De Autoriteit Persoonsgegevens meldde onlangs een explosieve toename van het aantal datadiefstallen. Veel ellende is te voorkomen door scherper te letten op wat gebruikers met data doen. Ofwel, hoe krijg je meer grip op het gebruikersgedrag?
De meeste bedrijven hebben het identificeren van gebruikers – de werknemers dus – prima op orde. Maar het gaat ook om de stappen daarna. Je moet bijvoorbeeld weten tot welke data geïdentificeerde gebruikers toegang hebben, en wat zij met die data doen. Veel organisaties beschikken niet over de juiste controlemechanismen om hier inzicht in te krijgen.
GGD blundert met toegangsbeheer
Helaas zijn gebruikers niet altijd te vertrouwen. Een voorbeeld is het grote datalek bij de GGD dat eind januari aan het licht kwam. Medewerkers van een GGD-callcenter boden via chatdiensten als Telegram en Snapchat persoonsgegevens aan van burgers die zich op het coronavirus hadden laten testen.
Het ging onder andere om burgerservicenummers en e-mailadressen van geteste personen. Voor cybercriminelen zijn dat interessante gegevens, omdat ze die kunnen gebruiken voor identiteitsfraude en phishing. Voor zover het politieonderzoek nu ongeveer twee maanden is gevorderd, blijkt dat de gegevens van vooralsnog circa duizend gedupeerden zijn gestolen.
Impact van een menselijke fout
Het datalek bij Ticketcounter begon bij een fout van een medewerker. Hij of zij sloeg de vertrouwelijke gegevens op een verkeerde plek op, waardoor de gegevens van meer dan 1,5 miljoen klanten die via Ticketcounter een kaartje hadden aangeschaft voor een dierenpark, museum of pretpark, op straat lagen. Uiteindelijk werd het bedrijf er door beveiligingsexperts op gewezen dat de gegevens te koop stonden op het dark web.
Een cybercrimineel dreigde de data openbaar te maken tenzij Ticketcounter zeven bitcoin (ruim 300.000 euro) zou betalen. Het ging in dit geval om namen, e-mailadressen en iban-nummers. Daarmee is het niet direct mogelijk om een rekening te plunderen, dus in dat opzicht viel de schade nog mee. Wel adviseerde Ticketcounter de gedupeerden extra alert te zijn op verdachte e-mails.
Bij elk bedrijf valt wel iets te halen
Deze nieuwe golf datalekken moet voor veel it- en securityprofessionals een wake-upcall zijn. Wellicht denk je dat jouw organisatie geen aantrekkelijk doelwit is. Maar hoe zeker weet je dat eigenlijk? Digitale identiteiten zijn in het criminele circuit meer waard dan persoonsgegevens. Elk bedrijf met een rijke verzameling persoonsgegevens doet er dus verstandig aan voorzorgsmaatregelen te treffen.
Maar wat betekent dat in de praktijk? In mijn optiek moeten bedrijven vooral scherper letten op het gedrag van gebruikers. Daar zit voor mij de crux: bij gebruikersgedrag en de manier waarop dat vastgelegd wordt. Organisaties die meer grip willen krijgen op het gedrag, doorlopen onder andere de volgende stappen:
- Maak datatoegang rolgebaseerd
Met role-based access control beperk je de toegang tot data, waarbij de rol van de gebruiker leidend is. Stel altijd de vraag: wie moet bij welke data kunnen, en waarom? Vrijwel altijd zal de conclusie zijn dat niet iedereen over dezelfde toegangsrechten mag beschikken.
Op dit punt ging het mis bij de GGD. Een callcentermedewerker kon in alle data uit alle regio’s kijken. Natuurlijk moest de toegang in dit geval snel geregeld worden, maar dat is geen sterk argument. Juist in noodsituaties is voorzichtigheid geboden, zeker als een organisatie bijzondere persoonsgegevens verwerkt.
- Volg databewegingen
Het is cruciaal om gebruikers zorgvuldig te screenen en een strakke regie te houden over toegangsrechten. Maar uiteindelijk moet er ook goed zicht zijn op hoe de data zich verplaatsen. Veel bedrijven denken dat het moeilijk is om dit inzicht te verkrijgen. Onterecht, want de technische oplossingen voor het in kaart brengen van dataverplaatsingen bestaan al heel lang.
- Detecteer afwijkend gedrag
Dat bekend is wie toegang heeft tot welke data is één, maar weet je ook wat zo’n gebruiker met die data uitspookt? Zeker in de huidige omstandigheden, nu we allemaal veel meer vanuit huis werken, is dat inzicht waardevol. We voelen ons veiliger in onze eigen omgeving. Daarmee is thuiswerken drempelverlagend voor crimineel gedrag.
Een advies adviseer is om een profiel van de gebruikers op te stellen, zodat afwijkend gedrag sneller aan het licht komt. Stel dat een callcentermedewerker per dag toegang tot zo’n tien dossiers nodig heeft om zijn werk te kunnen doen. Als deze werknemer dan opeens twintig dossiers per dag opent, past dat niet in het profiel. Dan moet er een alarm afgaan.
Eerst de beveiliging op orde
Toch is het belangrijkste advies niet direct gerelateerd aan gebruikersgedrag. Denk eerst goed na voordat je start met het verzamelen van data. Waarom heb je deze data nodig, waar zet je ze neer en hoe ga je ze beveiligen? Idealiter is deze beveiliging gebaseerd op een gedetailleerde risicoanalyse. Wellicht komt daar wel uit dat de dataverwerking simpelweg te riskant is.
Pas als de beveiliging helemaal staat, is het tijd om de data te gaan verzamelen en gebruikers toegang te geven. Dat is de juiste volgorde, en niet omgekeerd.
