05 okt Dienst of doos tegen datalek?
In de media verschenen de afgelopen week berichten van een Nederlands informatiebeveiligingbedrijf dat de oplossing lijkt te hebben tegen datalekken. Op Channelconnect verscheen een artikel waarin de suggestie werd gewekt dat de organisatie een dienst ontwikkeld om het lekken van data te voorkomen en om eenvoudiger aan de Europese privacy- en datarichtlijn (GDPR) te voldoen. Op LinkedIn ontstond een discussie nadat een reseller van deze dienst stelde dat je je met een simpel kastje kunt wapenen tegen de wet GDPR.
Koopt Nederlandsche waar
Laat ik voorop stellen dat ik het toejuich dat Nederlandse partijen producten en diensten ontwikkelen om organisaties beter te beveiligen. De slagzin “Koopt Nederlandsche waar, dan helpen wij elkaar!” is deels van toepassing, ik denk dat het belangrijk is dat uitgaven door Nederlandse bedrijven ook zoveel mogelijk in de Nederlandse economie blijven. Daarnaast is het simpelweg eenvoudiger om aan Nederlandse en Europese wetgeving te voldoen als je gebruik maakt van Nederlandse leveranciers. Tot slot zijn de lijnen korten en zijn er geen taal- en cultuurbarrières.
Misleiding en valse hoop
Wat er gesteld wordt, is dat door het scannen van het uitgaande verkeer op vreemd gedrag en allerlei dreigingen, waaronder cryptoware en botnet controllers, een datalek voorkomen kan worden. Bij het scannen van het netwerkverkeer wordt niet gekeken naar de inhoud, maar slechts naar de metadata.
De suggestie die gewekt wordt, is dat een product of dienst een datalek kan voorkomen. En dat je door het aanschaffen van een product of dienst kunt aantonen te voldoen aan de eisen die de Algemene Verordening Gegevensbescherming stelt. Dat is pertinente onzin!
Ten eerste kan een datalek op een heleboel andere manieren plaatsvinden, denk aan het verliezen van een USB-stick, het plaatsen van een vertrouwelijk document op een locatie waar deze niet hoort of het simpelweg vergeten documenten met persoonsgegevens van een printer te halen.
Ten tweede kan een botnet controller alleen gesignaleerd worden als deze al bekend is. Een relatief nieuwe/jonge botnet command and controlserver is nog niet bekend bij centrale bronnen waar dit soort systemen informatie vandaan halen. Krijg je malware in je netwerk dat communiceert met zo’n server, dan zal er in veel gevallen toch data gelekt worden. Net als bij virussen is dit een race tegen de klok en een kat- en muisspel.
Ten derde wordt steeds meer netwerkverkeer versleuteld. Dat verkeer is niet te monitoren, laat staan dat je er afwijkingen in kunt constateren. Daardoor is er steeds minder zichtbaar voor partijen die baseline netwerkverkeer monitoring bieden.
Ten vierde moet een organisatie veel meer maatregelen treffen om aan de GDPR te voldoen. Denk bijvoorbeeld aan het uitvoeren van een privacy impact assessment, afwegen of er een data protection officer aangesteld moet worden en het inregelen van procedures om het ‘recht om vergeten te worden’ te kunnen faciliteren.
Ten vijfde zal een datalek mogelijk wel geconstateerd worden, een organisatie moet daarna wel gaan handelen om het lek te dichten. De leverancier biedt gelukkig ook een abonnement waarbij een alarmcentrale snel kan signaleren. Mijn verwachting is echter wel dat de systeembeheerders van de klant acties moeten gaan ondernemen. Omdat veel MKB-bedrijven dit hebben uitbesteed aan externe beheer partijen, kan de tijd tussen een melding van een datalek dat gaande is en het onderbreken ervan te lang zijn.
Conclusie
Helaas is het aanschaffen van een product of dienst niet voldoende om datalekken te voorkomen en om aan de AVG/GDPR te voldoen. Er zijn inmiddels verschillende adviesbureaus die je kunnen helpen bij het bepalen wat je wel en (voorlopig) niet hoeft te doen om aan de AVG/GDPR te voldoen. Datalekken kunnen op veel verschillende manieren plaatsvinden, daar zijn technische maatregelen voor om dat te voorkomen, maar vergeet ook niet medewerkers te trainen en continu bewust te maken.
Bronnen
https://channelconnect.nl/security/nederlands-bedrijf-introduceert-oplossing-datalekken/
https://www.linkedin.com/feed/update/urn:li:activity:6319444756556455936
Sorry, het is niet mogelijk om te reageren.