Verenigingen kunnen veel doen om leden te helpen hun informatie te beschermen – en die van de vereniging zelf.
Informatiebeveiliging is een van de onderwerpen die momenteel veelvuldig in het nieuws is. Helaas vaak in negatieve zin: phishing, hacks, cryptolockers en verlies van (persoons)gegevens zijn aan de orde van de dag. Het zijn ook nog eens niet de minste partijen die te maken krijgen met criminaliteit via Internet. Veel organisaties vragen zich dan ook af: “als het grote organisaties niet lukt om zichzelf te beschermen, wat kan ik dan doen om dit wel te bereiken?” Gelukkig is er een aantal middelen die eenvoudig in te zetten zijn, zonder dat er een hoog budget voor nodig is. Voor verenigingen liggen er mooie kansen om een gidsfunctie te vervullen.
Wat is er aan de hand
De afgelopen 15 jaar zijn we steeds afhankelijker geworden van automatisering en in het bijzonder van Internet. Helaas is er een aantal ontwerpfouten in het ontwerp van het Internet gemaakt (niemand had voorzien dat het zo groot zou worden), waar kwaadwillenden nu gebruik van maken. Daarbij komt dat steeds meer IT ‘buiten de deur’ geplaatst is: het internet is daarmee onderdeel geworden van het computernetwerk. De ‘traditionele’ grenzen van netwerken zijn verdwenen, het is voor systeembeheerders daardoor haast onmogelijk om de hele scope te overzien.
Tegelijkertijd doen slimme mensen domme dingen: vertrouwelijke bestanden worden op privé cloudopslag gezet en niet geupdate privé computers worden gebruikt voor thuiswerken. Ontwikkelingen als ‘big data’ zorgen ervoor dat allerlei informatiebronnen aan elkaar geknoopt worden, zonder dat er goed nagedacht is over het doel waarmee de gegevens verstrekt zijn. Tot slot zien we binnen het ‘internet of things’ inmiddels dezelfde ontwerpfouten: alles moet zo snel mogelijk aan Internet gekoppeld worden, veiligheid is daarbij een ondergeschoven kindje.
Collectief aanpakken
Op dit moment vraagt het overgrote deel van de Nederlandse ondernemers en organisaties zich af waar zij moeten beginnen. Dienstverleners en hardwareleveranciers bieden allerlei hard- en software aan, terwijl het aanschaffen van ‘dozen’ en ‘diensten’ niet dé oplossing hoeft te zijn. De branche- of beroepsvereniging kan voor leden op veel manieren een rol spelen, juist omdat het hier gaat om het voorkomen van risico’s voor eindgebruikers, binnen een wettelijk kader.
Voorbeeldfunctie
Een vereniging kan sowieso een voorbeeldfunctie vervullen. Laat zien dat het onderwerp op de agenda staat, communiceer aan leden hoe je hun (lidmaatschaps)gegevens veilig houdt en zorg ervoor dat het onderwerp onder hun aandacht blijft komen. Gebruik hierbij de tips uit het kader. Die tips maken al meteen duidelijk dat veiligheid geen pure IT-kwestie is, maar een mix van menselijk gedrag, wijs beleid en inderdaad aandacht voor IT.
Afspraken in de keten bevorderen
Omdat organisaties bijna altijd samenwerken met derden als het gaat om data kan de vereniging een aantal standaard documenten/processen aanbieden. De DHPA heeft bijvoorbeeld een model bewerkersovereenkomst opgesteld die alle DHPA leden mogen gebruiken. De bewerkersovereenkomst is de overeenkomst tussen verantwoordelijke en bewerker, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. De verantwoordelijke is de partij die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Het gaat hier bijvoorbeeld om organisaties die persoonsgegevens van klanten bijhoudt met als doel het versturen van polisnota’s. De organisatie is verantwoordelijk voor de gegevens. De bewerker is de partij die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Een partij die de polinota’s verstuurd voor een andere organisatie zou dan dan de bewerker zijn. De verantwoordelijke heeft een belangrijke rol, deze organisatie is namelijk verantwoordelijk voor de persoonsgegevens. Wanneer deze gegevens lekken, moet er in voorkomende gevallen door de verantwoordelijke melding gedaan worden bij de Autoriteit Persoonsgegevens (AP).
Hulp bij omgaan met meldingsplicht
Er bestaat veel onduidelijkheid bij organisaties over de meldingsplicht. Wanneer moet een datalek gemeld worden bij de autoriteit? Wanneer moet er gemeld worden aan de personen op wie de gegevens betrekking hebben? Kan de organisatie een boete krijgen? Ook hier ligt een mooie kans voor verenigingen: bied je leden een juridische vraagbaak, maar help ze ook met het beschrijven van het meldingsproces bij de AP. Ook het aanbieden van standaard persberichten en andere communicatie naar belanghebbenden kan ervoor zorgen dat de impact voor een organisatie laag blijft en de vereniging veel meerwaarde geboden heeft.
