.
De meest gebruikte e-mailprogramma’s missen nog steeds een effectieve terugroep-functie. En, afgezien van het informeren van een ontvanger dat een bericht gevoelige informatie bevat, kan de afzender niet de juiste controles toepassen om hun communicatie te beschermen. In het geval van een datalek kunnen medewerkers daar niet naar handelen; ze kunnen niet bepalen wanneer een bericht is geopend, door wie, of de nodige stappen ondernemen om de situatie onder controle te krijgen - dit zijn allemaal problemen die waarschijnlijk worden ervaren door de personen die betrokken zijn bij het MoD-lek.
Of je nu toegang krijgt tot platforms op een particulier netwerk of je aanmeldt bij een toepassing voor mobiel bankieren, tweefactorauthenticatie is voor de meesten van ons een bekende praktijk. Hetzelfde principe is van toepassing bij het delen van PII via e-mail; alle voorzorgsmaatregelen moeten worden genomen om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot berichten en bijlagen via de meest gebruiksvriendelijke (en vertrouwde) methoden die mogelijk zijn.
Bovendien is e-mailversleuteling van vitaal belang bij het beschermen van gevoelige gegevens. Door de verbinding tussen de server van de afzender en de ontvanger te versleutelen, wordt voorkomen dat onbevoegde gebruikers communicatie onderscheppen terwijl ze onderweg zijn. En als een onbevoegde gebruiker toegang krijgt tot versleutelde bestanden, kan hij deze niet lezen.
“Best practice” omzetten in een nieuw standaard
Zoals Maxine Holt stelt, moet het handhaven van gegevensprivacy niet langer als 'best practice' worden beschouwd - het moet de standaard worden.
Het is niet voldoende om van werknemers te eisen dat ze 'veilig handelen', ondermaatse technologie gebruiken en verplichte training volgen. Organisaties zijn verplicht om op zoek te gaan naar beveiligingsplatforms die robuust genoeg zijn om aan de naleving te voldoen, terwijl ze tegelijkertijd hun mensen helpen bij het beschermen van digitale data.
Een culminatie van mensen, technologie en beleid is nodig om vandaag de dag echt effectieve gegevensbeveiliging te garanderen.
Mensen de schuld geven wanneer technologie en beleid falen, is een goede manier om van je meest waardevolle bezit je grootste beveiligingsrisico te maken. Termen als 'bedreiging van binnenuit' en 'zwakste schakel' zijn wijdverbreid, en zelfs 'menselijke fout' impliceert kwade bedoelingen binnen de organisatie. In plaats van met de vinger te wijzen, moeten organisaties werknemers positioneren als de gegevensbeschermers die ze willen zijn, met de platforms die ze nodig hebben om dit te kunnen doen.
Ontdek hoe Zivver jouw organisatie hierin kan ondersteunen.
