Security en privacy – twee onderwerpen die in de dagelijkse security-operatie nauwelijks in één ademteug worden genoemd. Enerzijds is dat maar goed ook, want wanneer er tactisch en strategisch wordt nagedacht over het borgen van privacy binnen security, kan de operatie binnen die gestelde kaders haar vrije gang gaan. Anderzijds kan het borgen van privacy binnen security een hellend vlak zijn. Dat laatste is in mijn ervaring eerder regel dan uitzondering, waardoor er achteraf onnodig veel ‘herstelwerk’ nodig is met alle kosten van dien.
Macro vs. micro
Security en privacy lijken tegenstrijdige belangen te dienen wanneer het gaat om datavergaring. Daar waar ‘security’ graag ‘zo veel mogelijk’ data wil kunnen gebruiken voor het beschermen van de belangen van een organisatie, wil ‘privacy’ in de basis zo min mogelijk data vergaren, met name wanneer de data over personen gaat. Hoe de balans tussen deze twee ‘polen’ wordt gelegd, is sterk afhankelijk van de toegepaste omgeving. Denk maar eens aan de Verenigde Staten, waar men omwille van ‘security’ heel andere concessies durft te maken op het gebied van privacy dan in Europa. Maar zelfs in organisaties zie je grote verschillen; ik kan organisaties aanwijzen waar er geen haan naar kraait, maar ook organisaties waar een besluitvormingsproces over het implementeren van security-monitoring meer dan een jaar kan duren en de OR een actieve rol pakt in de dialoog.
Tegenstrijdig belang?
Uiteraard ligt het standpunt van privacy met betrekking tot datavergaring een stuk genuanceerder dan ‘zo min mogelijk’. In een tijd waarin we echter op het gebied van security steeds meer het gedrag van mensen proberen te monitoren om afwijkend gedrag te kunnen herkennen, wordt het lijdend voorwerp van security-monitoring toch écht steeds meer het individu. We mogen ons gelukkig prijzen dat er dan kritisch wordt meegekeken naar de doelmatigheid en proportionaliteit van de monitoring. Sterker nog: dat zou eigenlijk business as usual moeten zijn, al zie ik dat in de praktijk maar zelden.
Met elkaar om tafel
Wanneer nieuwe security-technologie wordt geïmplementeerd, wordt er voor of bij aanvang steeds vaker een data privacy impact assessment (DPIA) uitgevoerd. Een mooie gelegenheid om met diverse stakeholders, zoals ‘security’ en ‘privacy’, de doelmatigheid, proportionaliteit en eventuele mitigerende maatregelen door te spreken en vast te leggen. Klinkt mooi, maar vanwege het tegenstrijdige belang heeft ‘security’ er baat bij om met zo min mogelijk ‘gedoe’ de gewenste technologie geïmplementeerd te krijgen. Wie controleert na afronding en goedkeuring van de DPIA dan of het geïmplementeerde in de praktijk voldoet aan de afspraken die zijn vastgelegd in de DPIA? Wat nu als de DPIA vanuit de strategie en tactiek is uitgewerkt, terwijl de operatie ‘aan de knoppen zit’, zodoende de configuratie bepaalt, en wellicht niet eens op de hoogte is van het bestaan van de DPIA? Evalueer je de DPIA periodiek om er zeker van te zijn dat deze in lijn is met de nieuwste functionaliteiten en configuraties, of ben je vanuit ‘security’ allang blij dat het DPIA-boek voor eens en voor altijd gesloten blijft?
Praktijkvoorbeeld: endpoint detection & response
Endpoint detection & response (EDR)-technologie is anno 2024 de meest effectieve manier om te beschermen tegen bijvoorbeeld ransomware. Wanneer organisaties overgaan tot implementatie wordt het gezien en gepresenteerd als de vervanger van de meer traditionele antivirus (AV)-technologie. En dat is ‘gevaarlijk’ om de volgende redenen:
IT-product vs. security-product. AV is van oudsher een IT-product dat door IT werd geïmplementeerd en opgevolgd. EDR daarentegen is een security-product, dat door IT wordt geïmplementeerd en veelal door ‘security’ wordt gebruikt. Daar is een reden voor: de mogelijkheden van EDR-technologie zijn gigantisch ten opzichte van reguliere AV-technologie, en vereisen specifieke security-vakkennis. De keerzijde van deze mogelijkheden is dat de privacy-implicaties van EDR-technologie vele malen groter kunnen zijn. Voorbeelden daarvan zijn het verzamelen van alle bezochte URLs in een webbrowser en het bijhouden van alle geopende bestanden op een werkplek.
Wanneer EDR wordt gezien als IT-product, ligt het veel minder voor de hand om een DPIA uit te voeren dan wanneer het als security-product wordt gezien. Een parallel: op specifieke onderdelen biedt een next-generation firewall vergelijkbare functionaliteit als EDR. In organisaties die privacy hoog in het vaandel hebben staan liggen security-producten onder een vergrootglas, terwijl de firewall, welke meer in de hoek van de IT-infrastructuur wordt gezien, aan de aandacht ontsnapt.
Privacy-implicaties pas achteraf in ogenschouw nemen. Het zou niet de eerste keer zijn dat er pas na de implementatie aandacht komt voor de privacy-implicaties van EDR. In dat soort situaties is het te hopen dat er een DPIA is uitgevoerd en dat er een goed verhaal is richting alle medewerkers. Voor de implementatie van typische IT-producten ligt het namelijk helemaal niet voor de hand om het gesprek langs de privacy-as op te zoeken, zeker niet in kleinere organisaties. Wanneer je pas achteraf nadenkt over de privacy-implicaties, ben je te laat; enerzijds omdat je dan als IT of ‘security’ alle schijn tegen je hebt, en anderzijds omdat niet elk EDR-product zich even goed leent voor het fijnmazig configureren van de privacy-implicaties per product. Het zou vervelend zijn als het product dat je hebt geïmplementeerd niet past bij hetgeen je vanuit het oogpunt van privacy eigenlijk zou willen inrichten.
Gebrek aan directiebetrokkenheid. Juist wanneer technologie verder gaat dan alleen IT, zeker wanneer het privacy-implicaties met zich meebrengt, is het van belang dat het organisatiebelang wordt afgewogen tegen het belang van het individu. Een sterke leiding die kan uitleggen waarom bepaalde cybersecurity-maatregelen van belang zijn voor de organisatie, is dan onontbeerlijk. Schort het daaraan, dan is het vaak IT (die de implementatie heeft uitgevoerd) en mogelijk ‘security’ die het belang van EDR-technologie voor de organisatie moet verdedigen. En dat is lastig, wellicht onmogelijk, als je daarin niet wordt gesteund door de directie.
Security = mens + proces + technologie
Deze bekende combinatie van elementen beschrijft het helemaal correct: technologie implementeren kent ook een mens- en proceselement. Vooral de mens wordt daarbij vaak vergeten, zeker als het aankomt op het borgen van privacy. Juist in Europa, waar de privacy van het individu een stuk belangrijker wordt geacht dan in veel andere delen van de wereld, moeten we met elkaar het gesprek aangaan. Niet achteraf, maar vooraf. Niet met de gedachte dat we ‘een hobbel over moeten’, maar constructief, om tot het beste resultaat voor organisatie én individu te komen.
Deze post verscheen eerder op cisocommunity.nl