De betrouwbaarheid van onze gegevens ligt onder vuur. Nieuwe dreigingen en veranderende verwachtingen vereisen een betere it-architectuur.
Gegevens zijn de kroonjuwelen van een organisatie en de brandstof waar de moderne economie op draait. Ze moeten koste wat het kost worden beschermd. Tegelijkertijd vereist de manier waarop we werken en in de toekomst willen blijven werken, meer dan ooit dat we die gegevens delen. Maar terwijl die datamobiliteit een grote vlucht neemt, blijven de controlemechanismen waarmee we die gegevens beschermen duidelijk achter. We vertrouwen daarvoor op traditionele methoden – een bijeengeraapte verzameling oplossingen die zo complex is geworden dat ze bijna meer risico’s oproepen dan wegnemen.
Op dit moment is het nog steeds schandalig simpel om gegevens kwijt te raken, of het nu door een directe aanval is, bij vergissing, of door nalatigheid. Een aantal van de meest voorkomende problemen:
- Verlies of vernietiging van ‘endpoints’ (laptops, smartphones, tablets, et cetera);
- Gebruik van tools voor samenwerking en bestandsdeling die eigenlijk voor consumenten bedoeld zijn;
- Bestandsoverdracht via onbeveiligde media, zoals bijvoorbeeld usb-sticks;
- Gebruik van persoonlijke mailaccounts voor gevoelige informatie;
- De menselijke factor: social engineering, phishing, malware et cetera.
Technology sprawl
Laten we eens kijken hoe een typische onderneming tegenwoordig in elkaar zit. Wat je vaak ziet, en ongetwijfeld zult herkennen, is ‘technology sprawl’. Application sprawl; network sprawl; cloud sprawl; een ongebreidelde groei van diensten die we afnemen uit allerlei clouds en die moeten samenwerken met allerlei ‘legacy’ toepassingen waar de onderneming niet zonder kan en die in veel gevallen ergens in de afgelopen 25 jaar binnenshuis ontwikkeld zijn.
Het resultaat is een mix van persoonlijke en zakelijke gegevens, die verspreid is over een kluwen van apparaten en locaties. Van wat we vroeger de ‘perimeter’ noemden (de gracht rond het spreekwoordelijke kasteel waarin it alle controle had) is in feite weinig tot niets meer over. Het antwoord dat daar tot nu toe vanuit it op is gekomen, is een combinatie van lapmiddelen die bestaat uit een brede waaier van nieuwe security producten, die elk hun eigen beleidsregels, mogelijkheden en beperkingen hebben. Wat dat vooral oplevert is meer complexiteit, meer kansen voor aanvallers en minder controle voor it. Samen betekent dit dat het gevaar alleen maar groter wordt.
Alsof dat nog niet erg genoeg is, krijgen organisaties nu ook nog overheden achter zich aan, met in Nederland de huidige meldplicht datalekken en vanuit de EU de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend als de GDPR) in het vooruitzicht.
Nachtmerriescenario
Het Ponemon Instituut heeft in opdracht van Citrix een wereldwijd onderzoek gehouden:
- 64 procent van de respondenten gaf aan dat hun organisatie geen oplossing heeft voor het risico van onbeheerde gegevens (gegevens die bijvoorbeeld op usb-sticks worden gezet, die met derden worden gedeeld, of die niet voorzien zijn van een houdbaarheidsdatum);
- 79 procent van de respondenten maakt zich zorgen over verlies van kostbare gegevens;
- 52 procent van de respondenten denkt niet dat hun organisatie beschikt over de centrale controle- en rapportagemethoden voor gegevensbescherming die de wet vereist
Het nachtmerriescenario voor gegevensverlies is misschien nog wel enger dan diefstal voor financieel gewin. De volgende dreiging is de inzet van gegevens als wapen voor spionage, afpersing en chantage. Bruce Schneier noemde het concept van het ongewenst openbaar maken van informatie ‘Organizational Doxing‘: ‘Organisaties worden steeds vaker gehackt, en dan niet door criminelen die creditcardnummers of andere gegevens willen misbruiken voor fraude, maar door mensen die er alleen maar op uit zijn zoveel mogelijk informatie te stelen om het te kunnen publiceren.’