‘Phishing’: test, training en benchmark
Phishing wordt door kwaadwillenden gebruikt om gevoelige informatie te bemachtigen, zoals gebruikersnamen, wachtwoorden en creditcardgegevens. In het verleden kon je veel van deze informatie vinden door in vuilcontainers te ‘vissen’. Tegenwoordig hoeven criminelen hun handen niet meer vies te maken: het vissen gebeurt nu vooral via e-mail.
Diverse organisaties laten phishingtesten uitvoeren om in kaart te brengen hoe bewust medewerkers zijn van het risico dat ze lopen. De organisatie laat een e-mail opstellen die bijvoorbeeld afkomstig lijkt te zijn van de afdeling ICT. In deze e-mail wordt de ontvanger gevraagd om op een website inloggegevens in te voeren. Deze website en het websiteadres lijken veel op een website die de ontvangers veel gebruiken, bijvoorbeeld van een CRM-systeem of het intranet. Uit de test blijkt vervolgens hoeveel ontvangers op de link geklikt hebben en hoeveel daadwerkelijk inloggegevens ingevoerd hebben. Op basis van die resultaten kan de organisatie gericht actie ondernemen, bijvoorbeeld door trainingen aan te bieden. Als vereniging zou je een template aan kunnen bieden voor deze phishingtesten, zodat elk lid dat niet afzonderlijk hoeft te doen. Daarnaast kan de vereniging leden benchmarken ten opzichte van andere leden en kan zij een rol spelen bij het opleiden van medewerkers.
Model risico-inventarisatie
Vanuit de ARBO-wetgeving zijn organisaties over het algemeen wel bekend met de model risico-inventarisatie. Minder bekend is de risico inventarisatie voor IT-systemen. Welke systemen zijn bedrijfskritisch? Welke kans en welke impact heeft het uitvallen van een systeem, of het niet beschikbaar zijn van gegevens? Welke mitigerende maatregelen moeten er getroffen worden, welke preventieve en welke curatieve? De meeste organisaties kijken op dit moment niet verder dan een firewall, antivirus, backup en noodstroomvoorziening. Disaster recovery, hersteltijden en een goed beschreven changeproces ontbreekt, waardoor organisaties veel schade kunnen lijden bij een incident. Verenigingen zouden een standaard risico inventarisatie kunnen bieden.
Externe meldingen oppikken
Een responsible disclosure bestaat vaak uit een pagina op de website van een organisatie waarop uitgelegd wordt hoe beveiligingslekken op een goede manier getoond kunnen worden. Bied leden een voorbeeldtekst aan, een goed voorbeeld is te vinden op Op www.responsibledisclosure.nl. Waarom is dit een goed idee?
Hackers die gedreven door nieuwsgierigheid lekken vinden, begeven zich vaak in een juridisch grijs gebied. Ook al hebben ze geen kwade bedoelingen, het is vaak niet aantrekkelijk om de instelling te informeren over de lek. Het gebeurt vaak dat instellingen meldingen niet oppikken, slecht communiceren met de melder of zelfs ontkennen dat er een probleem is. In meer extreme gevallen kan het zelfs voorkomen dat een melder te maken krijgt met strafrechtelijke gevolgen. Het is dan ook begrijpelijk dat veel hackers niet de moeite nemen om lekken te melden.Daarom is het belangrijk om het hackers gemakkelijk te maken om te melden en om die meldingen op te pikken. Vervolgens zijn veel instellingen niet ingericht op omgaan met meldingen van buitenaf. Meldingen blijven liggen bij een klantenservice die getraind is om mensen gerust te stellen in plaats van onderbouwde kritiek mee te nemen. Wanneer een lek bekend wordt zijn verantwoordelijkheden binnen de organisatie niet duidelijk waardoor slechte beslissingen genomen worden.
Wanneer bedrijven nadenken over hoe ze omgaan met beveiligingslekken en dit duidelijk naar buiten communiceren weten hackers beter waar ze aan toe zijn wanneer ze een lek willen melden. Dit voorkomt onzekerheid en paniek aan beide kanten en beperkt schade zoveel mogelijk.
Veilige standaarden ontwikkelen
Heb je leden die producten maken die aan internet gekoppeld gaan worden, maak dan bespreekbaar dat er een veilige manier ontwikkeld wordt voor het koppelen van die producten en het uitwisselen van gegevens. In het verlengde hiervan ligt secure software development en security by design. Deze methodieken ondersteunen het veilig ontwerpen, ontwikkelen en produceren van producten en software. Het ontwikkelen van veilige standaarden is bij uitstek een collectieve zaak.
