BNP Paribas Real Estate Netherlands is slachtoffer van een groot datalek, meldde het FD vorige maand. Drie gigabyte aan informatie ligt op straat. Uiterst vertrouwelijke informatie over verkooptrajecten en huurprijzen, onder andere van het hoofdkantoor van Ahold in Zaandam. Maar ook privacygevoelige informatie zoals kopieën van paspoorten, BSN-nummers en salarisgegevens kwamen in handen van onbevoegden.
Afgaande op de berichtgeving is de schade voor BNP groot. Commercieel is het een ramp. Iedereen die de afgelopen jaren zaken met BNP heeft gedaan, moet nu vrezen dat vertrouwelijke bedrijfsinformatie bij derden is terechtgekomen.
Het lek kwam van binnenuit: een “zelfbenoemde klokkenluider” (zo noemt het FD hem of haar steeds; nooit geweten dat klokkenluiders door anderen benoemd werden) heeft gevoelige informatie gedeeld met het FD en Joost mag weten wie nog meer.
Ook dat nog. Grote en kleine bedrijven moeten al veel tijd en geld besteden om zich te beschermen tegen datahacks en malware, maar die aanvallen komen van buiten. Hoe bescherm je je tegen een aanval van binnenuit?
Er is veel dat je als kantoor kan doen.
Toegangsrechten en een audit trail
Het begint met het opslaan van data in een goed document management systeem. Dat opent veel mogelijkheden om gegevens te beschermen, die een Windows Verkenner (via bijvoorbeeld een H-schijf) niet heeft.
Met een systeem van toegangsrechten kan je bijvoorbeeld bepalen wie toegang heeft tot welke dossiers. Je kan gegevens in een dossier afschermen. Dat kan zelfs op gebruikersniveau. (Piet kan bepaalde informatie niet zien, maar de manager van Piet wel.) Je kan de mogelijkheid om informatie te downloaden beperken, of zelfs helemaal uitschakelen.
En met een document management systeem beschik je over een audit trail: daarmee zie je wie een dossier heeft geopend of er wijzigingen in heeft aangebracht. Dat is sowieso handig als de toezichthouder op inspectie komt, en als vertrouwelijke informatie op straat komt te liggen, kan je snel achterhalen wie dat heeft gedaan.
Het gaat goed tot het mis gaat
Denk nu vooral niet: dat met zo’n klokkenluider, dat zal ons niet overkomen. Voor compliance geldt nog te vaak: het gaat goed totdat het mis gaat. BNP is hiervan een goed voorbeeld en dat is zonde. Want het kan beter en veiliger. Dat is in het belang van de consument, maar zeker ook van de financiële instelling.
Hoe goed je alles ook regelt, er blijft altijd een risico over. Iemand beheert alle rechten en heeft daarmee toegang tot alle informatie. Bijvoorbeeld het hoofd Compliance of de IT directeur. Wat als die er met de buit vandoor gaat? Tja, dan ben je de pineut. De ketting is zo sterk als de zwakste schakel. Zorg dus dat je weet waar die zit.
Geschreven door