Een senaatscommissie voor de Amerikaanse strijdkrachten schreef het volgende in hun ‘Worldwide Threat Assessment of the US Intelligence Community‘: ‘Het grootste deel van de openbare discussie over cyberdreigingen concentreert zich op de vertrouwelijkheid en beschikbaarheid van informatie. Cyberspionage ondermijnt vertrouwelijkheid; DoS aanvallen en gegevensvernietiging ondermijnen de beschikbaarheid. In de toekomst is het echter mogelijk dat we ook meer cyberoperaties gaan zien waarin informatie veranderd of gemanipuleerd gaat worden om de integriteit (de nauwkeurigheid en betrouwbaarheid) in diskrediet te brengen, in plaats van de informatie te verwijderen of de toegang ertoe te blokkeren. De besluitvorming van hogere regeringsfunctionarissen (zowel burgerlijk als militair), zakelijke leidinggevenden, investeerders en anderen wordt gehinderd als ze niet langer kunnen vertrouwen op de informatie die ze ontvangen.’
Ontwikkelingen tegengaan
Als we deze ontwikkeling willen tegengaan, zullen we de manier waarop we met onze gegevens omgaan moeten herzien. Dan moeten we op zoek naar een architectuur die beter bestand is tegen dit soort misbruik; een ontwerp dat vanuit de basis is opgezet om gegevens zo goed mogelijk te beschermen. Een dergelijk ontwerp moet in elk geval voldoen aan de volgende vereisten:
- Centraal beheer van gegevens – geen gegevens op de endpoints;
- Gegevens op mobiele apparaten versleutelen en in containers;
- Contextgevoelige controle op toegang tot gegevens;
- Toegang en controle op bestandsniveau voor gegevens in beweging (dlp en irm – data loss prevention en information rights management);
- Ruimte voor samenwerking om gegevens te beschermen met best-in-breed oplossingen.
In de kern gaat het erom dat we toewerken naar een oplossing die aan de ene kant de controle teruggeeft aan it, terwijl we aan de andere kant een optimale gebruikservaring leveren. Uiteindelijk wil iedereen graag zo efficiënt mogelijk kunnen werken. Als veilig werken betekent dat gegevens uitwisselen lastiger wordt, jagen we gebruikers vanzelf naar makkelijkere, maar meer kwetsbare oplossingen. Shadow it ontstaat waar gewone it niet voldoet. Ook daar ligt een verantwoordelijkheid waarop it en de organisatie mogen worden aangesproken.
Veel schaduw-it ontstaat door geen of gebrekkig inzicht in de eigen business prcessen ( organisatie) en in de it-processen. Is een teken des tijds aan het worden, geen tijd om je te verdiepen, dan maar zelf wat uitvinden, dat snapt je altijd. Maar een ander?
Wat is er mis met een kopietje van de productie database even op OneDrive te zetten om thuis weer op te halen zodat je verder kan met die ene query?
@Andreas,
Goed artikel. Alleen de term gegevens zou je moeten aanpassen. Wat je bedoelt zijn de gegevens (gegeven feiten) die informatie zijn. De gegevens, die betekenis hebben, dus. Dan word je artikel echt krachtig.
@Jos
Bedrijfsprocessen zijn niet de panacee waar alles thuishoort. En dan maar een grotere chaos maken? Ik neem aan dat je dit cynisch bedoelt.
@Johan
Daar is alles mee mis. Ten eerste kopieer je bedrijfsgevoelige informatie naar een plaats waar anderen bij kunnen. Ten tweede ga je van zo’n “open” plaats gegevens bewerken om informatie te krijgen, en die informatie heb je dan alleen thuis op je eigen hardware? Informatie die dus interessant kan zijn voor derden. Hier zou de verantwoordelijke voor jullie (IT) veiligheid stevig bezwaar tegen moeten hebben.
Afgezien van het gedeeltelijke commerciele gehalte van het artikel, een enorme, al oudere, waarheid. De beveiliging van data en toch het behoud van de toegankelijkheid daarvan. In het oog van de tal van commerciele hypes, security issues, politiek, individueel professioneel onvermogen, ‘waakzaam oog’ van netiteiten zoals NSA en de overheden, denken dat uw data veilig zou zijn in deze constellatie, Forget it! Dream on!. Het grootste probleem blijven commercie en politiek, naast nog drie anderen, die telkens weer ten grondslag liggen aan ernstige fouten en intrusion.
Overigens moet u om die enkele hacker helemaal niet zo bezorgd zijn, de gevaren van binnenuit, zijn namelijk vele malen groter. Als hier wordt gesteld dat de controle weer terug gegeven zou moeten worden aan IT, vraag ik me af wie er de ‘idioot’ is geweest die de controle van de IT uit handen heeft gegeven. It proves my point.
