Independent. Dynamic. Involved.
nlen

Wetten brengen data niet terug dus voorkom datalekkage!

Door Frank Peeters. Ondanks de toename in bewustzijn van het belang van informatiebeveiliging is het nog altijd een feit dat er datalekkage is uit onze organisaties, of dit nu onbewust of bewust gebeurt. Deze schadelijke zaak is aan de orde van de dag en de verwachtingen zijn dat dit alleen maar zal toenemen.

Er worden omtrent deze datalekkage verschillende initiatieven gelanceerd, zoals wetgeving vanuit de (Europese) overheid. Neem als voorbeeld het wetsvoorstel dat afgelopen jaar door het Europees parlement aangenomen is: de ‘General Data Protection Regulation[1]’. Hierin staat onder meer dat door het melden van datalekkage een boete voorkomen kan worden. Op zich is dit melden om boetes te voorkomen natuurlijk een aardig punt, maar als de informatie eenmaal gelekt is dan is deze niet meer in handen van de organisatie.

Andere geldende wetgeving is bijvoorbeeld ‘Meldplicht voor datalekken en ICT inbreuk’, ‘Meldplicht conform de telecommunicatiewet’ en ‘Meldplicht conform Wet op financieel toezicht’. In de nabije toekomst volgt er meer, zoals het wetsvoorstel ‘Meldplicht datalekken conform Wet Bescherming Privacy’ dat nog in behandeling is in de Eerste Kamer.

Het melden van lekken is weliswaar een verplichting conform de wetgeving, maar hoe weet je nu als organisatie dat je gevoelige informatie lekt? En om welke informatie gaat het dan? Commerciële gegevens, beursgegevens of gegevens die leiden tot toegang tot bedrijfskritieke systemen?

In het wijzigingsvoorstel ‘Meldplicht datalekken conform Wet Bescherming Privacy’ staat beschreven dat de meldplicht uitsluitend voor ‘ernstige’ datalekken geldt. Hoe kwalificeren we ‘ernstig’? En hoe verhoudt zich dat tot de overige wetgeving die al bestaat?

Schade

Als organisaties data lekken, in welke vorm dan ook, dan is het in principe te laat en moeten we er voor zorgen dat de schade beperkt blijft (en natuurlijk netjes melden conform de geldende meldplicht). Als we voldoen aan de plicht het te melden, zitten de organisaties nog steeds met het feit dat de informatie op straat ligt met alle gevolgen van dien. Geen boete maar wel herstelkosten en imagoschade die behoorlijk kunnen variëren per organisatie en de aard van de gelekte informatie.

Voorzorgsmaatregelen zijn vereist. Als we weten wat een ernstig lek is, kunnen we dit ook voorkomen. Ook hier geldt: ‘Voorkomen is beter dan genezen’ en uiteindelijk is het een kwestie van gewoon beginnen!

Het effectieve wapen in de strijd tegen onbevoegde toegang tot informatie is dataversleuteling en dat is op informatieniveau mogelijk met Information Rights Management[2] toepassingen.

Praktisch aan de slag

Als organisatie weten we als geen ander welke informatie van vitaal belang is. Inregelen van informatiebeveiliging om onbewuste datalekken in elk geval te voorkomen is dan ook de eerste stap.

Het is van belang te weten waar de vitale financiële, beursgevoelige en bedrijfskritieke informatie, commerciële en uiteraard persoonsgegevens zich in de organisatie bevinden. Uit deze inventarisatiefase moet bepaald worden welke data beschermd moet worden en op welke manier.

Alleen al kijkend naar de ongestructureerde data in onze organisaties in de vorm van tekstdocumenten, spreadsheets, architectuurtekeningen, ontwerpen, gescande nota’s of contracten, etc. dan is de constatering: deze komt overvloedig voor.

De beveiligde oplossingsrichting is gebruik te maken van Information Rights Management (IRM) oplossingen, waarmee de informatie wordt versleuteld en beveiligd met regels.

Met Information Rights Management kan aan de hand van regels ingesteld worden wat de ontvanger uiteindelijk met de informatie mag (zoals lezen, bewerken, doorsturen, etc.) ongeacht op welke (mobiel) apparaat de informatie wordt geopend of waar deze wordt opgeslagen.

Het onderscheidend vermogen van Information Rights Management zit in het feit dat de beveiliging op de informatie zélf aanwezig is. De technische oplossingen om dit te realiseren zijn gebaseerd op Microsoft Azure Rights Management services[3], al dan niet aangevuld met additionele software producten. Het gaat te ver om hier dit in detail verder te beschrijven, maar de oplossingen ondersteunen automatische classificatie en versleuteling van de informatie.

