Het lijkt wel of het datalekken regent de laatste tijd in het nieuws. Of het nu gemeentes, Cap Gemini, Philips of ASML betreft. En natuurlijk weten we allemaal wat we eraan moeten doen. De richtsnoeren van de Autoriteit Persoonsgegevens (AP) geven een leidraad en daarnaast struikelen de leveranciers over elkaar heen met allerlei technische oplossingen. Ook de juridische kantoren weten er inmiddels wel raad mee. Er wordt in ieder geval hard gewerkt aan de bewustwording binnen de maatschappij. Maar waar hebben we het nu eigenlijk over?
We krijgen dagelijks wel bestanden of e-mails onder ogen waar persoonsgegevens in staan. Of het nu om zorgdossiers, salarisgegevens gaat of Cv’s, beoordelingen en soms ook gecombineerd met bankgegevens, rekeningnummers e.d. Soms is deze informatie ook gemerkt met ‘Confidential’ of ‘Internal use’ of bevat vertrouwelijke persoonsgegevens.
De mails en bestanden worden met de goede bedoelingen gestuurd, men moet immers informatie kunnen delen om het werk te kunnen doen. Het business proces is immers zo ingericht. Veelal is er ook een wettelijke grondslag voor. Kortom, het is de bedoeling om informatie met elkaar te delen.
Het bekende spreekwoord geldt: “Een ongelukje zit in een klein hoekje”. Aan het security team wordt een melding gemaakt: ‘Ik heb net per ongeluk het bestand met alle HR-gegevens van medewerkers verstuurd naar de verkeerde personen’. Vaak door het simpel intoetsen van een verkeerd e-mail adres. Herkenbaar? Soms wordt er een melding gemaakt zoals: ‘Wij denken dat er gevoelige informatie gelekt is naar iemand buiten de organisatie’.
Wij zijn gewend om data in de vorm van files via bijvoorbeeld e-mail of systemen als Dropbox te delen met anderen. In de meeste gevallen is dit geen enkel probleem. Echter, soms worden er rapporten gegenereerd uit het financiële systeem in een Excel sheet met zeer gevoelige gegevens of wordt er een uitdraai gemaakt van bijvoorbeeld alle medewerkers die langdurig ziek zijn geweest en opgeslagen in een PDF bestand. Ongemerkt ontstaat er een situatie waarbij vertrouwelijke gegevens in allerlei bestanden zijn opgeslagen in allerlei locaties (Fileservers, Mail, Sharepoint). Vervolgens wordt deze data gedeeld met allerlei partijen binnen en buiten de organisatie. Het probleem is dat men geen enkele controle meer heeft over deze data en dat het eigenlijk een kwestie van tijd is dat dergelijke data op straat komt te liggen. Eigenlijk zou je willen dat deze data te allen tijde beveiligd is tegen lekken. Ik ben er inmiddels wel achter dat dit de achilleshiel is van feitelijk alle organisaties op security vlak.
Wij testen in opdracht van onze klanten applicaties op kwetsbaarheden, bijvoorbeeld door pentesten, kwetsbaarheidsanalyses maar ook beoordelen wij applicaties op de opzet, bestaan en werking van maatregelen om de vertrouwelijkheid en integriteit van de informatie te waarborgen. Op basis van onze bevindingen worden er maatregelen getroffen om de beveiliging van de applicaties te verbeteren. Veel geld en energie wordt gestoken in autorisatiebeheer, functiescheiding, audittrails, identiteits- en wachtwoordbeheer. Gebruikers kunnen vervolgens op een veilige manier de data inzien en bewerken via de functies die de applicatie hiervoor biedt.
Wat we ook zien, is dat er functies in de applicatie zijn ingebouwd om data uit de applicatie of database te exporteren voor bijvoorbeeld het genereren van een managementrapportage of voor het delen van informatie met derden. Het genereren van dergelijke rapporten gebeurt met de goede bedoelingen. Echter vervolgens wordt het bestand gedeeld met een ieder die deze informatie nodig heeft voor zijn werk. Zij slaan dan legio kopieën op op allerlei locaties binnen en buiten het netwerk. Hoe kan men in dit geval de controle houden over de vertrouwelijkheid van de data?
Feitelijk zie ik twee manieren om dit te bewerkstelligen.
De belangrijkste en meest effectieve maatregel is: stop met het genereren van rapporten uit applicaties! Zorg dat data op allerlei manieren toegankelijk en leesbaar is binnen de veilige omgeving van de applicatie zelf. Ga met applicatiebouwers en de business in gesprek en vraag welke informatiebehoefte er is en op welke wijze men dit kan invullen door de data binnen de grenzen van de applicatie zelf te houden. Probeer mensen ervan te weerhouden om allerlei files te genereren om in hun informatiebehoefte te voldoen. Dit is in de meeste gevallen niet nodig! Er zijn alternatieven voorhanden. Wat dat betreft is de ontwikkeling van apps heel positief te noemen. Mensen kunnen de informatie raadplegen op hun telefoon of tablet. Via de app moet de gebruiker zichzelf authenticeren en de gebruiker krijgt een gecontroleerde view op de data die hij of zij nodig heeft.
Als de app goed is gebouwd dan laat het alleen de data zien die nodig is voor deze gebruiker en in een specifiek formaat. Op het moment dat de app wordt gesloten, dan verdwijnt de data van het device. In de praktijk blijkt dit een werkwijze dat wijd verbreid geadopteerd wordt door de eindgebruikers. Het voordeel voor hun is dat men niet meer hoeft te zoeken in mails en documenten. Laat staan zich zorgen maken over de laatste versie van de data.
Organisaties en vooral de mensen die er werken moeten bewust zijn van de waarde van de data die men verwerkt en in hoeverre men de controle over deze data behoudt wanneer het gedeeld wordt met derden. Is het echt noodzakelijk om rapportagefunctionaliteit beschikbaar te stellen in de vorm van het genereren van files? Is er echt geen andere mogelijkheid?
In die zeldzame gevallen waarin dit toch noodzakelijk blijkt te zijn, beveilig deze gevoelige gegevens dan bij de bron. Indien men bijvoorbeeld een HR-rapportage genereert uit een SAP-applicatie, zorg er dan voor dat de beveiliging op de file onder hetzelfde regime valt als wanneer de gegevens zich nog in de SAP-omgeving bevonden. Zet dus rechten op de file zelf. Dit kan middels IRM/DRM technieken. IRM/DRM is inmiddels een volwassen technologie en, mits toegepast daar waar het echt noodzakelijk is, ook heel goed beheersbaar op te zetten.
Concluderend: denk dus eerst goed na voordat men ongestructureerde data in de vorm van files genereert uit applicaties. Is dit echt nodig? Kan het ook op een andere manier? Als het in de zeldzame gevallen toch nodig is, zorg dan voor beveiliging van de data zelf in de vorm van IRM/DRM technieken.
Deze bijdrage is geschreven door Stef Liethoff, Managing Partner & CTO van Nováccent en verscheen op http://infosecuritymagazine.nl/2016/11/22/voorkom-datalekken-door-beperking-van-ongestructureerde-data