Als mensen onverwacht onwenselijk gedrag vertonen (en dus data op een usb/laptop zetten om verder te werken of zo), dan moet je je eerst afvragen WAAROM ze dat nu steeds doen ipv weer alles a la spinxter dicht te knijpen. Mensen vinden ‘IT hoepels’ niet prettig als ze op output aangestuurd en beoordeeld worden. daarnaast is digitaal niet altijd efficiënter blijkt regelmatig en is alles wat centraal en digitaal is vaak een grotere ‘worst’ voor hackers dan papieren dossiers in een brandkast. Efin, niet meteen de alles dicht en procedure stuiptrekking doen en vraag je af wat werkzame menselijk alternatieven zijn waarbij geld wat jij als architect/IT’er vindt hoeft nog niet zo ervaren en gevonden worden door die mensen die daadwerkelijk het werk via andere aanstuurders moeten doen!
@Swa: de waarom vraag is op zich niet verkeerd, maar wat ik vooral mis is het bewustzijn bij mensen enerzijds, en het lef om “nee” te zeggen anderzijds.
Er zijn goede redenen waarom dingen afgeschermd zijn, niet geacht worden het pand te verlaten enz enz. Wie ben jij als werknemer om te stellen dat die regels voor jou niet van toepassing zijn?
Als jouw manager graag wil dat jij in je eigen tijd door werkt aan vertrouwelijke gegevens, maak het dan ook zijn/haar probleem om daarin te faciliteren.
“Als jouw manager graag wil dat jij in je eigen tijd door werkt aan vertrouwelijke gegevens, maak het dan ook zijn/haar probleem om daarin te faciliteren.”
Doe die poging eens en merk de asymmetry in machts verhoudingen. jouw promotie kansen hangen helaas af van de goodwil van je leidinggevende en als die de indruk heeft dat je je niet 110% inzet above and beyond, tja….dan gaat hij/zij zich ook niet voor jouw helemaal inzetten he? dus gaat er schaduw it zijn en bochten gesneden worden en een data lek kan dan het gevolg zijn. dus nogmaals, de vraag waarom was een retorische vraag en toont eerder een gevolg van iets aan dan het een start punt was.
Met jouw voorstel ‘nee’ tegen werknemers te zeggen, maar geen ‘nee’ naar de baasjes, zet jij die werknemers extra onder druk vanuit de IT die er toch bedoeld was om te ondersteunen? Je moet dan niet raar kijken als ze dan ‘om IT heen’ gaan.
Ik ben het dus niet oneens met je dat er een ‘nee’ gezegd moet worden, maar doe dat wel aan de juiste tafel waar het effect heeft, bij de daadwerkelijke bron en doe dat niet over de ruggen van de gewone werknemers die eigenlijk indirect aangestuurd worden wel IT regels te overtreden. dat is alleen maar dwijlen met een kraan open dan en daarmee maak je de IT een stress factor voor de rest!
Maar wat zijn de oorzaken? Men vertrouwt te veel en denkt onvoldoende over implicaties en risico’s. Men verwart consumer IT met corporate IT. Onvoldoende training en bewustmaking over het belang van gegevens en hoe er mee om te gaan. Men plaatst de ‘klantentevredenheid’ hoger dan de eigenschappen van de IT systemen. Als men dan toegeeft aan vragen van de ‘business’ (die leek zijn op het vlak van IT, informatie, systemen,…) dan kan men wel eens de hele softwarecomponent van het bedrijf ondermijnen, en dus ook de eigen positie (die van IT).
@Andreas,
Goed artikel. Alleen de term gegevens zou je moeten aanpassen. Wat je bedoelt zijn de gegevens (gegeven feiten) die informatie zijn. De gegevens, die betekenis hebben, dus. Dan wordt je artikel echt krachtig.
@Jos
Bedrijfsprocessen zijn niet de panacee waar alles thuishoort. En dan maar een grotere chaos maken? Ik neem aan dat je dit cynisch bedoelt.
@Johan
Daar is alles mee mis. Ten eerste kopieer je bedrijfsgevoelige informatie naar een plaats waar anderen bij kunnen. Ten tweede ga je van zo’n “open” plaats gegevens bewerken om informatie te krijgen, en die informatie heb je dan alleen thuis op je eigen hardware? Informatie die dus interessant kan zijn voor derden. Hier zou de verantwoordelijke voor jullie (IT) veiligheid stevig bezwaar tegen moeten hebben.