In 2022 is het aantal datalekken als gevolg van menselijke e-mailfouten met maar liefst 74% gestegen, zo blijkt uit een recent rapport van de Autoriteit Persoonsgegevens (AP). Deze zorgwekkende trend vraagt om aandacht. In deze blog bespreken we de verschillende soorten datalekken die hieronder vallen, het beperkte effect van traditionele trainingen en waarom slimme beslissingsondersteuning de enige echte oplossing is om tientallen tot honderden datalekken per jaar in jouw organisatie te voorkomen.

Gemelde datalekken dalen, maar menselijke fouten nemen toe

Het totale aantal gemelde datalekken in Nederland daalde in 2022 met 15% naar 21.151 volgens het jaarlijkse overzicht van gemelde datalekken van de AP. Echter, het aantal meldingen veroorzaakt door een ‘e-mail met persoonsgegevens verstuurd aan verkeerde ontvanger(s) of verstuurd met ontvangers in het aan-veld of in de cc’ is met maar liefst 74% gestegen. Dit is een schrikbarende stijging die diepere analyse en aandacht verdient.

Er bestaan vier verschillende soorten e-mailfouten

Het is onduidelijk welke soorten datalekken de AP allemaal samenvat onder de categorie 'e-mail met persoonsgegevens verstuurd aan verkeerde ontvanger(s) of verstuurd met ontvangers in het aan-veld of in de cc'. Maar als we de naam ontleden kunnen we in ieder geval drie soorten datalekken onderscheiden:

• Verkeerd geadresseerde e-mail: Per ongeluk sturen van een e-mail met persoonsgevoelige informatie naar de verkeerde persoon, zoals in het geval van dit datalek bij GGD IJsselland.
• Vergeten BCC te gebruiken: Versturen van een e-mail met ontvangers in het AAN- of CC-veld in plaats van het BCC-veld, zoals hier verder toegelicht.
• Verkeerde informatie verstuurd: Onbedoeld versturen van vertrouwelijke informatie, zoals een verkeerde bijlage of een met nog onbedoelde gevoelige informatie zoals BSN-nummers of salarisgegevens.

Er is nog een belangrijke e-mailfout die waarschijnlijk nog veel vaker voorkomt dan bovenstaande fouten, maar die raar genoeg niet (als aparte groep) terugkomt in de rapportage van de AP:

• Onvoldoende beveiliging: Gevoelige informatie verstuurd met een te laag veiligheidsniveau. Denk aan het sturen van medisch gevoelige informatie met ‘gewone’ e-mail in plaats van beveiligd met tweefactorauthenticatie (2FA).

Het is onbekend welke van deze oorzaken precies de belangrijkste drijfveer is achter de stijging van het aantal datalekken, aangezien de AP geen verdere uitsplitsing heeft gedeeld.

E-mailfouten stijgen door meer gebruik e-mail, maar organisaties kunnen niet zonder

Sommigen beweren dat we moeten stoppen met e-mailen vanwege het hoge aantal datalekken dat hierdoor ontstaat. Deze ambitie is echter onlogisch en onhaalbaar en wel om de volgende redenen.

E-mail is het meest gebruikte middel voor bedrijfscommunicatie

In grootschalig recent onderzoek uitgevoerd door Zivver, genaamd "Freedom to Focus", gaf 88% van de werknemers aan afhankelijk te zijn van e-mail om hun werk gedaan te krijgen, en dat e-mail het belangrijkste communicatiemiddel op het werk is voor 75% van hen. Bijna alle IT-leiders (97%) gaven aan dat hun organisatie afhankelijk is van e-mail als zakelijk hulpmiddel. Het is dan ook logisch dat er zoveel datalekken ontstaan bij het gebruik van e-mail, aangezien het veruit het meest gebruikte en belangrijkste middel is om werkgerelateerde taken uit te voeren. Fouten worden nu eenmaal gemaakt waar mensen werken, ongeacht of het bij het gebruik van e-mail of een andere tool is. Een ander interessant feit voor "e-mailcritici": 41%van de gemelde datalekken in 2022 komt door het gebruik van brieven of post. 

Van e-mail afstappen kan nu en waarschijnlijk ook de komende decennia niet

Hoewel organisaties mogelijk denken dat het gebruik van andere tools dan e-mail de kans op menselijke fouten zou verminderen, blijft e-mail voorlopig onvervangbaar als basis voor communicatie. Het is namelijk de meest algemeen geaccepteerde internationale communicatiestandaard en er is nog geen alternatieve standaard in zicht. Bovendien zijn andere ad-hoc communicatietools, zoals bestandsoverdracht, grotendeels afhankelijk van e-mail voor notificaties. Het overstappen op oplossingen die niet afhankelijk zijn van e-mail zou bijna onmogelijk zijn, omdat een organisatie alle stakeholders waarmee zij samenwerken zou moeten dwingen om een nieuwe werkwijze te hanteren. Het is al moeilijk genoeg om het gedrag van eigen medewerkers te veranderen, laat staan dat van alle mensen om hen heen.

