Datalekken zijn een steeds groter risico voor bedrijven. Naast reputatieschade en klantverlies kunnen ze na het ingaan van de AVG/GDPR in mei tot hoge boetes van de Autoriteit Persoonsgegevens leiden. Verder is een sterk onderbelicht feit dat datalekken vaak niet door hackers, maar door zogenaamde ‘insider threats’ veroorzaakt worden. Ofwel: mensen binnen de organisatie. Om dit te bestrijden is er maar één effectieve oplossing: beveiliging op dataniveau.

Uit een recent onderzoek van Verizon blijkt dat ‘interne actoren’ verantwoordelijk zijn voor 25 procent van de datalekken. Uit een ander onderzoek onder cybersecurity professionals van Crowd Research Partners blijkt bovendien dat deze interne bedreiging aan het toenemen is. Op zichzelf zijn dit geen opvallende feiten. Het verzamelen van data ligt tenslotte aan de basis van de verdienmodellen van veel bedrijven.

Verder wordt het steeds belangrijker om al die gegevens veilig te kunnen delen met partners, leveranciers, klanten en cloudproviders. En de gegevens moeten bovendien door steeds meer applicaties gebruikt kunnen worden. Anno 2018 kun je met recht stellen dat zo’n datacentrische aanpak noodzakelijk is als je als organisatie wilt meespelen in de moderne data-economie. Helaas opent dit vergaande datagebruik ook meer mogelijkheden voor geavanceerde cyberaanvallen en datalekken.

Databeveiliging op netwerkniveau is achterhaald

Een ‘insider threat’ is per definitie al binnen het netwerk aanwezig, waardoor het beveiligen van de muren rondom het netwerk zinloos is. Toch is dat nog steeds de primaire securityfocus van de meeste bedrijven.

Ook het beveiligen van toegang tot je netwerk is geen optimale strategie om datalekken tegen te gaan. Bedrijven die slim met data omgaan, willen namelijk juist hun partners, leveranciers en klanten zoveel mogelijk toegang kunnen geven tot hun netwerk om hun zakelijke kansen te vergroten. Daarmee introduceer je een nieuwe groep externe ‘insiders’ die toegang hebben tot je bedrijfsgegevens. Om die reden is het noodzakelijk dat informatiebeveiliging niet meer op netwerkniveau wordt geregeld, maar op het dataniveau.

Organisaties die de risico’s van insider threats willen beperken, zouden zich daarbij op de volgende drie deelgebieden moeten richten.

1. Bescherm specifieke data

Een moderne organisatie wil zoveel mogelijk goedgekeurde partners in zijn netwerk hebben, mits die uitsluitend toegang hebben tot de voor hen relevante gegevens. Voor dit doel biedt moderne databasetechnologie vandaag de dag flexibele en gedetailleerde toegangscontroles om ervoor te zorgen dat werknemers alleen de rechten krijgen die nodig zijn om hun werk te doen. Zo kan iemand in human resources bijvoorbeeld toegang krijgen tot werkgerelateerde salarisinformatie, maar niet tot persoonlijke gegevens zoals het thuisadres van een werknemer.

Dit kan zelfs wanneer die gegevens in hetzelfde document staan. Deze methode heet redaction. Daarmee kunnen bedrijven door middel van encryptie gevoelige gegevens in documenten verbergen, terwijl de overige gegevens gewoon gedeeld kunnen worden. Hierbij moet je als gebruiker over een encryptiesleutel beschikken om specifieke gegevens te mogen zien.

Stel bijvoorbeeld dat een patiënt deelneemt aan een klinische studie, dan kunnen gegevens over hoe hij op een geneesmiddel reageert gedeeld worden, terwijl zijn persoonlijke gegevens privé blijven. Met deze twee securitymaatregelen kan de gegevensbeveiliging binnen een organisatie al sterk verbeterd worden.

2. Security awareness training

De meeste datalekken worden helaas nog steeds veroorzaakt door nalatigheid van medewerkers, zo blijkt uit een cybercrimeonderzoek van CSO. Volgens de enquête was 28 procent van de beveiligingsincidenten met insider threats onopzettelijk of per ongeluk, 18 procent opzettelijk en 8 procent was het gevolg van diefstal van interne toegangsgegevens. In de KPMG Cyber Healthcare & Life Sciences Survey zeggen 100 senior executives dat 55 procent van de organisaties werknemers heeft die ooit ten prooi zijn gevallen aan phishingfraude. Dit alles wijst op de noodzaak van betere voorlichting op dit gebied.

Hoeveel behoefte er is aan dergelijke training verschilt per bedrijf. Het belangrijkste is dat werknemers moeten geloven in het belang van informatiebeveiliging. Informeer ze over de waarde van bedrijfsgegevens, over verschillende soorten gegevens, wat gedeeld mag worden en wat niet, en waarom toegangscontroles van cruciaal belang zijn. Herinner medewerkers eraan dat het lekken van persoonsgegevens heel negatieve gevolgen kan hebben voor de bedrijfsreputatie en zelfs kan resulteren in kostbare geldboetes.

Heel belangrijk is dat leidinggevenden hierbij een voorbeeldrol vervullen. Zij moeten actief meedoen aan alle beveiligingsmaatregelen en -training, en erover praten met medewerkers en bestuursleden. Deze voorbeeldfunctie zou eigenlijk ook deels moeten liggen bij de CISO (chief information security officer), maar uit het onderzoek van KMPG blijkt meer dan een derde van de bevraagde zorginstanties niet eens een CISO te hebben. En zes van de tien managementteams zien cyberrisico’s als een IT-probleem in plaats van een probleem met een universele impact. Op dit gebied kan dus nog veel verbeterd worden.

3. De belofte van big data

In het verleden was men bij het detecteren van beveiligingsproblemen beperkt tot het zoeken naar patronen in netwerkgegevens. Nu hebben we gegevens op servers en in databases, die allemaal op detail gecontroleerd kunnen worden. Dit levert een veel rijkere set aan detectiemogelijkheden op in de vorm van metagegevens (gegevens over gegevens).

Denk bijvoorbeeld aan de herkomst, kwaliteit, eigenaar en geolocatie van (geüploade) data. Door die gegevens te combineren met de tegenwoordig beschikbare rekenkracht, krijg je er een nieuw middel bij om onregelmatigheden in de informatiebeveiliging te detecteren en datalekken op te sporen. En beter nog, ze te stoppen voordat ze plaatsvinden.

Kortom

Het grootste risico op een datalek wordt gevormd door mensen. De beste manier om je daar tegen te beschermen is door beveiliging in te bouwen op het niveau van de data zelf. Op die manier voorkom je dat er zowel moedwillig als per abuis gegevens op de verkeerde plek terechtkomen. Combineer je dit met regelmatige training en straal je als organisatie uit dat je datasecurity serieus neemt? Dan neemt het risico op een datalek sterk af. Al helemaal wanneer je, met moderne middelen, preventief gaat monitoren op inconsistenties.

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter