Security-leveranciers promoten in toenemende mate hun producten voor dlp (data loss prevention). Cynische ict’ers zien hierin slechts het nieuwste ‘wondermiddel’, maar uiteindelijk gaat beveiliging om het beschermen je data.
Dlp (data loss prevention) is geen vinding van 2009, maar is nu wel de nieuwste trend in security-land. Waar ilm (information lifecycle management) het toverwoord is geworden in de storage-wereld, is dlp de culminatie van diverse beveiligingsmiddelen. Het voorkomen dat je gegevens op straat komen te liggen, is in wezen de taak van alle vormen van beveiliging. Ict-leveranciers zien dan ook een nieuwe markt en de overnames zijn niet van de lucht.
Ook Symantec richt zich op oplossingen voor risicobeheer voor je informatie (information risk management), legt Marcel Snippe van Symantec Nederland uit. Hij is sinds kort de ‘domain expert’ in de Emea-regio (Europa, Midden-Oosten en Afrika) voor dlp. "Ik help klanten nu hoe om te gaan met data, hoe verlies daarvan te voorkomen." Hij vertelt dat het belangrijkste aan dlp is: "Hoe gaan mensen om met data?"
Komt vaker voor
Volgens Snippe komt dataverlies vaker voor dan mensen denken, vaker dan ze wéten. "We hebben ongeveer anderhalf jaar terug een onderzoek gedaan onder cio’s (chief information officers) en ciso’s (chief information security officers). Zij weten wel dat hun organisaties dataverlies hebben, maar niet hoeveel." Dat de ict- en security-directeuren het in ieder geval wéten komt doordat hun organisaties meestal wel informatiebeleid (policies) hebben. Bijvoorbeeld dat bepaalde e-mail alleen voor intern gebruik is. "Denk aan e-mails met spreadsheets." Doorsturen daarvan valt te achterhalen, of is met filtertechnieken op de mailserver meteen al zichtbaar.
Het doorsturen van e-mail hoeft niet eens naar de concurrent te zijn om al schadelijk te kunnen zijn. Soms sturen werknemers informatie door naar hun huisadres of naar een Gmail-account. Vaak vanuit de beste bedoelingen; om thuis (door) te kunnen werken. Feit is dat daarmee bedrijfsinformatie toch buiten komt. En buiten kan minder goed beveiligd zijn. Denk aan de privé-pc van Officier van Justitie Joost Tonino, maar denk ook aan de indexeerkracht van Google – ook voor diens Gmail. "Uit ons onderzoek blijkt dat eén op de vierhonderd berichten die naar buiten gaat, niet naar buiten had gemogen. Dat zijn dus e-mails die vertrouwelijke informatie bevatten."
Meer dan mail
E-mail is niet het enige ‘lek’ voor je data.Snippe legt uit dat dlp echt niet alleen e-mailbewaking betreft. "Het gaat ook om bestanden binnen je organisatie. Waar is data, wie heeft het aangemaakt en wie heeft er toegang toe? Één op de vijftig werknemers heeft toegangsrechten die eigenlijk niet terecht zijn.
"Dat kan komen door het ‘opstapelen’ van rechten; nog uit voorgaande functies binnen hetzelfde bedrijf. Maar het kan ook komen doordat er tijdelijk werk van een collega is overgenomen." Vooral dit toegangsaspect ontgaat veel cio’s en ciso’s. "Als je dat vraagt, krijg je als antwoord: nee joh. Maar als je dan doorvraagt, blijkt er toch wel eens wat mis te zijn."
Dit geldt zeker niet voor alle bedrijven en organisaties in gelijke mate. "Het is afhankelijk van het type klant. Er zijn organisaties die veel te maken hebben met regulering. Zoals financiële instellingen, zeker nu." Dat type heeft de zaken wel op orde. "Daarnaast veranderen klanten nu ook in hun blik op security. Dat is tot op heden erg gericht geweest op de perimeter, de grens met de buitenwereld."
Bedrijfsgeheim
Een bedrijf als Nokia heeft maar zes maanden om de ontwikkelkosten van een nieuw model terug te verdienen.Een ander type klant dat zich goed bewust is van dlp is de zogeheten ip-organisatie; bedrijven die in intellectueel eigendom doen. En dat zijn niet alleen bedrijven die zich bezig houden met ontastbare goederen, zoals informatie. "Denk aan de geheime formule van Coca Cola, maar ook aan fabrikanten van mobieltjes. Die hebben zes maanden de tijd om de ontwikkelkosten van een nieuw model terug te verdienen. Dan duikt de concurrentie erop."
Snippe noemt ook ‘ouderwetse industriële’ bedrijven als Boeing en Caterpillar. Eerstgenoemde kan met een enkele usb-stick honderdduizenden ontwerpdocumenten kwijtraken. En Caterpillar, fabrikant van graafmachines, mijnapparatuur en bouwapparaten, ontwerpt en maakt eigen motoren, vertelt Snippe. Informatie over zo’n motor is dus de kern van dat bedrijf.
Flinke klus
"De meeste bedrijven hebben echter geen idee waar hun vertrouwelijke informatie is. We hebben het over terabytes aan data in totaal." Snippe adviseert dan ook niet om dat ‘even’ op orde te krijgen, dat is een ondoenbaar karwei. "Maar de bron van vertrouwelijke informatie is wel bekend. Ga dan van daaruit indexeren." Hij benadrukt dat het niet alleen om documenten gaat, maar ook om waar informatie wordt opgeslagen, wie daar toegang toe heeft, wat er dan mee gebeurt, en zo verder door de organisatie heen. "Dlp gaat over content én context. Wie maakt data aan, wie wijzigt het, en waar gaat het heen?"
