Een kader voor beveiligingstechnologie-cohesie in het tijdperk van AVG

Op dit moment proberen kwaadwillende partijen het netwerk van uw organisatie binnen te dringen. Cyberaanvallen zijn in Nederland aanzienlijk en nog altijd neemt de digitale dreiging toe. De kosten van een datalek kunnen behoorlijk in de papieren lopen. Nu in Nederland de Autoriteit Persoonsgegevens (AP) er aanzienlijke boetes aan toevoegt zullen de kosten alleen maar oplopen. In dit artikel wordt een kader voorgesteld om ervoor te zorgen dat aanvallen op een AVG-bewuste manier worden aangepakt, om boetes tot een minimum te beperken, de kosten vanwege een datalek te verlagen en uiteindelijk persoonlijke informatie beter te beschermen.

Toen de deadline in mei 2018 naderde moesten veel organisaties haast maken om op tijd compliant te zijn. Inmiddels hebben de meeste organisaties inzicht in de manier waarop ze aan de AVG (GDPR) moeten voldoen en begrijpen welke gevolgen datalekken op hun bedrijf kunnen hebben. De beproefde triade van ‘mensen, processen en technologie’ heeft organisaties geholpen in het naleven van de AVG. Maar zijn organisaties te midden van dit alles die derde factor, ’technologie’, uit het oog verloren? Hoe kunnen organisaties in lijn met de AVG aanvallen zo goed mogelijk opsporen en – meest belangrijk – reageren op aanvallen? En moeten organisaties bestaande cybersecurity tools rigoureus vervangen?

De meeste hackers zijn op zoek naar persoonlijke informatie – en dat is precies de reden waarom de AVG is ingevoerd: om de persoonsgegevens van elke consument te helpen beschermen. Er zijn zelfs aanwijzingen dat de AVG ervoor zorgt dat persoonlijke informatie nog waardevoller wordt op het dark web. Met meer geld dat op het spel staat, valt aan te nemen dat kwaadwillende nog harder zullen proberen toegang te krijgen tot privégegevens – AVG of niet.

Individuele rechten en de veiligheid van persoonsgegevens staan centraal in de AVG. Met als doel:

”…harmonisering van de wetgeving inzake gegevensbescherming in heel Europa, bescherming en versterking van de privacy van alle EU-burgers en herziening van de manier waarop organisaties in de hele regio met de privacy van gegevens omgaan.”

Organisaties over de hele wereld moesten hard aan de slag om aan deze nieuwe regelgeving te voldoen. Maar GDPR heeft een precedent geschapen: andere regeringen over de hele wereld kijken naar het voorbeeld van GDPR en kiezen voor een soortgelijke aanpak. GDPR zou kunnen worden beschouwd als een wereldwijde norm, niet alleen een Europese.

Zoals bekend zijn de sancties voor schending van de AVG – het verlies of misbruik van gegevens – aanzienlijk. Van het bijhouden van gegevens, individuele rechten op toegang tot, het verwijderen of overdragen van gegevens, beveiligings- en beveiligingslekmeldingen, vereist de AVG dat organisaties hun mensen voorbereiden en nieuwe processen invoeren. In organisaties in heel Europa en de rest van de wereld zijn opleidingsprogramma’s voor het personeel en nieuwe processen voor het bijhouden van gegevens ingevoerd. Maar bij het voldoen aan nieuwe regelgeving worden de technologische aspecten overschaduwd. Ik pleit voor een kader voor het opnieuw toepassen van technologieën voor beveiligings- en gegevensbescherming – niet om te zorgen dat een bepaalde leverancier meer producten verkoopt, maar om te waarborgen dat gegevens op solide wijze worden beschermd met de technologie waarover het al beschikt.

Voordat we ons bezighouden met de technologische aspecten van gegevensbescherming en de AVG, wil ik eerst de beste manieren van werken, zowel voor mensen als voor het proces nog eens te herhalen.

Heeft u een gegevensbeschermingsfunctionaris?

Volgens de AVG moet elke organisatie die een overheidsautoriteit is en als kernactiviteit het op grote schaal toezicht houden op personen heeft of het verwerken van grote hoeveelheden gevoelige gegevens, een functionaris voor gegevensbescherming (FG) aanstellen.

Een FG bevindt zich op het kruispunt van bedrijfsprocessen, IT-systemen en beveiliging – dus hij of zij moet beschikken over specialistische vaardigheden en expertise en betrokken zijn bij gegevensbeschermingsvraagstukken. Hij of zij moet een grondige kennis van de AVG hebben om ervoor te zorgen dat een organisatie aan de eisen kan voldoen. De AVG benadrukt dat de FG een onafhankelijke stem heeft binnen de organisatie.

