Johanna Van Herreweghen en Ann-Sophie De Graeve
Johanna Van Herreweghen en Ann-Sophie De Graeve
Johanna Van Herreweghen is advocaat bij Osborne Clarke en gespecialiseerd in Arbeidsrecht. Ann-Sophie De Graeve is advocaat bij Osborne Clarke en gespecialiseerd in gegevensbescherming, IT en IP.
Opinie

23/03/15 om 14:30 - Bijgewerkt om 14:33

De werknemer als pion in de strijd om cybersecurity

De studies liegen er niet om, werknemers gelden als een van de voornaamste oorzaken - gewild of niet - van gegevenslekken en inbreuken op de it-beveiliging binnen ondernemingen. Bijgevolg, naast een goede beveiliging tegen aanvallen door externe hackers, doen bedrijven er goed aan om ook de interne beveiliging van hun organisatie onder de loep te nemen.

De werknemer als hacker

Overeenkomstig het RAND-rapport getiteld 'Markets for Cybercrime Tools and Stolen Data' blijft de menselijke component een zwak punt. Soms is er kwaad opzet mee gemoeid - zoals een ontevreden of hebberige werknemer die de vertrouwelijke informatie van een bedrijf te grabbel gooit of steelt. In januari ontsloeg Morgan Stanley een werknemer, die beweerdelijk persoonsgegevens (met inbegrip van rekeningnummers) omtrent een 900-tal van haar klanten had gestolen en kortstondig op het internet had geplaatst. Nog vaker echter kunnen digitale aanvallen op een bedrijf toegeschreven worden aan onachtzaamheid. Iets waarvan criminelen maar al te graag gebruik maken. Overeenkomstig het RAND-rapport zullen zogenaamde 'phishing' en 'spear-phishing' campagnes in aantal toenemen en worden ze ook meer en meer gesofisticeerd. Een bekend voorbeeld van spear-phishing betreft het - ondertussen beruchte - gegevenslek bij de Amerikaanse winkelketen Target. Onderzoekers achterhaalden dat hackers zich toegang verschaften tot het computersysteem van Target door middel van een spear-phishing e-mail, gericht aan een werknemer van een van de externe toeleveranciers van Target.

De gevolgen van een dergelijk kwaad opzet of nalatigheid zijn vaak niet te overzien. In het voorbeeld van Target staat de teller voorlopig al op meer dan 162 miljoen dollar. De aanslag op het merk en het verlies aan marktaandeel betreffen daarbij belangrijke schadeposten. Werkgevers voelen zich vaak machteloos en zien met lede ogen aan hoe een digitale aanval hun bedrijf ernstige schade toebrengt. Doch evenwel, het hoeft niet zo te zijn. Hieronder schetsen we een aantal tools of werkwijzen die kunnen helpen in het mobiliseren van de eigen werknemers, als een belangrijke bondgenoot in de strijd om cybersecurity.

De werknemer als pion tegen hackers

Preventie is en blijft de beste remedie. De volgende maatregelen - specifiek gerelateerd aan werknemersactiviteiten - werken alvast preventief :

- Adequate beveiligingsprotocollen

Naast het effectief beveiligen van de bedrijfsgegevens en -infrastructuur, is het raadzaam om de bedrijfsregels op het vlak van gegevensbescherming, systeembeveiliging, gebruik van eigen toestellen (laptops, smartphones, tablets) binnen het bedrijfsnetwerk, werken vanop afstand en dergelijke meer in zogenaamde policies te gieten.

- Aangepaste en periodieke trainingen voor werknemers

Om bovengenoemde beveiligingsprotocollen effectief te kunnen toepassen, moeten de werknemers binnen het bedrijf minstens ook op de hoogte zijn van het bestaan, alsook van de inhoud (en enige wijzigingen) ervan. Dit bekomt men door het geven van aangepaste en periodieke trainingen. Een werknemer die op een voortdurende wijze goed is ingelicht omtrent zijn verantwoordelijkheden op het vlak van cyberbeveiliging binnen de onderneming en die weet hoe hij met gevoelige en vertrouwelijke bedrijfs- en persoonsgegevens moet omgaan, zal een minder waarschijnlijk doelwit vormen voor externe hackers en zal meer opmerkzaam optreden. Een dergelijke aanpak beklemtoont ook het belang dat de onderneming hecht aan de eigen systeem- en gegevensbeveiliging.

- Adequate screening van nieuwe werknemers

Tijdens de werving en selectie van nieuwe werknemers bekijkt de werkgever steeds vaker het profiel van een kandidaat-werknemer op sociale netwerksites (Facebook, Twitter en dergelijke meer). Let wel, de werkgever mag deze gegevens bekijken, maar daarom nog niet verwerken zonder de wettelijke regels inzake gegevensbescherming na te leven. Bovendien geldt in dit verband ook een discriminatieverbod : het bekijken van informatie die door een sollicitant op een sociale netwerksite wordt geplaatst, mag niet leiden tot een ongelijke selectie.

- Voorzie een adequaat klokkenluidersysteem

Voor het rapporteren van bepaalde thema's die de werknemer niet via de normale hiërarchische weg kan melden en waarvoor geen specifieke, wettelijk geregelde procedures of organen bestaan, kan men een klokkenluiderssysteem voorzien binnen de onderneming. Dit systeem dient te worden opgesteld in overeenstemming met de privacy-wetgeving en de aanbevelingen van de Privacy Commissie daaromtrent.

- Monitoring van internet en e-mailgebruik door werknemers

Een andere belangrijke preventiemaatregel betreft het installeren van een controlesysteem, door middel waarvan het internet- en e-mailgebruik van werknemers door de werkgever kan worden nagegaan. Immers, een bedrijf dat slachtoffer wordt van een digitale aanval en vermoedt dat een van haar personeelsleden verantwoordelijk is, kan niet zonder meer op zoek gaan naar de schuldige werknemer. De werkgever moet in dit verband de relevante privacy-wetgeving, met inbegrip van CAO nr. 81, naleven, hetwelk het controlerecht van de werkgever afweegt tegen het recht op privacy van de werknemer.

Dergelijk controlesysteem kan (i) niet ingevoerd worden zonder dat de werkgever de ondernemingsraad alsook de individuele werknemers inlicht over alle aspecten van de controle ; (ii) slechts worden doorgevoerd omwille van een gerechtvaardigd doeleinde, zoals bijvoorbeeld de veiligheid en de goede technische werking van de it-netwerksystemen van de onderneming. Bovendien kan een werkgever slechts overgaan tot een trapsgewijze en geleidelijke controle. In een eerste instantie zijn enkel globale en anonieme controles (via steekproeven) toegestaan zonder dat gegevens worden geïndividualiseerd en dus zonder een specifieke werknemer te viseren. Enkel wanneer de werkgever vermoedt dat er een misbruik door een werknemer heeft plaatsgevonden, kan hij overgaan tot een individualisering van persoonsgegevens om de "dader" te kunnen opsporen.

Conclusie

Samengevat kan men stellen dat - gelet op de reputatieschade en andere financiële gevolgen van digitale aanvallen op bedrijven - voorkomen nog steeds beter is dan genezen. Het implementeren van de hierboven vermelde maatregelen vormt alvast een stap in de goede richting.

Onze partners