De invoering van de AVG was een goede reden iedere werknemer te wijzen op de noodzaak devices en data te versleutelen. Dat de pers schrijft dat een datalek is ontstaan omdat iets niet versleuteld was zou ook moeten helpen de awareness hoog te houden, maar is dat ook zo?
Versleuteling
Naast het pleidooi voor Zero Trust staat er in het rapportje dat ze hebben uitgebracht nog iets anders zinnigs. Het gaat er niet alleen om dat 16 procent van de devices open staat. 22 procent gebruikt een “ontoereikende” methode. Dat zou er volgens de auteurs op wijzen dat er meer dingen tegelijk spelen.
Internetbankieren
De noodzaak van het beleid inzien is een ding. Zorgen dat het ook gebeurt op een manier die voor iedereen te gebruiken is, daar zit waarschijnlijk het grotere probleem. Ergens is dat toch vreemd als je je beperkt tot het inloggen. Inloggen op een device met MFA is niet moeilijk. Iedere Nederlander is dat gewend, omdat je zo ook moet internetbankieren.
Bij dat zelfde online bankieren wordt de verbinding na X minuten inactief zijn verbroken. Vanaf dat moment is de toegang tot de app versleuteld en het zicht op de rekening geblokkeerd. Bij de bulk van de kantoortoepassingen is die optie mogelijk aanwezig, maar waarschijnlijk niet ingesteld “want dat is zo’n gedoe”. Gevolg is dat iedere keer dat men naar de printer, wc of koffiemachine gaat device en data niet versleuteld zijn. Dat sommigen dan wel de schermbeveiliging activeren is de categorie minimale beveiliging en dat heeft niets met encryptie te maken.
Thuiswerkplek
Het verhaal van de Canadezen zou dus heel goed kunnen kloppen. De olifant in de kamer bij dit verhaal is dan nog niet eens benoemd: de thuiswerkplek. Daar wordt het versleutelen van devices en data heel makkelijk over het hoofd gezien, juist omdat het een bekende en vertrouwde omgeving is.