‘Waarschuwen is voorbij, we gaan handhaven‘ Dit was de kop van een artikel in de Computable. De AP kondigt hier aan dat men zich in 2019 meer gaat richten op handhaving. Nu bedrijven en organisaties beter bekend zijn met de AVG (Algemene Verordening Gegevensbescherming) zullen ze bij privacyschendingen en datalekken vaker beboet worden
Wat is de relatie tussen de AVG en IT-Security? Het verwerken van persoonsgegevens wordt steeds meer geautomatiseerd en dat heeft invloed op de informatiebeveiliging. Heeft u goed gedocumenteerd hoe u de gegevens beveiligt? Alle mogelijke maatregelen moeten zijn getroffen om kwetsbaarheden en datalekken te voorkomen. Zo is het bijvoorbeeld al vervelend genoeg wanneer een laptop uit uw auto wordt gestolen, maar als deze laptop niet versleuteld is en er staan persoonsgegevens op, dan is er formeel sprake van een datalek. In het algemeen geldt: Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. Bijvoorbeeld voor identiteitsfraude.
Volgens de AVG moeten bedrijven en overheden hiervoor passende technische en organisatorische maatregelen nemen:
- Organisaties moeten moderne technieken gebruiken om persoonsgegevens te beveiligen.
- Verder moeten ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?
Bij wat voor soort incidenten ontstaan er nu datalekken? Er zijn feitelijk drie categorieën van oorzaken van incidenten.
- Goed bedoeld gebruik: Het merendeel van de incidenten wordt veroorzaakt door vergissingen van de eindgebruikers of doordat gebruikers onvoldoende op de hoogte zijn van het beleid of gewoon onhandige bedrijfsprocessen die het risico op een datalek impliciet verhogen
- Interne kwaadwillenden: Vaak het meest lastige om aan te pakken. Het meest bekende voorbeeld: als een medewerker van plan is om de organisatie te verlaten, hij of zij al bezig is om data te verzamelen om mee te nemen.
- Bedreigingen van buitenaf: Cybercriminelen die middels gerichte aanvallen op organisaties persoonsgegevens proberen buit te maken voor geldelijk gewin. Maar ook generieke ransomware aanvallen kunnen leiden tot een datalek.
Voorbeelden van incidenten uit categorie 1) zijn: gebruikers die per ongeluk een bestand met persoonsgegevens sturen naar een verkeerd email adres. Of gebruikers die bestanden met gevoelige informatie delen via We-transfer, dropbox etc, maar dit conform het beleid eigenlijk niet mogen. Of een medewerker die zijn laptop kwijtraakt en waarvan zijn/haar harde schijf niet is versleuteld. Of tot slot een interne medewerker die een overzicht genereert van alle medewerkers en deze exporteert naar Excel. Dit Excel bestand wordt vervolgens opgeslagen op een share waar ook andere medewerkers bij kunnen, die vanuit hun functie niet bij het bestand zouden moeten kunnen komen. Deze medewerkers zijn toch nieuwsgierig en raadplegen het bestand.
Voorbeelden van incidenten uit categorie 2) zijn: Een medewerker die van plan is naar de concurrent over te stappen en besluit om de klantendatabase te kopiëren en te versturen naar zijn privé cloud omgeving. Een interne medewerker die onder invloed staat van criminele organisaties besluit om gegevens door te sluizen naar deze organisaties, zodat zij er hun voordeel mee kunnen doen.
Voorbeelden van incidenten uit categorie 3) zijn: Medewerkers die in een al of niet gerichte phishing mail trappen en daardoor een cybercrimineel de gelegenheid geven om binnen te dringen in het netwerk van de organisatie en data te stelen. Of doordat er op een link wordt geklikt in de mail, er cryptoware wordt uitgevoerd op de werkplek van de gebruiker en er bestanden worden versleuteld. Of cybercriminelen breken in webapplicaties in door gebruik te maken van kwetsbaarheden en daardoor rechtstreeks in de database met persoonsgegevens kunnen komen.
Aanpak: Grip op data (opslag, delen en gebruik)
Hoe krijgen we nu meer grip op onze data waardoor de kans op datalek incidenten sterk zal afnemen. Ik wil hiervoor een aanpak voorstellen die weergegeven is in de volgende figuur:

Visibility:
Bij visibility gaat het om het vinden van de antwoorden op de volgende vragen:
- Welke persoonsgegevens worden verwerkt binnen mijn organisatie en binnen welke processen?
- Waar is/wordt deze informatie opgeslagen?
- Voor wie is deze informatie toegankelijk?
- Met wie wordt deze informatie gedeeld (intern en extern)?
Classification:
Bij classificatie gaat het om de volgende aspecten:
- Hoe kan ik de informatie classificeren, waarbij ik recht doe aan de vertrouwelijkheid van de gegevens, aan een efficiënte verwerking binnen de processen en waarbij de gebruikers er geen omkijken naar hebben?
- Ben ik in staat om de nu opgeslagen informatie te vinden en te classificeren?
Protection, Detection & Response
Hierbij gaat het om de volgende aspecten:
- Ben ik in staat om het transport van gevoelige informatie te monitoren?
- Ben ik in staat om gebruikers te behoeden voor het maken van vergissingen (incidenten van categorie 1)?
- Ben ik in staat om kwaadwillende interne gebruikers op te sporen door afwijkend gedrag te analyseren en snel en effectief te detecteren (incidenten van categorie 2)?
- Ben ik in staat om aanvallen die tot doel hebben om persoonsgegevens te stelen, op een effectieve wijze te detecteren in iedere fase van een dergelijke aanval?
- Ben ik in staat om organisaties te beschermen tegen ransomware aanvallen door ze snel te detecteren voordat ze schade kunnen berokkenen?
Recovery:
Hierbij gaat het om de volgende aspecten:
- Ben ik in staat om de data weer snel en geautomatiseerd te herstellen?
- Ben ik in staat om via forensisch onderzoek te achterhalen wat er exact heeft plaatsgevonden?
- Wat doe ik om te leren van incidenten?
Conclusie:
Veel IT Security verbetertrajecten worden ingezet voor met name de verbetering van de beveiliging van het netwerk, de toegang en de gangbare virusaanvallen. Echter voor de AVG is meer nodig. De AVG vereist een meer Data Centric benadering van beveiliging. De data staat immers centraal en de locatie van de data is niet altijd eenduidig vast te stellen. Een data centric security benadering vereist dat de hiervoor geschetste aanpak in één logische data security architectuur is beschreven en conform deze aanpak is geïmplementeerd. Ik heb veel ervaring met dergelijke projecten (al meer dan 10 jaar inmiddels) en wil graag deze ervaring met u delen en vervolgens met welke architectuur u dit vraagstuk het beste kunt oppakken.