Tijdens een workshop over dataveiligheid was een vraag voor de deelnemers, allemaal werkzaam in de publieke sector, wat oorzaken van datalekken zijn. Er volgde een groot aantal voorspelbare antwoorden, maar ook een die zelfs de organisator niet had verwacht.
Op basis van voor de bekende en veelgenoemde voorbeelden als “usb stick”, “verdwenen laptop” is dieper ingegaan op het verschijnsel “ex-personeel”. Dat week iets af van de vraag naar bronnen van een datalek, maar er is wel een link.
ex-personeel
Dat een medewerker of een externe kracht na vertrek geen toegang meer mag hebben tot de digitale infrastructuur is net zo vanzelfsprekend als het moeten inleveren van de sleutel of pasje voor de toegang tot de werkplek. Het klinkt allemaal zo logisch, maar toch kan dat in de praktijk anders uitpakken. Medewerkers die zijn ingehuurd en daarna (“draaideurconstructie”) na een korte periode via een ander detacheerder op dezelfde of een andere functie belanden is iets dat er voor kan zorgen dat een account niet wordt afgesloten, maar open blijft staan. De persoon wordt immers over x weken weer verwacht. Hoe je daar mee mag en moet omgaan zijn verschillende zaken, zoveel werd wel duidelijk.
Medewerkers die door ziekte afwezig zijn en daarna niet meer terugkeren kwam ook ter sprake. Het account met alle rechten in de lucht houden is begrijpelijk zolang niet helder is of de persoon weer terugkeert. Ook hier gaven deelnemers aan dat het openhouden kan leiden tot datalekken, helemaal als het mogelijk is remote in te loggen (thuiswerken).
ex-projecten
Terwijl de discussie over “ex-personeel” door de gespreksleider voorzichtig werd afgerond om weer naar het oorspronkelijke onderwerp terug te keren kwam de opmerking dat “niet zo zeer ex-personeel, als wel ex-projecten” voor hoofdpijn zorgden.
Die opmerking kwam voor iedereen als een verrassing. Wat bedoeld werd was in een paar zinnen duidelijk. Als we aan datalekken denken bij projecten, dan denken we wellicht aan een virtuele machine met live data die niet is opgeruimd. Als dat buiten het eigen netwerk is in een of andere publieke cloud dan is dat inderdaad vragen om problemen.
Het punt van de persoon die de opmerking maakte ging echter verder dan dat. Tijdens het bouwen en testen van projecten is meer data in gebruik dan op die VM staat. Lokaal bij de medewerkers kan een dump staan. Screenshots komen voor en zelfs prints. In al die gevallen kan data zichtbaar zijn die niet door derden mag worden ingezien. In zijn organisatie was geen procedure (checklist) voor het opruimen en vernietigen van dit soort digitale en fysieke data.
Als je er langer over na denkt is dit inderdaad een onderschatte bron van datalekken. Een die in combinatie met remote working ook nog eens groter is dan velen van ons realiseren.