De meeste organisaties richten zich qua datasecurity hoofdzakelijk op het implementeren van endpoint-, applicatie-, perimeter- en netwerkbeveiliging. Dat is op zich ook logisch, want het tegenhouden van indringers op een netwerk is cruciaal om de infrastructuur veilig te houden. Wat hierbij echter veel wordt vergeten zijn de zogeheten insider threats. Hoe beschermt men de organisatie tegen deze bedreigingen van binnen het netwerk?
Sommige grote organisaties hebben dagelijks te maken met honderdduizenden inbraakpogingen op hun netwerk. Door hier enkel met netwerkbeveiliging op te reageren, creëert men als het ware een grote gracht rond het kasteel. Maar als die eenmaal overbrugd is, kan een vaardige hacker zich in die situatie relatief makkelijk toegang verschaffen tot gevoelige data. Dat is dus een groot risico, omdat in de praktijk geen enkel netwerk compleet ondoordringbaar is. En nog belangrijker: er zijn hoogstwaarschijnlijk al dreigingen op het netwerk aanwezig: de insider threats.
Interne bedreigingen
Enkele van de grootste datalekken konden plaatsvinden doordat iemand van binnen de organisatie toegang had tot meer informatie dan waar hij of zij recht toe had. Het aantal incidenten waarbij interne actoren betrokken zijn neemt zelfs toe. De cijfers hierover variëren, maar over het algemeen zijn interne actoren betrokken bij 25 procent van alle datalekken. In de gezondheidszorg blijken insiders zelfs verantwoordelijk te zijn voor 68 procent van de datalekken.
Helaas zijn veel systemen kwetsbaar voor aanvallen van binnenuit, omdat ze een alles-of-niets-model voor gegevensbeveiliging hebben, in plaats van meer granulaire toegangscontrole. Wat de dreiging van insider threats nog verergerd is het feit dat moderne organisaties naast personeel vaak ook aannemers, onderaannemers, handelspartners, consultants, auditors en andere betrokkenen toegang verlenen tot hun bedrijfsnetwerk. Het is in dat geval heel lastig te onderscheiden wie van binnen of buiten de organisatie afkomstig is.
Elke beslissing is een risico
Soms kunnen relatief onschuldige beslissingen op het gebied van gegevensbeheer de grootste insider threats veroorzaken. Veel organisaties hebben bijvoorbeeld data lakes die een virtuele schatkamer van gegevens zijn, en waar veel gebruikers toegang tot hebben.
Zo was er ooit een internationale bank waarmee we samenwerken, die jarenlang aan een data lake bouwde. Dit project werd ineens om veiligheids- en compliance-redenen gestaakt, omdat ze zich realiseerden dat het nieuwe systeem niet over de juiste toegangscontroles kon beschikken, en dat ze hiermee zelfs bepaalde wettelijke regels en voorschriften met betrekking tot klantgegevens overtraden.
Organisaties hebben tegenwoordig behoefte aan een veel betere vorm van gegevensbeveiliging, waarbij het geen optie meer is om enkel het netwerk en de applicaties op slot te doen. Denk bijvoorbeeld aan de database, die alle cruciale bedrijfsdata bevat. De veiligste database ter wereld is misschien wel een database in een bunker zonder directe internettoegang, maar de gegevens die daarin staan zouden niet erg praktisch bruikbaar zijn.
Bij gegevensbeveiliging is het daarom belangrijk om het delen van gegevens in stand te houden. Organisaties moeten dus een oplossing gebruiken met de juiste beveiligingscontroles, waarmee een selectie van de gegevens toegankelijk gemaakt en gedeeld kunnen worden, zowel met personen binnen als buiten het bedrijf. Verder moeten beheertaken met betrekking tot datasecurity ook gescheiden kunnen worden, zodat beheerders die de toegang aan anderen verlenen zelf geen toegang hebben tot gevoelige bedrijfsgegevens.
Dreiging wegnemen
Datalekken voorkom je het beste door het probleem bij de bron aan te pakken: de gegevens. Ofwel: de oplossing moet gezocht worden in databasemanagement en de technologie die dit mogelijk maakt. Een van de veiligste methoden voor het beveiligen en beheren van zowel gestructureerde als ongestructureerde gegevens is een robuuste niet-relationele database (NoSQL) met ondersteuning voor granulaire toegangscontrole. Hiermee kan een organisatie optimale gegevensbeveiliging inregelen en kunnen zelfs deze gegevens met interne en externe partijen gedeeld worden.
Een functie waarmee het risico van insider threats direct aangepakt kan worden is geavanceerde database-encryptie, waarmee een systeembeheerder, cloud-operator of hacker die toegang heeft tot het besturingssysteem waarop de database draait, of zelfs de database zelf, zonder specifieke toegang niet bij gevoelige bedrijfsdata kan komen.
Met deze geavanceerde encryptie kunnen gegevens, configuraties en logboeken op schijf worden versleuteld (dat wil zeggen versleuteld in rust). Deze functie vereist verder geen wijzigingen aan de applicaties die op NoSQL zijn ontwikkeld. Optioneel kan hiernaast nog een extern key management systeem (kms) gebruikt worden om beheertaken te scheiden, en voor integratie in de bestaande beveiligingsinfrastructuur.
Een organisatie beveiligen tegen insider threats is één van de meest uitdagende aspecten van elke security-strategie. Voor organisaties is het daarom des te belangrijker om technologie te gebruiken die daar optimaal bij helpt. Met de juiste datamanagementtools kunnen zij er echter op vertrouwen dat enkel personen of partijen met de juiste rechten toegang hebben tot hun gegevens. Geen enkel bedrijf is 100 procent veilig tegen datalekken, maar met goed datamanagement kunnen de veiligheidsrisico’s wel drastisch verlaagd worden.
Interne actoren hoeven niet per definitie kwaadwillenden te zijn want in 2017 en 2018 waren gebruikersfouten nog de meeste voorkomende oorzaak van datalekken volgens rapport AP. Focus aangaande het melden ligt hierbij vooral op persoonsgegevens waarbij het uiteindelijk nog maar om het topje van de ijsberg gaat want zolang gebruikers nog altijd allerlei data kunnen kopieëren naar (zelf meegebrachte) oplossingen welke volledig buiten de controle van de organisatie vallen dan blijft het dweilen met de kraan open.
Goed datamanagement aangaande de veiligheidsrisico’s in het informatiebeheer begint met een classificering van de informatie. Ondertussen weten organisaties welke toegangsbeperkingen er zijn tot de gevoelige persoonsgevens, een data lake creeëren zonder te weten welke informatie erin zit is kenmerkend voor de arrogantie van organisaties die direct marketing als een wettelijke grondslag zien voor een ongevraagd gebruik van de betalingsgegevens.