Zoals verschenen op Alert Online.
Het is 4 uur en het rapport waar je zo lang aan hebt zitten werken is bijna af. Je moet het alleen nog even langs je collega sturen zodat hij nog een laatste keer alles kan doorlezen om de laatste foutjes er uit te halen. Je maakt een nieuw mailtje aan, voegt het rapport als bijlage toe en klikt op verzenden. Tijd voor een kopje koffie.
Je pakt 2 kopjes koffie en loopt naar het kantoor van je collega om alles samen door te nemen. Daar aangekomen blijkt hij niks te hebben ontvangen. Terug bij je eigen computer blijkt waarom; bovenaan je inbox staat een nieuw bericht: “550 5.7.1 Message rejected due to unacceptable attachments”. De IT-afdeling heeft .zip-attachments geblokkeerd uit veiligheidsoverwegingen, maar als je het rapport niet zipt kun je het ook niet mailen omdat het dan te groot is. Je collega weet wel een oplossing: een website waarmee je grote bestanden kan versturen. Hij gebruikt het ook altijd voor de vakantiefoto’s. Je maakt snel een account aan, uploadt het rapport en stuurt de linkt naar je collega. Het is nu al bijna vijf uur, dus je collega belooft er thuis even naar te kijken zodat het direct de volgende ochtend verzonden kan worden. Een paar dagen later lees je op Webwereld.nl dat je rapport is gelekt. De schade valt mee; er stond weinig schokkende informatie in het rapport en de meeste mensen zullen het na een week of twee weer vergeten zijn. Je vraagt je af hoelang het zal duren voordat je collega’s het vergeten zijn en bedenkt je dat je geluk hebt gehad: de meeste rapporten waar je aan werkt bevatten veel gevoeligere informatie.
Achteraf is gebleken dat de website die je gebruikt hebt om het rapport te versturen bedoeld is om publiekelijk bestanden te delen. Voor de vakantiefoto’s van je collega is dat niet erg en je had door je haast er niet aan gedacht om je af te vragen wat die website precies zou doen met je rapport. In dit fictieve voorbeeld hadden de problemen voorkomen kunnen worden als bekend was dat er behoefte was aan het uitwisselen van grotere bestanden. Er had had waarschijnlijk makkelijk een gedeelde netwerkschijf opgezet kunnen worden of de beperkingen aan bijlages in emails hadden versoepeld kunnen worden. Maar waarschijnlijk was deze behoefte niet bekend.
Mensen zijn goed in het vinden van beveiligingslekken. Niet alleen hackers die bewust op zoek zijn, maar ook gewone werknemers die zonder kwade bedoelingen kleine ergernissen proberen op te lossen om hun werk beter te kunnen doen. In beide gevallen kan je als organisatie technische maatregels nemen, maar als je echt wilt leren zal je de dialoog moeten opzoeken. Organisaties kunnen veel leren door met hackers te praten die lekken in hun systemen vinden. Maar ook binnen de organisatie zelf valt er veel te leren door beter te luisteren naar de mensen die de zelf oplossingen bedenken zoals in dit voorbeeld.
Dus als je je straks nog steeds afvraagt hoe je kan bijdragen aan een betere cybersecurity heb ik een heel simpel antwoord; de volgende keer dat je koffie gaat drinken of gaat lunchen loop je even langs de IT-afdeling. Ook als er iemand van buiten komt om problemen met beveiliging te melden; nodig diegene uit voor een kop koffie en een goed gesprek. Je kan zo nog een hoop van elkaar leren.