‘Beveiliging niet afgestemd op risico’s’

23 november 2006 - 23:006 minuten leestijdOpinieSecurity & Awareness
Tom de Jong
Tom de Jong

Bedrijven leggen prioriteiten wat betreft beveiliging verkeerd. Jarenlang is er gefocust op netwerkbeveiliging en het buiten de deur houden van hackers.

edrijven zouden zich meer moeten afvragen waar de échte dreigingen liggen. Want, hoe groot is de kans nu eigenlijk dat een hacker via het internet specifieke informatie kan verkrijgen die jij verstuurt? Hoe groot is de kans dat hij weet vanaf welk netwerk en welke plek op de wereld jij inlogt? En hoe groot is dan de kans dat hij die milliseconde tijd weet te benutten om data daadwerkelijk af te vangen? Het antwoord: klein.

Dit is geen pleidooi om maar niet te investeren in veilige verbindingen en firewalls. Natuurlijk is het van het grootste belang hackers te weren. Maar, als we de gemaakte investeringen afzetten tegen de daadwerkelijke risico’s, is de verhouding ver te zoeken. Helemaal als we ons bedenken dat er inmiddels veel grotere beveiligingsrisico’s zijn, waar veel minder aandacht en geld aan wordt gespendeerd.

Ik pleit dan ook voor een verschuiving van de prioriteiten als het gaat om beveiliging van data, waarbij de investeringen worden gedaan op basis van risicocalculatie. We zien al een tijd dat aanvallen via internet steeds gerichter worden. Ze zijn in toenemende mate gericht op het ontvreemden van specifieke gegevens met als doel bedrijven of personen te schaden. Is de kans daarmee niet veel groter geworden dat een werknemer in de parkeergarage zijn notebook met belangrijke gegevens afhandig wordt gemaakt, dan de kans dat via het internet dezelfde gegevens worden ontvreemd? Het mee naar huis nemen van een usb-hard disk met 60 GB aan gevoelige gegevens door een werknemer is daarmee risicovoller dan het onbeveiligd werken op afstand bijvoorbeeld vanaf je vakantieadres. Beveiliging van gegevens zélf op allerlei datadragers zou dan ook hoog op de agenda moeten staan. De Deloitte 2006 Global Security Survey gaf aan dat 84 procent van de ondervraagde bedrijven wel eens te maken had gehad met ongeautoriseerde toegang tot bedrijfsgegevens. In 18 procent van de gevallen werden zelfs klantgegevens gelekt.

Meldingsplicht diefstal gegevens

In Californië (VS) zijn bedrijven sinds 2003 wettelijk verplicht identiteitsdiefstallen te rapporteren en individuen persoonlijk op de hoogte te stellen van het feit dat hun persoonlijke gegevens gestolen of verloren zijn. Als we kijken naar de lijst van gerapporteerde beveiligingsincidenten zien we dat alleen al in september dit jaar bijna dagelijks een geval van identiteitsdiefstal heeft plaatsgevonden. Een greep uit de lijst: een gestolen geheugenstick met patiëntgegevens van een bedrijf in de medische sector; een gestolen laptop met vertrouwelijke klantgegevens van een advocatenkantoor; twee gestolen desktops met studentgegevens van een universiteit, een medewerker van een kliniek die elektronische patiëntendossiers heeft doorverkocht aan een familielid die de informatie gebruikte voor frauduleuze medische claims ter waarde van meer dan 2,8 miljoen dollar… De lijst geeft een indruk van het enorme risico van gegevensdiefstal. (bron: www.privacyrights.org/ar/ChronDataBreaches.htm)

