Dat is toch niet waar? Gegevens worden toch wel degelijk gestolen? Wat ik met de titel wil aangeven is dat je het wel gelijk merkt als je auto gestolen wordt, maar dat je het niet gelijk merkt als gegevens worden gestolen totdat de data misbruikt wordt. En dan is het te laat…
Organisaties leggen vaak de nadruk, ook wat betreft investeringen, op de ‘outsider threat', maar als het gaat om het voorkomen van het stelen van gegevens is de ‘insider threat' eigenlijk net zo groot! Medewerkers hebben vanzelfsprekend toegang tot gegevens die ze nodig hebben om hun werk te doen, maar daar liggen ook de risico's. Het probleem is dat er een groot gat zit tussen de gewenste (management-)informatie die nodig is om deze risico's goed te kunnen beheersen en de informatie die er, vanuit de (ict-)systemen kan worden aangeleverd. Als ik met security officers praat krijg ik regelmatig voor de hand liggende vragen als ‘Wij zouden willen weten wie bepaalde gegevens wanneer heeft opgevraagd' of ‘Ik zou nu willen weten wie er als Windows Administrator werkt op mijn systemen en wat hij of zij aan het doen is'. Een ieder die wel eens in de Windows-eventlogs heeft gekeken weet dat het beantwoorden van deze laatste vraag op grond van de informatie die in de Windows-audit trail staat niet eenvoudig is. Wat ik soms zie is dat er, omdat de ‘echte' oplossing nog niet bestaat, de (soms beperkte) informatie die beschikbaar is, dan maar helemaal niet wordt gebruikt (‘We archiveren de Windows-eventlogs niet want daar staat toch niet in wat we nodig hebben'), maar totdat betere oplossingen beschikbaar komen is dat wel de informatie waarmee gewerkt zal moeten worden. Een evenwichtigere investering tussen de ‘outsider' en de ‘insider threat' in combinatie met het uitnutten van beschikbare informatie maakt deze risico's wel beter beheersbaar!