Aantal gemelde datalekken is het topje van de ijsberg

Hoewel het aantal datalekken dat in Nederland per hoofd van de bevolking wordt geteld het hoogste is in heel de wereld, betreft dit echter nog steeds het topje van de ijsberg. In het eerder genoemde ‘Freedom to Focus’-onderzoek geeft 61% van de 6.000 geïnterviewde medewerkers aan in de afgelopen 24 maanden een e-mailfout te hebben gemaakt. Zo geeft 35% van de ondervraagden aan een verkeerde bijlage te hebben gestuurd, 25% per ongeluk ‘reply-all’ te hebben gedrukt, 18% heeft onbedoeld gevoelige informatie gedeeld en 17% heeft een e-mail gestuurd aan de verkeerde ontvanger. Hoewel niet al deze fouten een ‘echt’ datalek betreffen, maken deze getallen aannemelijk dat het werkelijke aantal gemelde datalekken door een e-mailfout vele malen hoger zou moeten liggen.

Beperkte effectiviteit van awareness-trainingen

Hoewel trainingen vaak worden gebruikt om menselijke fouten te voorkomen, blijkt uit hetzelfde 'Freedom to Focus' -onderzoek dat dit een beperkt effect heeft. Slechts 36% van de medewerkers geeft aan daadwerkelijk iets te hebben geleerd van de training, terwijl 33% aangeeft niets te hebben opgestoken. Opvallend is dat 31% van de medewerkers zelfs helemaal geen training heeft ontvangen. Deze getallen laten zien dat de, vaak kostbare, trainingen alleen geen effectieve manier is om datalekken door menselijke fouten te voorkomen.

Waarom beslissingsondersteuning de enige echte oplossing is

Beslissingsondersteuning is wetenschappelijk bewezen effectief

Om menselijke fouten effectief te verminderen, is het belangrijk om verder te kijken dan alleen training. We moeten op zoek gaan naar andere instrumenten om menselijke fouten te voorkomen. Een logische en effectieve oplossing hiervoor is beslissingsondersteuning. Dit zijn slimme systemen die medewerkers helpen bij het nemen van de juiste beslissingen, zonder te verwachten dat zij alle richtlijnen en protocollen uit hun hoofd kennen en op het juiste moment de juiste actie ondernemen. In plaats daarvan maken deze systemen gebruik van slimme algoritmen om medewerkers op een gebruiksvriendelijke manier proactief te ondersteunen bij het maken van betere keuzes en het beleid van organisaties te volgen. Ze kunnen ook waarschuwingen geven als er een fout dreigt. Wetenschappelijk onderzoek heeft al herhaaldelijk aangetoond dat goede beslissingsondersteunende systemen zeer effectief zijn in het verbeteren van het gedrag van medewerkers.

Beslissingsondersteuning is effectief bij het voorkomen van datalekken

Beslissingsondersteuning blijkt ook uiterst effectief bij het voorkomen van datalekken bij het gebruik van e-mail en het delen van bestanden. In een recente blog legde ik al uit hoe Zivver in 2022 gemiddeld 5 'BCC'-fouten per organisatie wist te voorkomen. Deze cijfers tonen niet alleen aan dat het gerapporteerde aantal datalekken aanzienlijk onderschat wordt (15% van de Nederlandse bedrijven gebruikt Zivver, wat betekent dat 85% nog steeds gevoelig is voor deze datalekken), maar het illustreert ook de buitengewone effectiviteit van beslissingsondersteuning. Uit nog niet gepubliceerde gegevens blijkt namelijk dat het totale aantal datalekken dat Zivver’s beslissingsondersteuning per organisatie heeft voorkomen 20 tot 200 keer hoger ligt dan het aantal BCC-gerelateerde datalekken dat is voorkomen. Dit is bereikt door medewerkers te helpen de juiste beveiligingsmaatregelen te nemen wanneer de gevoeligheid van een e-mail of bijlage daarom vraagt, evenals door waarschuwingen te geven bij verkeerd geadresseerde e-mails en het mogelijk onbedoeld delen van gevoelige informatie. Bovendien zijn de gegevens voor 2022 nog grotendeels zonder de recente uitrol van onze op machine learning gebaseerde regels, die tot wel 400% beter gevoelige informatie detecteren ten opzichte van woordenlijsten of regex-patronen die veel andere oplossingen gebruiken.

Het stijgende aantal datalekken als gevolg van menselijke e-mailfouten in 2022 is een zorgwekkende trend. Traditionele trainingen blijken beperkt effectief te zijn in het voorkomen van deze fouten, en daarom moeten we overstappen naar gebruiksvriendelijke, bewezen effectieve beslissingsondersteunende systemen. 

Zivver is een uitstekend voorbeeld van hoe slimme regels op basis van machine learning kunnen helpen bij het verminderen van datalekken. Door medewerkers te helpen betere keuzes te maken, te helpen fouten voorkomen en informatie passend te beveiligen, hebben organisaties minder datalekken, lagere kosten en hogere productiviteit. Op basis hiervan ben ik benieuwd hoe een bestuurder uitlegt dat hij/zij niet investeert in slimme, veilige e-mail?!