Welke consequenties hebben gegevenslekken voor werknemers? Om deze vraag te beantwoorden beginnen we met het verkennen van de oorzaken voor de meerderheid van dit soort incidenten, die in mijn ervaring vaak te maken hebben met slordigheid, onverantwoordelijk gedrag van werknemers of ineffectief management. In andere woorden: ongeacht hoe u er naar kijkt, de menselijke factor vormt de kern van het probleem.
Als werknemers hun verantwoordelijk niet nemen
Probeer werknemers te vragen welke veranderingen in hun workflow kunnen helpen om hun productiviteit en baantevredenheid te verbeteren. Mensen willen over het algemeen werken op een manier die het beste op hun behoeftes aansluit, zonder interferentie. Ze willen bijvoorbeeld administratorrechten op hun computer hebben, de mogelijkheid om elk soort software te installeren en naar eigen goeddunken toegang kunnen bieden tot de gegevens en systemen van hun team. Ze willen gasten op kantoor uitnodigen. Dat soort zaken.
Tegelijkertijd is bijna niemand bereid om de verantwoordelijkheid op zich te nemen voor wat ze willen of handig vinden. Veel werknemers (en soms ook hun managers) zijn onverschillig en geloven dat ze op de een of andere manier beschermd zijn, en denken dus ongeacht wat ze doen: er zijn altijd wel experts om alles op te lossen. Natuurlijk doen wij als bedrijfscybersecurity-experts altijd ons uiterste best om gebruikers te beschermen, maar we kunnen niet alles.
Slechte managementbeslissingen
De tweede oorzaak van de ernstigste incidenten is over het algemeen ineffectief management van bedrijfsprocessen, wat ook de activiteit of juist inactiviteit van informatiebeveiliging en IT-personeel omvat. Een bedrijf dat cybersecurity serieus neemt lijdt geen ernstige schade omdat één werknemer een USB-stick met een geïnfecteerd bestand gebruikt of een e-mail opent met een schadelijke bijlage of slechte URL. Er vindt is zulke gevallen altijd sprake van een reeks aan fouten in de juiste combinatie:
- Het bedrijfsproces is op zo’n manier georganiseerd dat dit soort fout überhaupt mogelijk was;
- Iemand heeft een fout gemaakt of informatiebeveiligingsrichtlijnen geschonden;
- Informatiesystemen of infrastructuurdiensten bevatten niet-gedetecteerde of niet-opgeloste kwetsbaarheden;
- Systemen waren te complex waardoor er een gebrek ontstond aan de hulpmiddelen die nodig waren voor veilige configuratie, tijdig oplossingsbeheer en de implementatie van veiligheidsmaatregelen;
- De IT-afdeling kon het incident niet identificeren voordat er schade werd aangericht (vanwege een gebrek aan kennis of mogelijkheden).
Elk van deze factoren is de consequentie van een genomen beslissing. Maar de algemene oorzaak van het incident is een combinatie van deze factoren. Hoe de incidenten van invloed zijn op de motivatie van werknemers is sterk afhankelijk van de reactie van het management, en soms kunnen de maatregelen die een bedrijf implementeert om herhaling van zulke incidenten te voorkomen nog veel meer schade aanrichten dan het incident zelf.
Hier volgt een echt gebeurd voorbeeld: een bank leed onder meerdere incidenten die voortkwamen uit zowel externe aanvallen als fouten van werknemers. Het resultaat was dat de systemen van de bank gedurende enige tijd uitvielen. Het management, dat probeerde om het verantwoordelijke personeel te motiveren en de schuldigen te straffen, hield verschillende rondes waarbij IT- en infosec-personeel werd ontslagen. Tegelijkertijd wees het management geen budget toe aan het creëren van een nieuw systeem om het oude te repareren, ondanks dat ze wisten dat het geautomatiseerde banksysteem architectonische kwetsbaarheden bevatte. Ervaren werknemers realiseerden zich dat iedereen op een dag wel een fout kon maken, en het bedrijf koos ervoor om nieuwe mensen aan te nemen in plaats van het onderliggende probleem op te lossen, dus zij vonden al snel elders een baan. Nieuwe werknemers hadden een beperkt begrip van het bedrijfssysteem, wat intern was ontwikkeld, en hierdoor maakten ze nog meer fouten en besteedden ze nog meer tijd aan het onderhoud van systemen omdat ze niet over de essentiële kennis beschikten. Hierdoor verlieten klanten de bank en daalde deze van een plek in de top 50 tot buiten de top 200.
Wat te doen
Naar mijn mening is het belangrijk om uw werknemers niet te demotiveren. Help ze in plaats daarvan om hun inzicht te verkrijgen in hun verantwoordelijkheden, de waarden van het bedrijf en het belang van de bijdrages van hun collega’s. U kunt dit allemaal demonstreren door materiële ondersteuning, wederzijds respect en duidelijke regels.
Infosec-regels bij bedrijven moeten duidelijk en specifiek uitleggen wat er wel en niet mag, en wat het personeel moet doen in het geval van een cyberincident, ook op het gebied van privacy en vertrouwelijkheid. De teamleider moet duidelijk informatie aan zijn ondergeschikten communiceren en tijdens en na een cyberincident het probleem en de gevolgen ervan uitleggen (waar ook straffen bij kunnen horen). Door dit te doen helpt u bij het behouden van een gezonde teamgeest, en het kan ook helpen bij het voorkomen van dezelfde fouten binnen het bedrijf.
U kunt dit stappenplan gebruiken om op teammotivatie te focussen en de impact van cyberincidenten te beperken:
- Organiseer personeelstrainingen. Niet alleen om fouten te voorkomen maar ook om mensen te leren wat een fout kan zijn;
- Motiveer uw werknemers;
- Stel duidelijke regels voor informatiebeveiliging binnen het bedrijf op en houdt bij hoe hier in de praktijk mee wordt omgegaan;
- Gebruik tools voor de detectie van incidenten en de reactie daarop;
- Implementeer systemen voor bescherming tegen fouten, dom of slordig gedrag en de schadelijke acties van insiders;
- Herzie de bovenstaande maatregelen op periodieke wijze om het minder waarschijnlijk te maken dat iemand twee keer dezelfde fout begaat.
Lees voor meer inzichten in de menselijke factor bij cybersecurity-incidenten ons laatste rapport “Taking care of corporate security and employee privacy.”