Datalekken? Je leest er dagelijks over, je zou ze bijna normaal gaan vinden. Totdat een van jouw klantcontactmedewerkers op een phishing-link klikt of inloggegevens afgeeft omdat ‘de manager van de marketingafdeling’ zo aandringt. Of zijn teamleiders, supervisors en contactcentermanagers ook kwetsbaar? Ziptone vroeg het aan Ilias Bouaissa (Steam-connect).
Ilias Bouaissa, Steam-connect
Ilias Bouaissa is Senior Support Engineer & Quality Management Employee bij Steam-connect. Naast zijn werkzaamheden als meewerkend voorman op de supportafdeling van Steam-connect houdt hij zich bezig met training, planning, escalaties, het monitoren van de kwaliteit van de support.
In de week dat we Bouaissa spreken, spelen er datalekken bij onder meer ChipSoft, bol, Rituals en gemeente Epe. Het enorme datalek bij Odido, een paar weken eerder ontstaan, laat zien hoe kwetsbaar contactcenters zijn als het gaat om datalekken. Bij Odido was het immers een klantenservicemedewerker die kwaadwillenden toegang verschafte tot CRM-platform Salesforce.
Onveilig gevoel
Met de veelheid aan datalekken kan het bijna niet anders of iedereen heeft als consument wel een keer met een datalek te maken gekregen. Zo ook Bouaissa. “Ook mijn gegevens zaten in de Odido-hack. Al die datalekken geven mij eerlijk gezegd een gevoel van onveiligheid. Door losse stukken informatie aan elkaar te koppelen kan je informatie opbouwen over een uniek persoon. Dat is funest. Privé let ik scherp op de beveiliging van mijn persoonlijke accounts. Per account een ander wachtwoord, een goed ingerichte wachtwoordkluis – voor de rest van mijn gezin geldt dat ook. Dat betekent dat niemand bij mijn gegevens kan komen door in te loggen in een van mijn accounts. Maar dat er data over mij op straat liggen of op het dark web te vinden zijn, dat is een realiteit waar ik helaas mee moet leven.”
Meer meldingen
Of het aantal datalekken toeneemt, is lastig te bepalen. Wel neemt het aantal meldingen toe, iets wat de AP bevestigt in jaarrapportages. Bouaissa: “We horen bijna dagelijks om de oren geslagen met nieuws over datalekken. Veel datalekken blijven onvermeld en daarnaast gebeuren er ook dingen met data die verder gaan dan je zou willen – denk aan de overheid die via een sleepnet meer informatie opslaat dan nodig is. Verder zitten we in een onrustige tijd in de wereld: oorlogen, ook cyberstrijd tussen staten die voor de meeste mensen onzichtbaar is.”
Nu kunnen bedrijven hun eigen kwetsbaarheid verkleinen door direct te handelen wanneer dat nodig is. Dat is ook het advies nadat bekend werd dat Mythos, een nieuwe LLM-versie van Anthropic, vlekkeloos alle kwetsbaarheden in applicaties kan aanwijzen. Maar IT-managers hebben de neiging om patches uit te stellen door ze ‘in te plannen’.
“Dat is zeker iets wat ik herken uit mijn eerdere werkervaring. Het doorvoeren van patches wordt vaak als een last gezien. Het argument is bijvoorbeeld ‘dan kan ik niet om half negen inloggen’. Soms kunnen er dagen voorbijgaan zonder dat die patch is uitgevoerd en ben je dus meerdere dagen extra kwetsbaar. Binnen onze organisatie worden updates en patches verplicht en automatisch uitgevoerd en daarnaast controleren we regelmatig en steekproefsgewijs of alles up-to-date is. Dat gaat van updates voor Bluetooth-hardware tot updates voor je laptop. Updates zijn geen last, maar een verrijking van je operatie.”
Nog steeds is ook hoorbaar: bij ons gaat de IT-afdeling over security. Herken je dat in de klantcontactsector?
“Beslist. Organisaties kiezen liever voor in beginsel alles openzetten en pas daarna bepalen waar mensen niet bij mogen, in plaats van vooraf nadenken hoe er vanuit zeer beperkte rechten kan worden uitgebreid. Vaak is het behalen van de SLA top of mind, maar niet het op een veilige manier behalen van die SLA. Goede platformen bieden echt alle mogelijke voorzieningen voor permissies, denk alleen al aan voorschriften voor het aanzetten van 2FA of aan de samenstelling en vernieuwing van wachtwoorden. Maar daar wordt best onachtzaam mee omgegaan. Verder vraag ik mij af of softwareleveranciers hun klanten actief adviseren over securitymaatregelen, bijvoorbeeld bij de onboarding van een contactcenter. Bij ons is dat een belangrijk onderdeel van de implementatie. Ik merk regelmatig dat als wij er niet over beginnen, het geen gespreksonderwerp is.”
Naast alertheid is ook een goed securitybeleid essentieel. Wat heeft Steam-connect zelf eigenlijk geregeld?
“We hebben draaiboeken voor verschillende scenario’s. Periodiek wordt er verplicht getraind, ook om ervoor te zorgen dat iedereen weet wat de processen zijn, ook bij een mogelijk datalek. Daarnaast hebben we een security officer. De basis voor onze eigen informatieveiligheid ligt overigens in onze ISO 27001-certificering.”
