Publieke en semipublieke organisaties zijn met hun veel kwetsbare data geliefde doelwitten voor ransomware-aanvallen. De dreiging is evident en dienstleveranciers spelen een belangrijke rol in de nodige databescherming. Hoe word je wijs uit de wirwar aan databeschermingsproposities? Vergelijk databeschermingsdiensten met verzekeraars. Een garantie op de veiligheid van je data, is tenslotte wat je zoekt.
Als je over ransomware in het nieuws leest, lijkt geen enkele organisatie veilig. Toch zijn sommige type organisaties vaker doelwit dan andere. Uit recent onderzoek blijkt dat organisaties in de publieke of semipublieke sector geliefde doelwitten zijn. Organisaties in de zorgsector waren zelfs het meest populaire doelwit in 2021. De aangehaalde reden is dat de ‘uitvaltolerantie’ zeer laag is: als de it-systemen in de zorg offline raken, kan dit snel kritieke schade veroorzaken. Daarbij komt kijken dat semipublieke of publieke organisaties te maken hebben met veel privacygevoelige data en de bijkomende druk door wettelijke verplichtingen om die data veilig te stellen.
Organisaties in deze sector hebben dus de grote verantwoordelijkheid om over veel kwetsbare data te waken. Helaas is het beschermen van de data-omgeving complex; nieuwe dreigingen en bijpassende security-oplossingen schieten als paddenstoelen uit de grond, terwijl kennis en personeel schaars zijn. Veel publieke en semipublieke organisaties doen een beroep op de technologie en kennis die databescherming-dienstleveranciers bieden om hun data veilig te stellen en hun it-afdeling te ontzorgen.
Echter is het aanbod van dienstleveranciers en diensten ook divers, en niet altijd even gemakkelijk te vergelijken. Gelukkig zijn er handvatten die je kan gebruiken om te leren welke dienstleverancier voor jou de juiste is.
In deze tweedelige blogserie leg ik uit waarom organisaties met een lage uitvaltolerantie er goed aan doen om databescherming-dienstleveranciers te vergelijken met verzekeraars. Want wanneer jouw uitvaltolerantie laag is, bieden it-dienstleveranciers en verzekeraars in feite dezelfde waarde: zij zorgen ervoor dat bij een calamiteit jouw organisatie geen kritieke schade oploopt.
Schade beperkt
Als je databescherming voor backup en recovery-diensten uit handen geeft, zeg je zoiets als: ik betaal jou en jij zorgt ervoor dat ik zo snel bij mijn data kan en de schade beperkt blijft als er iets misgaat. Als je een bedrijfsverzekering afsluit voor bijvoorbeeld vervangend vervoer komt dit op hetzelfde neer: ook als je bedrijfsvloot helemaal in de kreukels ligt, zal jij snel weer kunnen rijden.
Echter hebben verzekeraars een vergunning nodig en staat hun kas onder centraal toezicht van De Nederlandsche Bank. De garantie dat verzekeraars aan hun belofte kunnen voldoen, rust deels wel op hun kennis, maar vooral op hun financiële middelen. Daarom zal je bij een verzekeraar vooral naar de kleine lettertjes in het contract en de premieprijs kijken. De controle op it-dienstleveranciers is daarentegen milder. En hun vermogen om uit te keren, oftewel jouw data te herstellen binnen de beloofde termijn, rust niet op kasliquiditeit en vergunningen, maar op hun vermeende expertise en uitvoercapaciteit.
Voordat je met een dienstverlener in zee gaat, zal je je dus als een soort van controlerende partij moeten opstellen.
Knowhow
Als het gaat om kennis, zijn er een aantal indicatoren die erop wijzen of een partij echt de nodige knowhow heeft om garant te kunnen staan voor jouw data. Sommige organisaties proberen een catch-all te zijn en bieden een breed scala aan diensten. Dit is vooral handig als je één contactpunt zoekt. Echter, een hoog aantal diensten kan ten koste gaan van de kwaliteit, bijvoorbeeld doordat er veel meer vendors zijn om banden mee te onderhouden. Daarom is het voor organisaties met een lage uitvaltolerantie logischer om te zoeken naar specialisten op het gebied van bijvoorbeeld één dienstleverancier waar zij veel certificaten voor hebben behaald. Dit wijst op kennis en nauwe banden, waardoor zij eerder zullen weten wat de software kan, wat de huidige risico’s zijn en welke belofte zij kunnen maken als het gaat om databescherming.
Bij databescherming kan een minuut tussen infectie en herstel het verschil maken, dus is naast kennis ook uitvoercapaciteit belangrijk. Een verzekeraar biedt uitkeringsgarantie, ook bij faillissement van de verzekeraar. Als je bij databescherming ook zeker wilt zijn van de capaciteit, dan kan de relatie die data speelt in de verschillende diensten een behulpzame indicator zijn. Biedt een leverancier databeschermingsdiensten zoals backup & recovery, vraag je dan ook af of hun andere diensten hun capaciteiten hier steunen. Zo overlapt backup & recovery mogelijk met hybride cloud- en uitwijkdiensten qua capaciteit voor het kopiëren en het opspinnen van omgevingen, terwijl netwerkarchitectuurdiensten niet per se zulke capaciteiten bieden. Daarbij kan een synergie tussen diensten ook nog een aanvullende indicator zijn van specialistische kennis.
Strengere controle
Lage uitvaltolerantie betekent dat de juiste databescherming-dienstleverancier kiezen essentieel kan zijn om kritieke schade te voorkomen bij een cyberaanval. Een vergelijking met verzekeraars die onder veel strengere controle staan kan daarbij perspectief bieden. Specialisatie en diensten-synergie zijn goede indicatoren voor kennis en capaciteit.
In deel twee van deze serie trek ik de vergelijking met verzekeraars door, om in te gaan op hoe dienstleveranciers hun kosten en dienstenpakketten afstemmen op hun klanten, en waar it-besluitvormers op moeten letten om goed waar voor hun geld te krijgen. Want kritieke schade voorkomen mag dan bovenaan de prioriteitenlijst staat, voor een onbetaalbare dienst koop je uiteindelijk ook niks.
De term kwetsbare data is nogal misleidend, alle data is even kwetsbaar of onkwetsbaar als gevolg van het datamanagement. Maar uiteindelijk is niet alle data gelijk want term databescherming gaat meer om gegevensbescherming van specifieke data. Want PII-data vereist bijzondere bescherming en aangaande deze privacygevoelige data en wettelijke verplichting hebben publieke en semipublieke organisaties nog veel werk te doen op dit vlak. Tenminste als ik de verschillende gesprekken met DPO’s, C(I)O’s en informatiebeveiligingsmanagers mag geloven want er zit tussen theorie van wetgeving en praktijk van implementatie nog een groot hiaat.
Een andere interessante gesprekspartner is de juridische afdeling want AVG verplichting van het recht op inzage, correctie en verwijdering geldt ook de digitale archiveringssystemen. Want de wet stelt dat deze rechten gelden ongeacht waar de gegevens zich bevinden en de olifant in de kamer die iedereen ziet maar waar niemand over spreekt is dan ook een misbruik van de back-up voor digitale preservering. Het lang en betrouwbaar bewaren gaat dan ook om een geheel andere databeschermingsdienst dan dertien-in-een-dozijn dienst van de back-up naar de cloud.
Kritieke schade voorkomen is een leuke want ligt de focus op een herstel van de (ICT) dienstverlening met business as usual of op het vertrouwen?