Bewustzijn

Alleen inzet van technologie is niet voldoende, bewustzijn van de gebruikers en auteurs van de informatie en/of documenten is evenzo belangrijk binnen de organisatie. Hierin kan technologie weer een stap in de juiste richting zetten door het gebruik van notificaties aan de gebruiker tijdens het opslaan van documenten, iets wat overigens in de bovengenoemde technologie aanwezig is.

Stelt u heeft Microsoft SharePoint als centrale opslag voor uw (bedrijfsgevoelige) informatie in tal van verschillende bibliotheken. U kunt dan bijvoorbeeld voor elke bibliotheek IRM inschakelen. Indien medewerkers bestanden uit een bibliotheek ophalen (downloaden) dan wordt automatisch het ingestelde IRM beleid toegepast. Dit betekent dat het betreffende bestand op dat moment wordt versleuteld zodat het alleen door geautoriseerde personen kan worden gebruikt. Elk bestand/document dat van IRM is voorzien bevat een uitgiftelicentie waarmee beperkingen worden opgelegd (lezen, wijzigen, afdrukken etc.). Een ongeautoriseerd persoon kan het bestand vervolgens niet openen, waardoor het bestand volledig afgeschermd blijft voor deze onbevoegde persoon. Hiermee bent u in staat om beveiliging op informatieniveau toe te passen.

Naast bovengenoemd voorbeeld kan IRM ook toegepast worden op bestaande bestanden of tijdens het opslaan vanuit bijvoorbeeld Microsoft Office suite. Ander voorbeeld zou kunnen zijn dat er op basis van inhoud IRM toegepast wordt indien een bepaalde tekst binnen bestanden wordt gevonden, zoals creditcard nummers, burger service nummers en dergelijke. Er zijn tal van mogelijkheden waarmee IRM binnen de organisatie is in te zetten om uw informatie op objectniveau te beschermen.

Lekken is kostbaar

Aandacht hebben en actie ondernemen om uw kostbare bedrijfsinformatie te beschermen tegen lekkage is zeer aanbevolen, ongeacht de huidige of toekomstige meldplichtwetgeving. De kraan moet dicht ter voorkoming van verdere informatielekkage.

Dataverlies door onbewuste acties en onbevoegde toegang kan imagoverlies en een breuk in het vertrouwen van bedrijf veroorzaken en de concurrentie op voorsprong brengen, los van de geldende wetgeving.

Grip krijgen en houden op de bedrijfskritische informatie is voor elke organisatie van levensbelang, waar deze informatie zich ook mag bevinden. Het risico van een boete door aankomende wetgeving is slechts een extra drijfveer om in actie te komen.

De eerste stap is de inventarisatie van de informatie binnen de organisatie, het bepalen van het risico en de gevolgen indien deze informatie in handen komt van onbevoegden. Met de inventarisatie wordt de classificatie tot stand gebracht en kan vervolgens bepaald worden welke specifieke personen geautoriseerd zouden moeten zijn en waarvoor.

Classificatie zou je heel ver kunnen doorvoeren, echter een gemakkelijke tweedeling als ‘iedereen binnen de organisatie’ en ‘iedereen buiten de organisatie’ kan als eerste stap al ruim voldoende zijn. Indien gewenst kunnen er afhankelijk van de vastgestelde informatierisico’s en het type informatie verdere IRM autorisatieregels worden opgesteld, bijvoorbeeld op divisie- of afdelingsniveau (‘Research’, Personeelszaken’, ‘Financiën’ etc.).

Beginnen met het beveiligen van informatie zélf op basis van IRM ligt hiermee binnen handbereik en hoeft geen langdurig project te zijn, de technologie is voorhanden en de praktische aanpak zoals hierboven geschetst kan u al helpen om uw kostbare informatie te beschermen.

Lekkage stoppen en voorkomen

Wilt u meer informatie of begeleiding in de aanpak over het beveiligen van data op bestandsniveau door inzet van de technologie Information Rights Management, neem dan gerust contact met ons op.

Wij delen graag onze visie en ervaring met u en helpen u graag om uw gevoelige bedrijfsinformatie te beschermen tegen onbevoegden, zodat u (on)bewuste lekkage van data kunt stoppen, risico’s beperkt en grip heeft over uw informatie.