De gevaren van datalekken : ken uw zwakke plekken
Van de details van de creditkaarten van de klanten, om het aanschuiven aan de online kassa’s te vergemakkelijken, tot aan de personeelsbestanden die essentieel zijn voor de HR afdelingen, berusten de hedendaagse bedrijven op gevoelige data. In tal van opzichten vormen deze de hoofdbestanddelen die de moderne organisaties doen draaien. Als we de ervaring mogen geloven, heeft de volgende grote ramp die ons te wachten staat te maken met databeveiliging.
Lekken en schendingen van data komen alarmerend vaak voor, maar er zijn nog steeds misvattingen over hoe en waarom ze gebeuren. Beelden van criminelen die geheime databases hacken vanuit hun donkere slaapkamer kunnen schering en inslag zijn in de media maar de echte reden waarom gevoelige data openbaar wordt gemaakt is doorgaans ver verwijderd van een typische Hollywood film.
In werkelijkheid kunnen lekken vaak getraceerd worden tot personen in het bedrijf en zijn gewoonlijk het resultaat van een ongeluk of een structurele fout. Het kan gelijk wat zijn: van een gewone menselijke fout tot het omzeilen van de regels in uw bedrijfsnetwerk.
Datalekken, dataschendingen – wat is het verschil ?
Ondanks de grote verschillen tussen de soorten incidenten waardoor data openbaar wordt gemaakt, kunnen we die toch in twee verschillende groepen indelen : datalekken en dataschendingen.
Bij een schending van data moeten de criminelen toegang krijgen tot een server via een kwetsbaarheid of een aanval uitvoeren die zou kunnen vermeden worden, mocht de juiste beveiligingsoplossing aanwezig zijn.
Bij datalekken is het mogelijk dat er in de beveiliging geen breuken zijn. De data kan echter in de verkeerde handen terecht komen wegens een onverantwoorde interne actie of, bijvoorbeeld, de kwaadwillige daden van een boze medewerker.
Het onderscheid tussen datalekken en dataschendingen is niet algemeen. Talloze deskundigen zouden al deze soorten verliezen als dataschendingen aanzien – ten slotte kunnen ze allemaal even schadelijk zijn voor uw bedrijf. Door een onderscheid te maken, kunnen we de problemen ontleden en zo beter begrijpen waarom deze incidenten zich voordoen.
Als het datalekken betreft, welke zijn dan de belangrijkste zwakke plekken die moeten onderzocht worden ?
Menselijke fout
Ongeacht wat u geïnvesteerd hebt in een beveiligingsoplossing, de menselijke fout is het enige waarvoor er niet altijd een gepaste oplossing bestaat. Volgens een enquête van PWC 2015 Information Security Breaches Survey, werden vorig jaar 50% van de ergste schendingen veroorzaakt door onopzettelijke menselijke fouten.
Enkele maanden geleden moest de Federal Deposit Insurance Corp. het puin ruimen nadat een werknemer opstapte met een USB stick met persoonlijke informatie van 44.000 klanten (USB drive containing the personal information of 44,000 customers ). Later vond men dat de data “onopzettelijk was gedownload, zonder kwaadwillige bedoelingen”.
In een commentaar over de resultaten van een enquête uit 2014, bevestigde David Harley, senior research fellow bij ESET, dat de interne bedreigingen niet altijd als kwaadwillig moeten aanzien worden.
Harley zei : “Een groot deel van de beveiligingsinbreuken worden veroorzaakt – rechtsreeks of onrechtstreeks – door mensen in het bedrijf. Het is al dan niet een menselijke fout, een probleem van social engineering, verkeerde beslissingen in beveiliging, enz. Ik ben niet overtuigd dat opzettelijk kwaadwillige daden van insiders zwaarder doorwegen dan al de andere factoren.”
De gezegde ‘missen is menselijk’ wil niet zeggen dat men niets kan doen om dergelijke datalekken te voorkomen. Volgens de enquête van PWC uit 2015, zeggen 33% van de grote bedrijven dat de verantwoordelijkheid voor databeveiliging niet duidelijk is, terwijl 72% van de bedrijven waar de beveiligingsprocedures niet goed begrepen werden, met personeel-gerelateerde dataschending te maken kregen.
Ervoor zorgen dat alle medewerkers “cyber-bewust” zijn en dat de verantwoordelijkheid voor de veiligheid van de netwerken niet uitsluitend op een paar specialisten berust, zal dure fouten tot een minimum herleiden.
Diefstal
Hoe graag we u zouden vertellen dat data slechts door criminelen wordt gestolen, kan diefstal binnen het bedrijf ook voorkomen. De Britse communicatieregelaar OFCOM kwam het dit jaar te weten toen het te horen kreeg dat een ex-medewerker over een periode van zes jaar heimelijk data van derden had verzameld.
De regelaar wist slechts van de lek toen de ex-werknemer de data aan zijn nieuwe werkgever wilde overmaken. Deze verwittigde OFCOM over de kwaadwillige daad.
Geen enkele organisatie wenst zijn medewerkers te verdenken, maar dergelijke datalekken kunnen voorkomen worden door onnodige risico’s te vermijden. Als gevoelige documenten betrokken zijn, zorg ervoor dat alleen zij die deze documenten nodig hebben er toegang toe krijgen. Al de data van uw bedrijf op een gemeenschappelijke reuze-server bewaren is nooit een goed idee.
Toegangsmisbruik
Zelfs als de bedoelingen van de medewerkers niet kwaadwillig zijn, kunnen ogenschijnlijk kleine daden de veiligheid van het IT-netwerk ondermijnen en tot datalekken leiden.
Volgens een rapport van Cisco 2014 report by Cisco, gaven nagenoeg een kwart van de ondervraagde medewerkers toe dat ze gevoelige informatie delen met vrienden, familie of zelfs vreemden en bijna de helft deelde, zonder toezicht, apparatuur van het werk met mensen van buiten de organisatie.
Een dergelijk gedrag kan onschuldig lijken maar zo komt gevoelige data buiten de controle van het bedrijf. Veiligheidsparameters en regels kunnen ingevoerd worden om deze daden in te perken maar deze maatregelen kunnen meestal omzeild worden.
Nu we de drie belangrijkste zwakke plekken geïdentificeerd hebben, vraagt u zich wellicht af welke maatregelen u kunt nemen om deze te versterken? Lees onze recente post Digital patch kit: How to protect yourself from data leaks, met de praktische hulp die uw bedrijf nodig heeft.