Nederlandse wetgeving niet dwingend

In de Verenigde Staten heeft The Office of Management and Budget (OMB) onlangs bepaald dat alle overheidsinstanties die gegevens van Amerikaanse ingezetenen opslaan, verplicht zijn gesteld al hun laptops binnen 45 dagen te versleutelen. OMB heeft als belangrijke taak het geven van advies aan het Witte Huis op het gebied van wet- en regelgeving, bestuurlijke en budgettaire kwesties. Nederland loopt achter als het gaat om dwingende wetgeving op het gebied van encryptie. Zo zegt de Wet Bescherming Persoonsgegevens dat er passende maatregelen genomen moeten worden voor de beveiliging van gevoelige gegevens. Maar wat is passend? Mijn mening is dat beveiliging afdwingbaar moet zijn en zo transparant mogelijk voor gebruikers. Beveiliging moet geen keuze zijn en niet iets dat we afhankelijk maken van het gedrag van medewerkers. Zo zou alles wat medewerkers kopiëren naar een usb-stick of ander mobiel apparaat versleuteld moeten zijn. De reden is simpel. Denk aan de verloren usb-sticks bij Defensie en de op straat gevonden desktop van officier van Justitie Joost Tonino. Er waren wel degelijk procedures en afspraken gemaakt over het verplicht beveiligen van gevoelige informatie op deze apparaten. Deze werden alleen niet nageleefd. Om dit te voorkomen is er maar één oplossing: het inzetten van technische maatregelen waarbij de gebruiker geen andere keus heeft dan gegevens versleuteld opslaan, zonder dat hij hiervan hinder ondervindt.

Het bewustzijn dat gegevens waarde hebben, groeit. Wij zien dat ook bij klanten die concreet oplossingen vragen om hun werknemers te beschermen tegen datacriminelen. Denk hierbij aan overheidsinstellingen die met waardevolle informatie omgaan. Een voorbeeld: bij doelbewuste bedreiging van werknemers om hun usb-stick af te geven en de informatie te openbaren met hun vingerafdruk, willen steeds meer organisaties de mogelijkheid hebben alleen ongevoelige informatie prijs te geven. Multi-user authenticatie maakt dit mogelijk, omdat medewerkers met een andere vingerafdruk de keuze hebben een andere soort informatie openbaar te maken.

Schijnveiligheid

Maar, authenticatie alleen is niet genoeg. Werknemers hebben de indruk dat wanneer er om een wachtwoord of vingerafdruk gevraagd wordt, de gegevens veilig zijn. Dit is absoluut een schijnveiligheid. Als er geen encryptie van gegevens plaatsvindt, die alleen toegankelijk is door authenticatie, is authenticatie nutteloos. De gegevens zijn dat nog steeds erg eenvoudig te verkrijgen door de hard disk uit een laptop te halen of de flash chips van een usb-stick rechtstreeks te raadplegen. Het is te vergelijken met een dikke deur die je plaatst om de toegang te beschermen van een pand, maar de deur zit niet in een muur bevestigd, waardoor je er makkelijk omheen kunt lopen om binnen te komen.

De enige manier om vertrouwelijke gegevens te beveiligen, is het inzetten van betrouwbare encryptietools in combinatie met authenticatie, waarbij encryptie geen optie is, maar een automatisch proces.

Tom de Jong, Safeboot

Tips

Het lekken van vertrouwelijke gegevens door bedrijven en instanties lijkt vandaag de dag eerder regel dan uitzondering. De meeste incidenten kunnen echter voorkomen worden. Onderzoeksbureau Gartner gaf onlangs vijf tips ter voorkoming van dataverlies en informatielekken:

– Gebruik Content Monitoring en Filtering om te voorkomen dat er per ongeluk informatie uitlekt.

– Versleutel back-uptapes en andere opslagmedia.

– Beveilig werkstations en beperk toegang van thuiscomputers.

– Versleutel informatie op laptops.

– Gebruik Database Activity Monitoring om misbruik door derden te voorkomen.

Bron: www.gartner.com/it/page.jsp?id=495173

Ander onderzoek toonde onlangs aan dat 92 procent van de gebruikers van usb-sticks gevoelige of vertrouwelijke informatie op deze mobiele opslagapparaatjes zet, terwijl slechts 25 procent zegt dat deze informatie automatisch versleuteld wordt opgeslagen. In drie op de vier gevallen is de informatie dus eenvoudig leesbaar voor derden.

Bron: Onderzoek SafeBoot op Infosecurity.NL 2006

    Whitepapers

    Computable.nl

    Regelgeving en zorgplicht helpen organisaties om succesvol en veilig te zijn

    Hoe helpen regelgeving en zorgplicht organisaties om succesvol en veilig te zijn?

    Computable.nl

    Digitalisering die zorg versterkt

    Hoe is de zorg voorbereid op de toekomst, met een hoofdrol voor cloud en connectiviteit?

    Computable.nl

    Actuele cyberdreigingen in kaart gebracht

    Een uitgebreid threat report (2026) met trends, tactieken en risico’s voor complexe IT-omgevingen

    Eén reactie op “‘Beveiliging niet afgestemd op risico’s’”

    Geef een reactie

    Meer lezen

    Footer