Hackers go social

Bij veel bedrijven blijkt het met de informatiebeveiliging niet zo best gesteld te zijn. Hackers komen gemakkelijk binnen in IT-netwerken en vaak zijn persoonsgegevens het mikpunt. Het treffen van nog meer securitymaatregelen is noodzakelijk. Nu gaat zelfs de overheid zich ermee bemoeien: wie diefstal van persoonsgegevens niet meldt, kan binnenkort rekenen op een zware boete. Zou dat helpen om bedrijven bewust maken van de gevaren?

Elke dag opnieuw maken de media melding van inbraken in netwerken. Persoonsgegevens worden ontvreemd en misbruikt, of organisaties worden gechanteerd met publicatie van gevoelige of geheime informatie. Behalve dat het financiële schade toebrengt, kan dit de reputatie van een organisatie zwaar beschadigen. Het zou bedrijven toch inmiddels volledig duidelijk moeten zijn dat informatiebeveiliging absolute prioriteit heeft. Maar de werkelijkheid ligt anders en regelmatig liggen er gevoelige gegevens op straat.

Het zijn vaak de IT-afdelingen die binnen organisaties verantwoordelijk gesteld worden voor informatiebeveiliging. En natuurlijk, ze kunnen veel doen met firewalls en maatregelen treffen op het gebied van intrusion prevention, threat management, web en e-mail security, en data loss protection. ‘Goed genoeg’ is daarbij vaak het credo. Helaas gaat dat, in geval van gerichte aanvallen waarbij hackers het specifiek op een organisatie hebben gemunt, niet meer op. En daar gebeuren momenteel dan ook de meeste ongelukken mee.

Informatiebeveiliging overstijgt de IT-afdeling: ook de werkvloer is vaak zo lek als een mandje. Medewerkers sturen vertrouwelijke stukken even naar hun Hotmail-account, of kopiëren ze op een usb-stick, om er ’s avonds thuis nog op te kunnen studeren. Een collega van HR loopt even weg, maar laat de pc aanstaan waar op dat moment zeer persoonlijke informatie op zichtbaar is. Er zijn honderden voorbeelden denkbaar. Dat voltrekt zich allemaal buiten het zicht van de IT-afdeling en is toch echt de verantwoordelijkheid van het management.

Bovendien: de hackers zitten allesbehalve stil. Ze ontwikkelen nieuwe methoden waarmee ze niet alleen meer via de achterdeur kunnen binnenkomen, maar ook gewoon door de voordeur. Hackers go social. De tamelijk armoedige mailtjes ‘van uw bank’ zijn daar een voorbode van geweest. Nu krijgt een medewerker een jolig mailtje vanuit LinkedIn of Facebook met de boodschap dat zijn profiel op een zekere website is geplaatst. Nieuwsgierig klikt de betrokkene op de link, die hem leidt naar een nietszeggende site waar van zijn profiel niets te bespeuren valt. Enkele minuten later meldt de pc dat er dringend een beveiligingsupdate nodig is. Met het klikken op OK is het leed geschied en de op zijn pc geïnstalleerde malware zoekt zich een weg de organisatie in. Zo werkt het personeel actief mee aan hacking – en dit is nog maar één voorbeeld. Het is voor organisaties vrijwel onmogelijk geworden alle bedreigingen op de voet te volgen, want informatiebeveiliging is een specialisme geworden. Het binnen organisaties benoemen van een Manager Informatiebeveiliging lijkt de enig juiste oplossing.

Ook de overheid is van mening dat organisaties beter op hun informatie, en dan vooral persoonsgegevens, moeten passen. In een wetsvoorstel van Staatssecretaris Teeven worden bedrijven die data lekken en dat niet tijdig melden aan het Centraal bureau persoongegevens, boetes van enkele tonnen in het vooruitzicht gesteld. Uit de hoogte van de boetes is in elk geval op te maken dat het Teeven ernst is. Het wetsvoorstel koppelt informatiebescherming aan compliance en dat lijkt zeker een stap in de goede richting. Nu is het in Nederland nog vrij eenvoudig om als organisatie niet aan de verplichtingen te voldoen, want de lichte boetes van dit moment staan in geen enkele verhouding tot de benodigde investeringen in security. Het doorvoeren van het wetsvoorstel zorgt in elk geval voor de dreiging van zware boetes, waardoor managers eigenlijk geen andere keuze meer hebben dan te zorgen voor optimale informatiebeveiliging.

Nog los daarvan: zou de gemiddelde Nederlandse manager wel eens uitgerekend hebben wat reputatieschade kost?