Datalek? Pas op voor boete!

Bijna iedere week komen tal van organisaties in het nieuws vanwege het lekken van gevoelige bedrijfsdata. De oorzaak zit meestal in kwaadaardige aanvallen door hackers. Het gevolg is dat de privé-gegevens van met name consumenten op straat komen te liggen. Voor staatssecretaris Teeven van Justitie en Veiligheid een reden tot een wetsvoorstel, waarbij bedrijven en instellingen kunnen worden beboet als zij hun beveiliging niet op orde hebben (bron).

Hoewel je er over kunt twisten of de meeste datalekken daadwerkelijk door kwaadaardige aanvallers veroorzaakt worden is de strekking van het verhaal dat je als organisatie ervoor moet zorgen dat je beveiliging op orde is omdat je anders een boete kunt krijgen.

Nu moet je als organisatie niet wakker liggen van die boete. Je moet je beveiliging niet op orde brengen om boetes te voorkomen. Nee, je moet je beveiliging op orde hebben omdat je gegevens van klanten in bezit hebt die ze je in vertrouwen hebben gegeven. Je moet zorgen dat je beveiliging op orde is om waardevolle data niet te verliezen. Je moet je beveiliging op orde hebben om te voorkomen dat je bedrijfsprocessen stil vallen. Nou ja, zo kunnen we nog wel even doorgaan met de redenen voor een goede beveiliging.

Die redenen zijn er trouwens al jaren maar die lijken binnen veel organisaties toch niet goed aan te slaan. Het is voor velen een ver van mijn bed show onder het mom van: dat gebeurt ons toch niet.

Misschien is het dan wel goed om boetes op te leggen en misschien is het wel goed als managers inderdaad meer aandacht aan beveiliging gaan besteden om die boete te voorkomen (en daarmee hun eigen bonus veilig te stellen).

Waarom je het ook doet, houd er rekening mee dat beveiliging alleen maar goed geregeld kan zijn als dat vooraf wordt gegaan door een goede manier van risico management, door de juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen. En als we dan toch zo lekker bezig zijn, zullen we dan ook direct de business continuity op orde brengen? Gaat het dan toch fout dan kunnen we er in ieder geval voor zorgen dat de schade beperkt blijft.

Heb je als security manager nooit goed draagvlak kunnen krijgen bij het management dan kun je het nu misschien proberen door ze te wijzen op het risico van boetes. Wij weten dan wel dat we het eigenlijk over bijvoorbeeld het voorkomen van imagoschade hebben…maar dat hoeven zij niet te weten.

Overheidscloud vergroot risico’s op datalekken

We zijn deze week lekker bezig met het nemen van een bepaald soort risico als uitgangspunt voor het blog. Daar gaan we vandaag nog even mee door. Vandaag pakken we weer een heel ander soort risico, namelijk dat op datalekken.

Overheden moeten goed nadenken of, en welke data in een cloud wordt opgeslagen. Landen worden aangespoord extra op beveiliging en contractvoorwaarden te letten (bron).

Interessant natuurlijk dat er hier specifiek gesproken wordt over de overheden die goed (lees: beter) na moeten denken over beveiliging in “the cloud”, maar dat geldt natuurlijk net zo goed voor alle andere organisaties en zelfs voor privé personen.

Een (vrij) nieuwe techniek en er moet inderdaad goed over de risico’s worden nagedacht. Toch moeten we deze ontwikkelingen niet uit de weg gaan, in veel gevallen kan het onderbrengen in de cloud zelfs beter zijn dan het op je eigen servers laten draaien.

Het gaat er natuurlijk om dat je goed de risico’s in kaart brengt voor de beschikbaarheid, integriteit en exclusiviteit van de data die je in de cloud opslaat. Doe je dat op een weldoordachte wijze dan zul je zien dat voor de ene organisatie de beschikbaarheid bijvoorbeeld enorm toeneemt terwijl ze concessies moeten doen aan de integriteit of de exclusiviteit.

Voor andere organisaties zal juist de beschikbaarheid afnemen terwijl de integriteit toeneemt. Het grootste bezwaar dat leeft tegen opslaan in de cloud is die van de exclusiviteit van de gegevens.

Of gewoon in simpel Nederlands: wie kan er allemaal bij mijn gegevens en wat doen ze er dan mee? Toch ben ik er van overtuigd dat ook de exclusiviteit van de data voor veel organisaties er enorm door kan toenemen. Nu werken ze nog op een verouderde infrastructuur, worden patches niet doorgevoerd en weten we al helemaal niet wie er van onze medewerkers bij de gegevens kan.