Hulp bij ongelukken
Op het moment dat er een incident plaatsvindt moet een organisatie over veel dingen nadenken: welke systemen zijn geraakt, hoe komen we erachter wie het incident veroorzaakt heeft, hoe zorgen we voor zo min mogelijk schade, wie communiceert er met de media, wie communiceert met de klanten, hoe zit het met de verzekering? Dit zijn vragen waar je op voorhand antwoord op wilt hebben en een draaiboek klaar wilt hebben liggen. Dit draaiboek zou door een vereniging aangereikt kunnen worden. In het kader van incident respons is de vraag altijd relevant – al dan niet gesteld door (social) media, of het gaat om een incidenteel geval of een structureel probleem in de sector. Ook het aanbieden van een collectieve verzekering om de schade van een IT-gerelateerd incident te dekken behoort tot de mogelijkheden voor de vereniging.
Kortom er zijn veel mogelijkheden om informatiebeveiliging collectief op te pakken, al dan niet samen met een andere vereniging die misschien net op een bepaald onderdeel al het nodige voorwerk heeft gedaan.
Wat kan een organisatie doen om de kans op een hack/datalek te voorkomen?
- Wat je niet hebt, kan ook niet gestolen worden en/of op straat komen te liggen.
Vraag je af of de informatie die je in een crm-systeem hebt staan, of de documenten die op je netwerk te vinden zijn, ook echt continu te raadplegen moeten zijn. Wellicht kunnen bepaalde records en documenten op een externe disk gezet worden, die je vervolgens in een kluis plaatst? Bij voorkeur op twee disks op twee verschillende en veilige locaties. - Zorg ervoor dat je medewerkers zich bewust zijn van de gevaren.
Maak informatieveiligheid bespreekbaar en leidt mensen op. Phishingtesten kunnen bijdragen aan het meetbaar maken van waar je kwetsbaar bent en waar je gericht actie kan ondernemen. Let er daarbij op dat je mensen niet affakkelt omdat ze in een phishingmail getrapt zijn, maar kijk met de hele organisatie wat je ervan kunt leren. - Maak een risico inventarisatie.
Veel organisaties hebben geen inzicht in wat de kroonjuwelen in hun IT-omgeving zijn, wat die waard zijn en wat de impact is wanneer deze gestolen worden. Op basis van de risico inventarisatie kan een organisatie beslissingen nemen over welke netwerkonderdelen extra aandacht krijgen en welke (voorlopig) niet. Waar moet geïnvesteerd worden en waar nu nog niet? Daarbij komt dat accountants steeds meer vragen stellen over de staat van automatisering, omdat de continuïteit van organisaties meer en meer bepaald wordt door de beschikbaarheid van de IT-omgeving. Als deze (langdurig) uitvalt kan dit de continuïteit van de organisatie bedreigen. - Maak van informatiebeveiliging een agendapunt op de bestuursvergadering.
Organisaties die doorlopend aandacht hebben voor het onderwerp, zullen sneller inspelen op nieuwe bedreigingen. Ook gaat hier een voorbeeldfunctie vanuit: als het op bestuursniveau belangrijk gevonden wordt, dan wordt het op de werkvloer ook belangrijk. - Geef systeembeheerders tijd om log-bestanden door te nemen.
Als een kwaadwillende probeert je netwerk binnen te dringen, dan zijn daar vaak indicatoren voor te vinden in logfiles. Als je er op tijd bij bent kun je een hack op tijd voorkomen of onderbreken. - Zorg voor inzicht
Systeembeheerders doen over het algemeen hun uiterste best om systemen goed te beheren en ze veilig te houden. Maar, waar gehakt wordt, vallen spaanders. Daarnaast worden er maandelijks honderden nieuwe kwetsbaarheden gevonden in it-systemen. Een systeem dat vandaag ‘veilig’ is, kan daardoor morgen ‘onveilig’ zijn. Door systemen continu te monitoren ben je snel op de hoogte van deze ‘onveilige’ systemen. - Bevorder secure software development
Vraag ontwikkelaars van software en webapplicaties expliciet naar de maatregelen die zij treffen om veilig te programmeren. Hebben zij nagedacht over hoe de ingevoerde gegevens veilig blijven? Kan het geprogrammerde systeem niet misbruikt worden? En hoe zorgen ze ervoor dat de impact van een incident zo laag mogelijk blijft? Het installeren van een SSL-certificaat is absoluut een goed begin, maar tegenwoordig moeten ontwikkelaars veel verder kijken.
Deze bijdrage verscheen in VM | verenigingsmanagement, vaktijdschrift voor professionals van verenigingen, branche- en beroepsorganisaties