Wat zou binnen Steam-connect de eerste stap zijn als iemand binnen de organisatie ontdekt dat hij of zij op een foute link heeft geklikt?
“De eerste stap is melden. Een gezonde meldcultuur is superbelangrijk en houdt onder meer in dat niemand zich hoeft te schamen als er per ongeluk toch op zo’n phishing-mail is geklikt. En dat je, als je een melding doet, je geen zorgen hoeft te maken over je baan. Het zijn voornamelijk sociale obstakels die je in zo’n draaiboek moet wegwerken, zodat iedereen durft te melden. Anders kan je als organisatie niets doen of komt een datalek pas na meerdere dagen naar voren. Dan ben je gewoon veel te laat.”
“Vanaf het moment dat iemand gemeld heeft, moeten intern alle bellen gaan rinkelen. Er moet vanaf dan een tijdlijn worden bijgehouden van wat er is gebeurd en van alles wat er wordt gedaan, bijvoorbeeld op het gebied van het beperken van toegang, het informeren van relevante partijen, en het doen van onderzoek.”
“In de klantcontactwereld hebben managers nog wel eens de neiging om te vinden dat beveiligingsrisico’s vooral op de werkvloer spelen en dat zij zich niet hoeven te houden aan 2FA.”
Wat zijn de risico’s waar specifiek de contactcentermanager op kan letten?
“Hoewel bij security alles met elkaar samenhangt, vind ik persoonlijk het sociale aspect het allerbelangrijkste. Uiteraard is een goede meldcultuur essentieel. In de klantcontactwereld hebben managers nog wel eens de neiging om te vinden dat beveiligingsrisico’s vooral op de werkvloer spelen en dat zij zich niet hoeven te houden aan 2FA. ‘Je gaat het jezelf toch niet moeilijker maken om in te loggen? Waarom moet ik steeds op mijn telefoon kijken voor een code die ik op mijn laptop moet invoeren?’ Securitymaatregelen zijn vaak gemakkelijker af te dwingen bij eerstelijnsmedewerkers dan bij het management. Terwijl op dat niveau de risico’s juist extra groot zijn, omdat bij die functieniveaus de toegangsrechten vaak zeer uitgebreid zijn.”
“Dat sociale aspect heeft dus ook iets te maken met de interne politiek bij bedrijven. Het besef zou moeten zijn: ‘ik kan bij data en dat heeft grote gevolgen als iemand anders er ook bij zou kunnen via mij’. Ik vrees dat dat besef onvoldoende aanwezig is bij managers – de teamleiders, supervisors, WFM’ers, marketeers en de contactcentermanagers – die vaak wel de neiging hebben om de rechten van agents sterk te beperken.”
Hoe werkt dat sociale of politieke aspect in de praktijk?
“Denk aan een manager die de supportafdeling belt en vraagt om wijzigingen door te voeren in Steam-connect, omdat hij of zij een nieuwe rapportage wil maken. Als het supportteam aangeeft dat dit niet telefonisch kan worden afgehandeld omdat identificatie van de aanvrager noodzakelijk is, dan horen we nog wel eens ‘je weet toch wie ik ben?’ Het is een dooddoener, maar dit is hoe social engineering werkt. Het maakt dus niet uit welke functie jij hebt, daarvoor is de materie gewoon te gevoelig. En nogmaals: agents worden over het algemeen korter aan het lijntje gehouden dan het management.”
Wat is jouw tip voor de contactcentermanager die geen idee heeft wat er binnen zijn bedrijf is geregeld op het gebied van datalekken, draaiboeken en securitymaatregelen?
“Meld je bij de security officer. En als je bedrijf niet zo’n functionaris heeft, meld je dan bij de persoon die een vergelijkbare verantwoordelijkheid heeft voor dataveiligheid. In negen van de tien gevallen is IT het eerste aanspreekpunt bij een datalek. Een andere tip voor contactcentermanagers is om zelf eens goed te kijken naar welke systemen worden gebruikt. Vraag aan de leveranciers daarvan wat er mogelijk is om je data zo goed mogelijk te beveiligen. Kijk ook naar de API’s waarmee applicaties data uitwisselen. Een goed platform heeft allerlei securityvoorzieningen ingebouwd, en die staan idealiter niet ergens achteraf of op meerdere verschillende plekken.”
(Ziptone/Erik Bouwer)
Meer weten over waarom het contactcenter kwetsbaar is voor datalekken en wat je daaraan kunt doen? Steam-connect heeft een informatief whitepaper opgesteld over dit onderwerp. Downloaden kan hier.
Ook interessant
-
De Nederlandse CCaaS-aanbieder Steam-connect heeft deze week officieel haar tweede vestiging in Marokko geopend.
-
Een cybercrimineel zou een callcenter van Qantas hebben aangevallen en toegang hebben gekregen tot een extern klantenserviceplatform.
-
Het datalek dat Adidas enkele dagen geleden bekend heeft gemaakt is het gevolg van een cyberaanval bij een externe klantenserviceprovider.