Kennis van Zaken

Het uitlekken van informatie heeft twee vormen: passief en actief. Bij passief lekken wordt informatie van de drager gestolen of afgeluisterd. Actief lekken betekent dat de drager bewust informatie verstrekt aan iemand die deze niet zou mogen krijgen. Deze vorm van lekken kennen we vooral uit de politiek. Iemand die toegang heeft tot vertrouwelijke informatie, lekt die dan naar de pers. Een bijzondere vorm van een ‘lek' is het klokkenluiden, onrecht, fraude of niet-integer gedrag wordt dan anoniem aan de kaak gesteld.

Informatie

Lekken is het doorspelen van informatie met een bepaald doel. Informatie is alles wat in algemene zin kennis toevoegt. Informatie wordt vaak verward met de begrippen gegevens en/of kennis. Hoewel deze begrippen veel met elkaar te maken hebben, zijn ze niet hetzelfde. Gegevens worden pas informatie als de gegevens een betekenis hebben voor de ontvanger. Er kan overigens pas van informatie gesproken worden als die voor (andere) mensen interpreteerbaar is. Het interpreteren en integreren van deze informatie resulteert in kennis. En kennis is macht.

Bedrijfsspionage

Bedrijfsspionage is verwant aan passief lekken. Alleen gaat bedrijfsspionage uit van het perspectief van degene die de informatie steelt of afluistert, en passief lekken van dat van de valide informatiedrager van wie informatie ontfutseld wordt. Bedrijfsspionage is in zekere zin beperkter dan passief lekken. Zo kan lekken vanaf het eerste moment doelbewust en moedwillig gebeuren maar dat hoeft niet. Iemand kan bijvoorbeeld per ongeluk een vertrouwelijk gesprek opvangen of een geheim document onder ogen krijgen, waarvan hij later besluit de inhoud door te spelen. Bij bedrijfsspionage is het onttrekken van informatie echter altijd een vooropgezette actie.

Het fenomeen spionage komt vaker voor dan gedacht. Er is de concurrentie veel aan gelegen in het bezit te komen van bijvoorbeeld beleidsplannen, omzetgegevens, productontwikkelingen, en relatiegegevens. Van een meesterspion zijn de woorden: "Ik heb niemand verraden. Ik heb altijd dezelfde werkgever en dezelfde opvattingen gehad. Ik was gewoon een agent die de tegenpartij moest infiltreren. Dat die zo naïef was dat niet te doorzien, is hun zaak." Doe uw voordeel met deze uitspraak en bescherm uw organisatie.

Oorzaken

Het ontbreken van security awareness is een belangrijke oorzaak voor het uitlekken van informatie. Organisaties staan te weinig stil bij de risico's die ze lopen. Andere oorzaken zijn het ontbreken van een beveiligings- en beheersplan, en van beleid en maatregelen over informatiebeveiliging. Het achterwege laten van controle op alle informatie die medewerkers naar buiten brengen, is ook een belangrijke oorzaak.

Het is moeilijk om te achterhalen wie van uw medewerkers lekt. Met het beperkt beschikbaar stellen van uw vertrouwelijke informatie, verkleint u het risico dat die bij de verkeerde terecht komt.

Het bieden van gelegenheid tot bedrijfsspionage en/of diefstal van bedrijfsinformatie, is een andere oorzaak van uitlekken. Voorbeelden hiervan zijn onbeveiligde internet- en e-mailverbindingen en het gebruik van USB-sticks.

Maatregelen

Informatie kan worden beschermd met technische beveiligingsmaatregelen, zoals een beveiligingsinstallatie, toegangscontrole of Digital Rights Management (een bescherming tegen het illegaal gebruik van beeld en muziek). Ieder individueel document kan daarnaast worden voorzien van een uniek kenmerk per geautoriseerde medewerker. Als informatie dan uitlekt, is onderzoek naar de oorspronkelijke eigenaar een stuk eenvoudiger. Andere maatregelen zijn bijvoorbeeld het instellen van een internet- en e-mailprotocol, waarbij iedere gebruiker een eigen wachtwoord heeft.

Het ruimschoots aandacht besteden aan security awareness en integriteit, is een goede manier om uw organisatie te beschermen. Zo kunt u uw medewerkers bijvoorbeeld een training security awareness laten volgen. Een andere maatregel die u kunt treffen is het onder embargo verstrekken van informatie en het opleggen van sancties tegen de verantwoordelijke voor het lekken. Het screenen van medewerkers kan daarnaast de kans verkleinen dat uw informatie in verkeerde handen terechtkomt. Tot slot kunt u nagaan of uw fysieke opslagmogelijkheden, zoals kluizen, toerijkend zijn.

Sprekende voorbeelden

Soms blijken beschermende maatregelen niet te deugen, en soms zijn de dragers van informatie zich niet bewust van de risico's die ze lopen. Een bepaalde ongelukkige samenloop van omstandigheden kan ook roet in het eten gooien. De volgende voorbeelden illustreren dit:

• De Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland spannen zich gezamenlijk in om wereldwijd alle vormen van communicatie af te luisteren. De zo verkregen informatie wordt Signals Intelligence genoemd, in jargon vrijwel altijd afgekort als SIGINT. Grote Aziatische multinationals in bijvoorbeeld de vliegtuigindustrie, zouden tijdens aanbestedingen ernstig zijn benadeeld ten opzichte van de Amerikaanse. Dit kon gebeuren doordat de Amerikaanse bedrijven informatie toegespeeld hadden gekregen die verkregen was met SIGINT.
• Microsoft heeft bevestigd dat er een lek in Internet Information Services (IIS) zit waardoor aanvallers in bepaalde gevallen toegang tot afgeschermde documenten kunnen krijgen.
• Een journalist van een sportblad kon een vertrouwelijk gesprek afluisteren tussen de algemeen directeur Gudde en Beenhakker van Feyenoord. Dit was mogelijk doordat een van hen niet in de gaten had dat hij de knop op zijn mobieltje had geactiveerd waaronder het telefoonnummer van de journalist was geprogrammeerd. Een gedetailleerd verslag van het vertrouwelijke gesprek in het sportblad was het gevolg.
• Het stelselmatig uitlekken van (delen van) de Miljoenennota. De informatie die geacht wordt vertrouwelijk te blijven tot Prinsjesdag belandt de laatste jaren steevast uitgebreid in de media. In de strijd om informatie buitelen de media over elkaar heen en slagen er vrijwel altijd in het lek te vinden.