Natuurlijk zal een FG op een aantal manieren met het IT-team moeten samenwerken om toezicht te houden op de AVG-vereisten, en op het verzamelen van gegevens en informatie over verwerkingsactiviteiten. Zij moeten gezamenlijk effectbeoordelingen uitvoeren voor de gegevensbescherming van nieuwe projecten waarin persoonlijke informatie verzameld en gebruikt wordt. Tot slot moeten de FG en het verantwoordelijke IT-team zorgen voor een centraal punt van communicatie en bemiddeling in geval van een datalek. Wanneer er zich een datalek voordoet is het van cruciaal belang dat er melding wordt gedaan aan de relevante toezichthouders en autoriteiten, in Nederland de Autoriteit Persoonsgegevens.

Hoewel een FG niet verantwoordelijk is voor verdedigingsmechanismen van informatiebeveiliging, moet hij wel op de hoogte zijn van de werking ervan. Dat wil zeggen welke informatie en gegevens verstrekt moeten worden in het geval van een datalek.

Proces: ken uw gegevens

Voor de meeste organisaties was het in kaart brengen van gegevens een belangrijk onderdeel van hun AVG-aanpak – het vaststellen waar, waarom en hoe persoonsgegevens worden gebruikt en het elimineren van onnodige gegevensverwerking. Zodra deze huishoudelijke taken zijn voltooid, heeft elke organisatie een basis die ervoor zorgt dat veilig beleid en processen op orde zijn.

De inventarisatie van persoonsgegevens en het rationalisatieproces die hieruit voortvloeien zijn belangrijk voor het ontwerpen van de beveiligingsmechanismen die nodig zijn om uw gegevens te beschermen. Omdat de FG in staat is om de locatie en toepassing van persoonsgegevens te lokaliseren, kan hij de beveiligingsprocessen en -technologieën ontwerpen en implementeren die ingezet moeten worden.

Technologie: organisaties moeten bijblijven.

Tenslotte, technologie. Omdat geen enkel product of combinatie van beveiligingsoplossingen naleving van de AVG kan garanderen, zijn er vier gebieden die extra aandacht verdienen bij het ontwerpen van een AVG-beveiligingsstrategie. Door op elk van deze gebieden de juiste beveiligingstechnologie toe te passen, kunnen IT-teams en de FG samen het risico van cyberaanvallen controleren:

Toegang

Netwerktoegangscontrole (NAC = Network Access Control) moet tenminste de authenticatie van een gebruiker of device bieden. Nu mobiele toegang de norm is en Internet of Things-apparaten zoals camera’s, verkoopautomaten, medische apparatuur en nog veel meer apparaten verbinding met het netwerk maken, is een stap verder gaan dan alleen het valideren van toegangsgegevens de enige manier om te zorgen dat juiste toegang wordt gehandhaafd. Het volgende niveau is strikte controle over wie en wat bevoegd is om toegang te krijgen tot IT-middelen, inclusief persoonlijke informatie.

Met behulp van geavanceerde NAC weet het IT-team waar de persoonsgegevens zich bevinden. Zij kunnen NAC gebruiken om te bepalen wie recht heeft op toegang tot die informatie en onder welke omstandigheden. In een ziekenhuis kunnen verpleegkundigen en artsen bijvoorbeeld wel toegang tot patiëntendossiers hebben, maar financieel personeel of hartmonitors niet. Dit betekent dat bij de toegang tot het netwerk het aanvalsoppervlak wordt verkleind.

In een ideale wereld bieden NAC- en policy management oplossingen de mogelijkheid apparaten op te sporen, rolgebaseerde toegang tot IT-middelen en een ‘closed loop’, op policy gebaseerde aanvalrespons. Voor volledig gebruiksgemak moet het ook naadloos integreren met bestaande netwerkinfrastructuur, perimeterbeveiligingssystemen en service- en support.

Waarborging

Het volgende beschermingsniveau is afhankelijk van de veiligheid van de onderliggende netwerkinfrastructuur. Als gegevens gemakkelijk van het netwerk kunnen worden overgeheveld naar normale dagelijkse bedrijfsactiviteiten en -processen, neemt de kans op een datalek toe.

Technologieën zoals manipulatiebestendigheid van apparatuur, encryptie, sleutelbeheer en veilig netwerkbeheer zijn hierbij van cruciaal belang voor de algemene beveiligingsstrategie.

Detectie

Het hebben van een securitybeleid voor het geval dat een datalek zich voordoet, is een pragmatische benadering van de realiteit dat geen enkele organisatie iedere aanval kan stoppen. Er is een plan nodig voor wanneer er iets door de mazen van het net glipt. Voorkomen is natuurlijk beter dan genezen, maar vroegtijdige detectie is een goede tweede. Er zijn verschillende technologieën en producten verkrijgbaar die aanvallen opsporen voordat ze schade aanrichten.

Het oude model van traditionele verdedigingsmechanismen ter beveiliging is gebaseerd op patroonherkenning, regels en handtekeningen om malware en andere bedreigingen op te sporen. In de meeste gevallen zijn producten die van deze technieken gebruik maken effectief. Maar wat moet veranderen is de manier waarop ze samenwerken met bestaande technologieën: nieuwe tools moeten naadloos integreren met wat al aanwezig is.

