Melden werknemers een datalek veroorzaakt door een collega?

Tony Pepper

Tony Pepper, oprichter en CEO van Egress 

Het merendeel van de CISO’s vertrouwt op zijn werknemers voor het melden van datalekken. Maar is dit wel verstandig? En welke alternatieven zijn er? 

Vertellen of voor je houden? Een werknemer kan iets verdachts zien, maar is er niet honderd procent zeker van. Of heeft sterk het vermoeden dat er wangedrag plaatsvindt, maar dan wel van een collega in een hogere functie - en met angst voor mogelijke repercussies voor het eventueel melden als gevolg. Zullen ze er iets van zeggen, of houden ze zich stil? Helaas voor organisaties die te maken hebben met een toenemend aantal interne risico’s: onderzoek toont aan dat werknemers neigen het niet te melden, of het pas doen wanneer het te laat is. 

Interne datalekken zijn traditioneel lastig te detecteren en te stoppen. Werknemers die legitieme toegang hebben tot gevoelige bedrijfsinformatie, kunnen opzettelijk of per ongeluk kwaad doen door informatie te stelen of op een verkeerde manier te delen. De oorzaken hiervan lopen uiteen en ook de omstandigheden waaronder het plaatsvindt, verschillen van geval tot geval; van gegevens die met kwade bedoelingen worden gelekt tot iemand die per ongeluk de verkeerde bijlage toevoegt aan een e-mail. 

CISO vertrouwt op werknemer

Toch toont recent onderzoek door Egress aan dat meer dan de helft van de CISO’s op het personeel vertrouwt wanneer het gaat om de detectie van datalekken. Voor 59% is het rapporteren van onbedoelde datalekken door werknemers de belangrijkste manier om geïnformeerd te worden. En 57% van de CISO’s vertrouwt ook vooral op zijn eigen werknemers bij het melden van een opzettelijk lek. 

Is dit vertrouwen in het rapporteren door werknemers gerechtvaardigd? Onderzoek door Red Goat Security LLP toonde in ieder geval aan dat werknemers weerzin voelen tegen het melden van wangedrag. Red Goat onderzoekt hierin welke factoren ervoor zorgen dat werknemers verdacht gedrag wel of niet melden. 

In het onderzoek werden respondenten vijf scenario’s voorgelegd - drie subjectief, zonder hard bewijs dat er wangedrag had plaatsgevonden, en twee objectief, met meer bewijs dat er iets niet klopte. Bij elk scenario werd respondenten gevraagd wat ze zouden doen in het geval het risico op een datalek werd veroorzaakt door een collega, een goede vriend, een nieuwe collega, een collega hoger in rang of een invalkracht: geen actie ondernemen, rapporteren aan HR of rapporteren aan het security-team? 

Chronische onderrapportage

De uitkomsten zijn fascinerend, helemaal in het licht van de afhankelijkheid van CISO’s van het melden van datalekken door werknemers. In het merendeel van de onderzochte situaties is er sprake van chronische onderrapportage van verdacht gedrag. Respondenten zijn minder geneigd tot rapporteren wanneer het gaat om een collega of vriend, en sterk minder geneigd bij incidenten met een collega hoger in rang. De enige situatie waarin het waarschijnlijker wordt dat verdachte situaties wel worden gemeld, is wanneer het gaat om incidenten waarbij nieuwe werknemers of invalkrachten betrokken zijn. 

Het onderzoek concludeert dan ook dat het rapporteren van een datalek gezien wordt als een ‘groot, persoonlijk risico’. Uit de kwalitatieve data kan worden opgemaakt dat het besluit om wel of niet te rapporteren sterk beïnvloed wordt door eigenbelang en zelfbescherming. Mensen willen de zaken niet moeilijker maken voor zichzelf op hun werk en ze willen ook niet bekritiseerd worden wanneer ze het juiste proberen te doen. In plaats daarvan kijken ze weg en houden ze zich stil. 

Acceptatie van het probleem

Hoe kunnen organisaties hun personeel beter ondersteunen in de strijd tegen interne databedreigingen? De eerste stap is accepteren dat het probleem van interne datalekken daadwerkelijk bestaat - en ja, in iedere organisatie is dit een reëel probleem. Vervolgens is het zaak om de interne gedragsdynamiek te bekijken, om het juiste beleid in te kunnen stellen om opzettelijke datalekken te voorkomen. Denk bijvoorbeeld aan het voorkomen van het automatisch behouden van toegangsrechten bij interne doorstroming. Bied daarnaast duidelijke rapportagemechanismes voor personeel dat verdacht gedrag signaleert, zonder dat ze bestraft worden wanneer hun vermoeden ongegrond blijkt. 

Maar als er iets is dat gedragswetenschappen en de stijging van het aantal interne datalekken heeft aangetoond, dan is het wel dat beleid alleen je niet ver zal brengen. Want hoewel werknemers een rol spelen in het terugdringen van bewuste interne datalekken, zullen ze niet op de hoogte zijn van ieder incident en zelfs als dit het geval zou zijn, kunnen organisaties niet voetstoots aannemen dat alle lekken worden gemeld. 

En rapportage door werknemers is ook geen oplossing voor het probleem van onbedoeld dataverlies - waarvan 75% van de CISO’s die ondervraagd zijn in het Egress’ 2020 Insider Data Breach-rapport aangeeft dat het bedrijfsinformatie in gevaar heeft gebracht in de afgelopen 12 maanden. 

Technologie

Om daadwerkelijk zowel opzettelijke als onopzettelijke interne datalekken te stoppen, moeten organisaties begrijpen op welke manieren verschillende soorten gevoelige data openbaar zouden kunnen worden en hoe technologie ingezet kan worden om die risico’s in te dammen. We weten dat het delen van gevoelige bedrijfsinformatie in 61% van de gevallen via platte tekst in e-mail gebeurt. En om dit percentage verder te specificeren: het gaat om 57% van het totaal aan gedeelde persoonsgegevens en 69% van concurrentiegevoelige informatie. 

Met behulp van contextuele machine learning kunnen beveiligingstechnologieën individuele gedragspatronen herkennen en (opzettelijke en onopzettelijke) afwijkingen in dit gedrag ondervangen. Bijvoorbeeld wanneer er een verkeerd bestand aan een e-mail wordt toegevoegd, wanneer de encryptie-optie niet wordt aangevinkt of wanneer er geprobeerd wordt een e-mail te sturen naar een niet-zakelijk e-mailadres. 

Interne dreigingen nemen in aantal toe. Organisaties moeten zich beschermen tegen reputatieschade en de financiële gevolgen van een intern datalek. Hoewel werknemers een rol kunnen spelen in het opsporen en melden van datalekken, zijn personen en processen alleen onvoldoende om het probleem daadwerkelijk op te lossen. De ondersteuning van geavanceerde technologie is noodzakelijk om kwaadaardige bedreigingen snel op te sporen en onbedoelde datalekken te stoppen nog voordat ze plaatsvinden.