Doorgeschoten beveiligingsdrang

Blog
2 minuten leestijd

Een onveilige situatie door overbeveiliging? Het klinkt misschien vreemd, maar risico’s veroorzaakt door ‘overbeveiliging’ kom ik maar al te vaak tegen. Dagelijks signaleer ik situaties waarin veiligheidsmaatregelen eerder frustreren dan bijdragen aan veiligheid. Met als gevolg dat maatregelen niet meer serieus worden genomen.

Een mooi voorbeeld van doorgeschoten beveiligingsdrang in informatiebeveiliging kwam ik onlangs tegen bij een klant van Securitas. De klant ontving een zogenaamde ‘secured email’: een email die, uit veiligheidsoverwegingen, niet geprint of geforward mocht worden. De mail ging over een voorval tijdens een nachtdienst. Er waren geen risico’s verbonden aan het printen of forwarden, ook stond er geen persoonlijke informatie in de mail die niet openbaar zou mogen worden gemaakt.

Secured, secret, encrypted

De begeleidende tekst van de e-mail was echter: ‘secured, secret en encrypted’. De facilitair manager die de mail ontving, vroeg me of dit de normale gang van zaken was. Ik legde hem uit dat het de eigen organisatie is die ervoor kiest informatie op deze manier te beveiligen. Het zijn keuzes die voortkomen uit het informatiebeleid. De manager had geen idee wat hij met de mail moest beginnen.

Screenshot doorsturen

De mail kon niet worden geprint of doorgestuurd. Ook konden de bijlages vanuit de mail niet worden geopend. En dus kon de kwestie zo niet worden opgelost. Het bericht was zo goed beveiligd dat de manager niets beters wist te verzinnen dan er een screenshot van te maken en deze door te sturen. De bijlages stuurde hij door na ze eerst te downloaden en vervolgens te uploaden.

Doel voorbijgeschoten

Wat ik met dit voorbeeld wil aangeven is dat de classificatie van informatie (informatie onderverdelen in bijvoorbeeld publiek, intern of vertrouwelijk) een belangrijke stap is in het bepalen van een goed beveiligingsbeleid. Ondanks de poging de informatie als vertrouwelijk te classificeren, ging deze ‘secured’ mail als screenshot naar buiten. Een duidelijk voorbeeld van: doel voorbijgeschoten en een doorgeschoten veiligheidsbalans.

 Achterhaalde maatregelen

Overbeveiliging kan leiden tot gevaarlijke situaties. Secured mail is slechts één voorbeeld van achterhaalde digitale securitymaatregelen. Ook voor het beveiligen van documenten (pdf) bijvoorbeeld geldt dat deze op een andere  manier kunnen worden verspreid.

Systeem omzeilen

Ook de manieren  van ICT-professionals om systemen optimaal te beveiligen uit angst voor virussen en het verspreiden van vertrouwelijke bestanden, hebben vaak een averechts effect. Zo is het op veel werkvloeren nog steeds niet mogelijk om overal internet te gebruiken. Mailmogelijkheden zijn soms minimaal en vanaf externe locaties kan niet altijd worden ingelogd. Dit maakt het werken soms moeilijk, en zelfs onmogelijk.

Het resultaat van overbeveiliging is dat medewerkers het systeem gaan omzeilen. Ze sturen documenten naar openbare mailaccounts en gaan aan de slag met usb-sticks, met alle risico’s van dien. Techniek is een essentieel hulpmiddel voor mensen die hun werk moeten doen. Belangrijk is het dat de (informatie)beveiliging aansluit op de werkcultuur. Op dat gebied zijn nog veel slagen te maken.

Graag nog wat meer voorbeelden? Lees dan het artikel over 5 overbeveiligingsvalkuilen.