Dan nog is het een flinke klus en perfectie is onhaalbaar, geeft Snippe toe. "Echt honderd procent dlp kan niet: iemand kan altijd een screenshot maken, of een foto met zijn of haar mobieltje. En je hebt natuurlijk altijd nog het hoofd van de werknemer, daarin is ook informatie op te slaan en dat loopt letterlijk naar buiten."
Uit Symantec-onderzoek blijkt dat meer dan vijftig procent van de dataverliesgevallen per ongeluk gebeurt. "Vanuit en voor het werk doen mensen iets wat eigenlijk niet de bedoeling is." Een groot probleem is dat het in het overgrote merendeel schort aan beleid. "In zesennegentig procent van de gevallen zijn er geen policies of houden mensen zich er niet aan." Dat laatste komt in de praktijk neer op hetzelfde als geen beleidsregels hebben voor omgang met informatie. Ok, het geeft wel een bedrijfsmiddel om overtreders aan te pakken, maar het dataleed is dan al geleden.
Onderwijs en melding
"Educatie of in ieder geval notificatie van eindgebruikers is van groot belang." Het eerste is werknemers ervan bewust maken dat er informatiebeleid is, wat die regels inhouden, waar ze betrekking op hebben en vooral het belang ervan. Simpelweg regeltjes opleggen, heeft zelden het gewenste effect.
"Je moet ook niet alleen incidenten waarnemen. Dat vereist alleen maar meer systemen en mensen." Bovendien pak je daarmee niet de oorzaak aan, maar alleen het reeds gebeurde dataverlies. Één van de basiselementen voor dlp is dan ook bewustwording.
Daarvoor is tweede maatregel: notificatie. Dat is een simpelere handeling, die met technische middelen valt te doen. Zorg ervoor dat werknemers een melding krijgen als ze bijvoorbeeld een vertrouwelijke e-mail willen versturen. De melding kan aanslaan op bepaalde sleutelwoorden in het bericht en brengt de eindgebruiker op de hoogte dat dit doorsturen niet mag.
Snippe vertelt dat er bij een bepaalde klant in tachtig procent van de gevallen zo’n melding opdook. "Negentig procent van de werknemers deed dat geen tweede keer." Een simpele notificatie kan dus al veel schelen. "Je moet mensen dan niet meteen bestraffen, het gaat om een leerproces.
Hoe implementeren
Waar moet je dan beginnen om dlp te implementeren? Moet alle dataverkeer via een proxy lopen die eigenlijk een krachtige zoekmachine is? Dat kan de communicatie nogal vertragen én is alleen een oplossing voor contact met de buitenwereld. Volgens Snippe is een dergelijke opstelling wel een optie. "De meeste klanten hebben nu niks. Maar je moet in wezen beginnen met mensen. Log hun gedrag, maar laat het verkeer wel gewoon door. Ga dan kijken wat je eraan kunt doen: training, andere bedrijfsregels, enzovoorts."
Kort samengevat: "Maak eerst policies aan. Log dan de incidenten, dus de schendingen van die beleidsregels. Gebruik die logs om je policies aan te scherpen. Voer dan pas notificaties in, dus meldingen aan eindgebruikers als zij de informatieregels schenden. Doe dat éérst, in plaats van iedereen maar op training sturen." Snippe waarschuwt wel dat je notificaties niet breed en klakkeloos moet inzetten. "Notificaties moet je instellen afhankelijk van welke policy hoe vaak wordt geschonden."
Sommige organisaties zijn al gevorderd op het niveau van dlp. "Als je überhaupt al policies hebt, dan ben je hier al wel mee bezig." Snippe zegt dat dat bij middelgrote en kleine bedrijven vaak niet het geval is, maar bij grote bedrijven wel. "Zeker diegene die met regulering te maken hebben. Die organisaties zijn rijp voor dlp-oplossingen." De verwachting is dat de rest van de markt vroeg of laat ook behoefte aan dlp zal ontdekken.
Informatietypes
Er zijn drie types informatie: klanteninformatie, interne informatie, en ip (intellectual property). "Het eerste zit in je crm-systeem (customer relationship management), maar hoe zit het met de logins daarvoor? In wezen kan elke verkoper van je bedrijf een export doen van die informatie." Toegang tot die gegevens kan beperkt worden door te selecteren op kolommen, adviseert dlp-expert Marcel Snippe van Symantec. Niet iedereen heeft immers inzage nodig in alle crm-data.
Onder interne informatie vallen dossiers van personeelszaken en de afdeling financiën, maar ook gevoelige informatie over fusies en overnames. Daarvoor worden intern vaak codenamen gebruikt, daar valt makkelijk op te filteren. Tot slot is er intellectueel eigendom. "Zoals bij Symantec de broncode van onze producten. En bij Caterpillar de ontwerpdocumenten van hun motoren."
Drie types informatie:
klanteninformatie
interne informatie
ip (intellectual property).
Implementatietips:
maak eerst policies
log incidenten, schendingen van die policies
scherp je policies dan aan, aan de hand van de gelogde incidenten
stel notificaties in, meldingen aan eindgebruikers als ze policies overtreden
doe dat met beleid; afhankelijk van welke policy hoe vaak wordt geschonden
maak werknemers bewust met trainingen, cursussen
Hét probleem
Het voornaamste probleem voor databescherming is dat werknemers niet goed omgaan met het bedrijfsbeleid voor informatie. Dit zegt dlp-expert Marcel Snippe van Symantec. "Of er ís helemaal geen policy."