Staat jouw gevoelige info ook zichtbaar voor iedereen?

Waarschuwing: toen ik deze blog voorlegde aan proeflezers kreeg ik de vraag: “is dit écht gebeurd?”. Ja, dit is de beschrijving van een waargebeurd verhaal. en jammer genoeg geen alleenstaand geval.

“Oh help! Die kritische gegevens staan hier ineens gewoon op internet!”.
De paniek was niet te onderschatten, begrijpelijk, op zijn plek maar ook: perfect te vermijden. De info was beschikbaar voor heel het bedrijf, niet voor de hele wereld. Maar gezien het om gevoelige en persoonlijke info ging, was ook dat niet echt de bedoeling.
Het loont de moeite even verder te lezen als je het wil vermijden. Dit voorbeeld gaat over Windows, in combinatie met Microsoft365 (beter bekend als Office voor de gebruikers). Maar de oorzaak van de verwarring is net zo goed te vinden bij andere cloud services.

Wat er gebeurde

X schakelde over op Edge Chromium als browser (en had rechtsboven ingelogd als gebruiker). Hij wilde het LinkedIn profiel vinden van een manager. In de zoekresultaten zag hij het tabblad “work” staan en klikte. In de zoekresultaten allerlei interne files met soms bedrijfskritische data. Omdat X een browser beschouwt als “het internet”, sloeg de paniek toe.
De manager werd gealarmeerd, IT security ingeschakeld.

Logisch? Vanuit het standpunt van X wel. Alleen, IT had geen lekken gedetecteerd en gezegd dat alles normaal was. De rechten waren technisch gezien correct toegewezen.

Is het echt geen lek?

Dat is waar het heel moeilijk te begrijpen wordt voor de overgrote meerderheid van de gebruikers.
Denk even terug aan het kantoor vol kasten met mappen. Als een collega tijdens je verlof in je kasten dook dan zag die misschien ook meer dan de bedoeling was. Misschien had je toen ook iets zichtbaar laten liggen dat niet de bedoeling was. (Zou je collega dan de conciërge hebben gebeld om te checken hoe dat document daar was beland?)

Alleen de kast of het lokaal dat je afgesloten had was niet toegankelijk, maar dat zou op sommige momenten ook de werking van het bedrijf in de weg kunnen staan.
Eigenlijk wordt de realiteit steeds sterker nagebootst in de tools die we gebruiken.

Over naar de Edge Chromium browser en de zoekfunctie. Voorheen kon je een bestand ergens delen maar als iemand geen link had dan kon hij/zij het niet zoeken. (Nu ja, eigenlijk wel maar dan moest je al weten hoe)
Verder is het echt zoals op kantoor. Je kan die tab Work alleen zien wanneer je je als gebruiker hebt geïdentificeerd. Net zoals je enkel de binnenkant van het gebouw kan zien nadat je toegang kreeg.

Alleen kan je nu zoekhulpinschakelen.
Wat niet betekent dat de gevoelige info niet langer zichtbaar is door de tab Work niet zichtbaar te hebben. Als een document (per ongeluk) voor iedereen toegankelijk is, blijft dat ook zo voor de anderen als jij niet bent aangelogd.

Wat je ziet is waartoe je recht hebt gekregen

Een bestand kan enkel in je zoekresultaten verschijnen wanneer je het recht hebt die te zien. Dat wil in dit geval zeggen dat ofwel iemand een bestand op een Sharepoint-site of in Teams heeft opgeslagen waar jij toegang toe hebt OF die persoon heeft een bestand op zijn persoonlijke OneDrive geplaatst en gedeeld. Deed hij/zij dat met de optie “iedereen binnen mijn bedrijf met de link” dan wordt het mee doorzocht en kan het in zoekresultaten verschijnen. Het goede nieuws is dat iedereen zelf de controle heeft over gedeelde bestanden, ze moeten wel even weten hoe dat werkt.

Beveiliging, da’s toch een zorg voor IT?

Jarenlang was IT de afdeling die voor veiligheid moest zorgen, vandaag nog. Echter er is een gedeelte van het netwerk dat technisch gezien niet te beveiligen valt: de eindgebruikers. Dat is al jaren zo, toch is de eindgebruiker het stuk waar al jarenlang niet in is geïnvesteerd. Eindgebruikers die niet begrijpen hoe de cloud werkt kunnen een bedreiging vormen voor hun eigen werkgever. Als je IT vraagt om dat volledig te beveiligen kunnen ze enkel hun logins intrekken. Dan wordt het wel wat moeilijk werken, waardoor je al snel vertrouwd zal raken met een ander probleem: shadow IT).

Wat dan wel doen?

Zorgen dat medewerkers de werking en beveiliging van de cloud begrijpen. Niet alleen Office, ook andere services. Weten wat wel en niet beheerd wordt door IT. De risico’s beter in kunnen schatten van alle handelingen die ze stellen. Leren hoe ze er tijd mee kunnen winnen in plaats van verliezen. Op vandaag zie ik nog steeds veel mensen die bij wijze van spreken angst hebben voor de print-knop maar aan de andere kant onbewust met de billen bloot zijn gegaan op het internet.

X weet intussen waar en hoe zijn bestanden veilig blijven. Hoe hij kan nagaan wat hij deelt en op welke manier, met wie en tot slot hoe hij zoekresultaten kan interpreteren zodat hij de juiste collega’s kan aanspreken om dingen recht te trekken, mocht het zich nog voordoen. Met een sherpa-traject kunnen we dit probleem verhelpen en krijgen ook collega’s de kans om hun digitale vaardigheid te versterken. Hierdoor verhoogt de productiviteit, werkgeluk en ook de veiligheid.

Werkt jouw bedrijf met O365 en wil je deze toestanden vermijden? Plan gerust een kennismakingsgesprek in!