Maar om donderwolken te voorkomen, is het wel van belang goed naar die risico’s te kijken. Er over na te denken en de juiste maatregelen te nemen om die risico’s af te dekken. Ik geloof dat het kan en ik geloof dat voor veel organisaties de zon achter de wolken kan schijnen.

Smartphone goudmijn voor datadieven

Het gebruik van smartphones neemt allerlei risico’s met zich mee…De voornaamste risico’s die ENISA noemt zijn het per ongeluk lekken van gevoelige gegevens, bijvoorbeeld via GPS-gegevens die aan afbeeldingen zijn gekoppeld. Een ander risico is datadiefstal door kwaadaardige applicaties en het verlies van het toestel. Verder moeten smartphone-gebruikers ook oppassen voor “Dialerware”, kwaadaardige software die ongeautoriseerde telefoongesprekken maakt. De laatste dreiging is een overbelasting van de netwerkinfrastructuur door smartphone-applicaties (bron)

Hoewel we nog druk bezig zijn met het bewust maken van organisaties over informatiebeveiliging op hun netwerken lijken ze nog niet erg doordrongen te zijn van de risico’s van smartphones. Iedereen een Blackberry of Iphone zodat we het nieuwe werken in kunnen voeren.

Erg leuk natuurlijk maar zoals ENISA aangeeft kleven daar toch een groot aantal risico’s aan. Wil ik dan zeggen dat we vooral niet met smartphones moeten werken? Nee, natuurlijk niet, we moeten ons alleen bewustzijn van de risico’s

Ik weet het nog goed, een jaar of 10 geleden zal het geweest zijn. De eerste telefoons met een camera kwamen op de markt en al snel was er geen telefoon meer te vinden zonder zo’n camera. Destijds werkte ik voor Defensie. Daar zaten we dan met ons beveiligingsbeleid, één van de regels was dat de organisatie geen telefoons met camera zou uitdelen en dat telefoons met camera’s in onze gebouwen verboden waren. Die regel was maar kort houdbaar, zullen we maar zeggen.

Maar met de smartphones kunnen we ook duidelijk maken dat de informatiebeveiliging is veranderd de afgelopen jaren (ja, ja wakker worden organisaties, die firewall is niet goed genoeg meer). Te vaak zien we nog dat een organisatie angstvallig kijkt naar de risico’s die van buiten komen. Zet een dikke firewall neer en de boefjes blijven wel buiten. Ook deze beleidsregel kan de koelkast in (hoewel nog weinig organisaties dit echt zien).

Waarom? Nou, oké, een korte toelichting: vroeger (wat klinkt dat goed) richtte je het netwerk in met één single point of entrance/connection of hoe we het ook willen noemen. Alles wat aan de boze buitenwereld gekoppeld was liep via onze firewall. Met smartphones, VPN-verbindingen, het nieuwe werken, Cloud computing en noem het maar op creëren we allerlei verbindingen met ons netwerk. Die ene firewall is niet genoeg meer omdat iedereen op ieder moment bij de data moet kunnen om zijn werk te doen. De smartphone op zich is dus een risico omdat die steeds meer gegevens bevat, maar juist ook de connectie met het netwerk draagt grote risico’s met zich mee.

Het is helemaal niet erg, als we ons er maar van bewust zijn. De komende jaren zullen we dan ook verschillende ontwikkelingen zien in de informatiebeveiliging. Enerzijds zullen we meer gaan denken in operational en enterprise risks (versus de huidig nog veel gehanteerde rule based benadering) maar anderzijds zullen we ook meer en meer de daadwerkelijke data moeten gaan beveiligen. Daarbij kunnen we best ons netwerk blijven beschermen, maar dat is niet genoeg meer, nee juist ook de content, de inhoud van de documenten en databases zullen we moeten gaan beschermen.

Ach, er is nog zoveel over te schrijven en nog zoveel te doen…dat ga ik vandaag in mijn blog ook niet allemaal oplossen. Ik kan alleen maar aanraden om verder te kijken dan je neus lang is (en oh ja, voor al die bedrijven die juist nu bezuinigen op beveiliging: pas op…je bent gewaarschuwd.)

70% personeel steelt van werkgever bij vertrek

Volgens onderzoek zou 70% van het personeel stelen bij vertrek of ontslag…onzin natuurlijk. Nee niet omdat het niet waar is, maar omdat volgens mij het percentage vele malen hoger ligt. Maar goed, het exacte percentage doet er niet toe, wat er wel toe doet is dat men nog teveel naar de buitenwereld kijkt. Ben je eenmaal gescreend dan mag je verder overal bij en alles doen, zo lijkt het.