Toch zijn er steeds meer aanvallen die specifiek gericht zijn op het doorbreken van deze traditionele verdedigingsmechanismen. Omdat deze exploits bijna altijd resulteren in het verlies van persoonlijke informatie (en vaak ook in een snelle verkoop op het Dark Web) zijn nieuwe methoden van aanvalsdetectie noodzakelijk. Bij een groot aantal datalekken wordt bijvoorbeeld gebruik gemaakt van geldige toegangsgegevens, wat betekent dat phishing-aanvallen en sociaal forensisch onderzoek een van de grootste risico’s vormen. Het resultaat is dat de kwaadwillende partij legitieme toegangsgegevens gebruikt om een aanval uit te voeren die dagen, weken of zelfs maanden kan duren om te ontsluieren. Hoe stop je een ‘aanval’ waarvoor geldige toegangsgegevens worden gebruikt om informatie over te hevelen waarbij de gebruiker een geldige reden heeft om toegang te krijgen?

Omdat dit tot nu toe onbekende aanvallen zijn, heeft het geen zin om op zoek te gaan naar een handtekening of patroon om ze op te sporen. Dit betekent dat IT- en beveiligingsteams een extra niveau van monitoring introduceren die een aanvulling vormt op bestaande verdedigingsmechanismen dat gebruik maakt van nieuwe vormen van aanvalsdetectie, zoals machine learning om kleine gedragsveranderingen op te sporen waaruit blijkt dat er een aanval heeft plaatsgevonden. Acties kunnen variëren van het vereisen van herauthenticatie of quarantaine om toegang tot het netwerk volledig te blokkeren.

Machine Learning kan een ‘risicoscore’ vaststellen op basis van de kenmerken van verdacht gedrag en hoe deze kenmerken verschillen van de norm. Dit helpt organisaties bij het prioriteren van hun middelen en het onderzoeken van verdachte aanvallen voordat ze schade aanrichten.

Respons

De AVG-eisen voor het melden van datalekken zijn zeer duidelijk als het gaat om wat een organisatie moet doen wanneer zich een inbreuk op persoonsgegevens voordoet. Hiertoe behoren het informeren van de toezichthouder binnen 72 uur na het ontdekken van het lek en het informeren van de betrokken personen ‘zonder onnodige vertraging’.

De meldingen moeten details over het datalek bevatten, inclusief:

• Het type gegevens, het type blootstelling en het aantal betrokken personen
• De waarschijnlijke gevolgen van het lek
• Eventuele genomen verzachtende maatregelen

Veel bestaande systemen hebben echter bijna al deze tijd nodig om de benodigde gebeurtenisinformatie te detecteren en te genereren. Het nieuwe paradigma van coherente cybersecurity versnelt het onderzoek naar incidenten en het verzamelen van bewijsmateriaal om het IT-team en de FG in staat te stellen de vereiste informatie te verstrekken.
In het meest ongelukkige geval wanneer er sprake is van een datalek, moeten organisaties snel de feiten verzamelen en de: FG moet in alle fases betrokken worden.

Uiteraard zal het IT-team een cruciale rol spelen bij het managen van een datalek, inclusief het verzamelen van de kritische informatie. Het is essentieel dat zij over de middelen en oplossingen beschikken om deze informatie op efficiënte wijze te leveren. Vertraging bij het verzamelen van deze informatie kan de organisatie duur komen te staan, zowel qua reputatie als op financieel gebied.

Wat is de volgende stap?

De AVG creëert een nieuwe benchmark voor de bescherming van persoonsgegevens met een verregaande invloed. Het is nu het model voor privacywetten over de hele wereld. De omvang van de sancties voor het schenden van de regelgeving is een aandachtspunt, maar veel belangrijker misschien nog wel, het zorgt ervoor dat elk onderdeel van een organisatie zich bewust is van en gericht is op het waarborgen van de robuustheid en de voortdurende verbetering van de beveiligingsmethoden. De ‘naleving’ van de AVG wordt niet volledig gedefinieerd door de wet en zal ten dele worden bepaald door de snelle ontwikkeling van de mogelijkheden die de veiligheidstechnologie biedt en de ontwikkeling van de beste methodes uit de praktijk. Alleen technologieën die open en interoperabel zijn, schoppen het tot de volgende generatie cybersecurity-verdedigingsmechanismen.

IT-teams hebben nu de mogelijkheid om het AVG-kader te gebruiken om de verzameling en het gebruik van persoonsgegevens beter te beheren en tegelijkertijd mogelijke gaten in de beveiligingsinfrastructuur te dichten. Het goede nieuws is dat er oplossingen beschikbaar zijn die naast de huidige beveiligingsoplossingen kunnen worden ingezet, bijdragen aan het voldoen aan de AVG, de algemene veiligheid verbeteren en organisaties helpen het beschermingsniveau te bereiken dat de EU-toezichthouders nastreven.

Bedreigingen ontwikkelen zich snel

Maar beveiligingstechnologie ontwikkelt zich ook snel. Wat overeind blijft staan, is de visie die nodig is om deze technologie ten volle te benutten en een coöperatieve aanpak die de security-oplossingen van verschillende leveranciers in harmonie laat samenwerken.