Een groot deel van de Britse werknemers is van plan om bij een mogelijk vertrek bij hun werkgever iets mee te nemen. Met name intellectueel eigendom (27%) en klantgegevens zijn populair (17%), zo blijkt uit onderzoek. Zeventig procent loopt met het idee om iets van de zaak mee te nemen mochten ze van baan wisselen of ontslagen worden. Ongeveer de helft van de werknemers zegt de bedrijfsgegevens al in bezit te hebben. Voornamelijk uit voorzorg mochten ze van baan veranderen (bron).

Aan de hand van dit soort gegevens zie je maar weer dat er nog een hoop werk te doen is op beveiligingsgebied. Niet alleen het beter beschermen van je eigendommen maar juist het bewust maken van de managers van dit soort risico’s. Geloof me, het wordt nog zwaar onderschat.

Het lastige is dat het hier wel gaat om diefstal maar dat de gegevens daarna niet weg zijn, nee ze zijn gekopieerd en daar komen veel organisaties niet of te laat achter. Was het maar zo dat de gegevens echt weg waren, dan wist je het en kon je alarm slaan.

Informatiebeveiliging ontwikkeld nog steeds maar in veel organisatie lopen we achter de feiten aan. We installeren een firewall, anti-virus en anti-spam en geloven het verder wel. We zijn nu toch veilig en de buitenwereld kan niet zomaar op ons netwerk. Op zich kan dat kloppen, maar de grootste dreiging komt niet van buiten, nee die komt van binnen.

We kunnen wel blijven denken dat ons personeel integer is en dat kan ook onder normale omstandigheden best zo zijn, maar hoe gaan ze zich gedragen als ze boventallig worden? Zijn ze dan nog steeds zo loyaal? Waarschijnlijk niet. Daar kunnen we allerlei onderzoek naar doen, maar volgens mij zit dat gewoon in het oerinstinct van de mens. Zij moeten overleven en daarbij maken ze graag gebruik van de gegevens waar ze bij kunnen.

Willen we als organisatie aansluiten bij de modernere informatiebeveiliging dan zullen we twee kanten op moeten. Namelijk die van het denken in zogenaamde “enterprise risks”, dus meer abstract vanuit de impact op onze omzet en kosten. En anderzijds moeten we meer gaan denken in het beveiligen van onze data. Dat kan bijvoorbeeld door encryptie en toegangsrechten maar dat weerhoudt geauthoriseerd personeel er niet van om bij de gegevens te kunnen.

Nee, inmiddels zijn er ook tools waarmee je de data kunt volgen in de tijd, waarmee je kunt zien wie welke informatie heeft ingezien, wie wat heeft gekopieerd en waarmee je op afstand informatie kunt vernietigen. In Nederland heb ik ze nog niet veel gezien, in Amerika zijn ze daar al verder mee. En nee, ik heb niet direct de naam van de tool op mijn netvlies maar als je daar behoefte aan hebt wil ik best nog eens Googlen voor je.

Veilingen en data op harde schijven

Ja, ze noemen het nieuws, maar volgens mij is dit al jaren zo. Ik wil jullie niet beinvloeden dus lees eerst even rustig de bron tekst.

Online veilingen bieden een makkelijke en goedkope manier om aan kwalitatief goede hardware te komen. PCM onderzocht hoe zorgvuldig de veilingmeesters omgaan met de data op harde schijven uit deze pc’s en notebooks. De uitslag is schokkend. op de helft van de pc’s wordt gevoelige informatie gevonden, waaronder financiele en medische gegevens (bron).

Op de helft van de pc’s wordt gevoelige informatie aangetroffen. Is het glas nu half vol of half leeg? Betekent dit dan ook automatisch dat de andere helft netjes gewist is? Dan valt de schade nog mee.

Vraag is natuurlijk of de veilingmeesters hier op aan te spreken zijn, persoonlijk vind ik van niet. Als ik een cd-speler laat veilen moet ik toch ook zelf mijn cd-tje eruit halen? De mensen die hun hardware veilen zijn er wat mij betreft zelf verantwoordelijk voor. Vaak zullen ze de kennis niet hebben en er maar op hopen dat niemand wat met hun gegevens zal doen. Ja, zo kun je ook denken.

Waarom zou je trouwens je oude hardware willen laten veilen? Kan me nauwelijks voorstellen dat dat enorme bedragen oplevert (wat kost opslag tegenwoordig). Nee, ik zou er dan toch maar voor kiezen om de hardware gewoon naar de schroothoop te brengen…en ook in dat geval even je harde schijven wissen.