Je bent druk met een e-mail voor je collega en voegt privacygevoelige informatie toe in de bijlage. Bij het intikken van de naam van je collega, druk je net iets te snel op de entertoets en voor je het weet belandt de e-mail niet bij je collega, maar bij een externe partij. Oeps… De meeste datalekken worden door zulke foutjes veroorzaakt. Hoe voorkom je een dergelijke situatie en hoe bescherm je gevoelige informatie tegen onbevoegden? 5 tips om datalekken te voorkomen.
Een dikke beveiligingsmuur rond je data, gebruikers, devices en applicaties volstaat niet meer. We zijn steeds meer gebruik gaan maken van cloudapplicaties en mobiele devices. De vaste werklocatie is intussen door velen ingeruild voor een flexplek. Dit heeft grote invloed op het beschermen van gevoelige informatie. Deze verandering vraagt daarnaast om een andere manier van denken. Zeker omdat de meeste datalekken worden veroorzaakt door menselijke fouten.
Datalekken en cyberaanvallen zijn de laatste jaren niet alleen behoorlijk toegenomen, maar ze zijn ook veranderd. Daar zijn organisaties zich nog te weinig bewust van. Het lamleggen van organisaties is voor criminele organisaties een businessmodel dat dagelijks wordt toegepast. Ook komt afpersing steeds vaker voor. Organisaties worden gechanteerd en gedwongen te betalen, met bijvoorbeeld het risico van openbaarmaking van bedrijfsgeheimen. Is er eenmaal betaald? Dan is het risico niet geweken; cybercriminelen weten nu dat er meer te halen valt.
Het advies luidt altijd dat je niet moet betalen, maar in de praktijk wordt er regelmatig door een derde partij onderhandeld om de digitale gijzeling te stoppen. Je hebt immers een (grote) naam hoog te houden. Wat dacht je van logistieke gigant Maersk, die wereldwijd tijdelijk de controle verloor over haar containers? Of instanties als de Universiteit van Maastricht, Gemeente Hof van Twente, KIA, ziekenhuizen en diverse overheidsinstellingen in de Verenigde Staten die stuk voor stuk hun privacygevoelige informatie op straat zagen liggen?
Nog altijd hebben veel organisaties het idee dat zij niet zo snel te maken zullen krijgen met datalekken of cyberaanvallen. Maar vergis je niet. Op individueel niveau liggen de ‘kansen’ juist voor het oprapen. Denk bijvoorbeeld aan het feit dat we sinds COVID-19 vaker thuiswerken. Misschien leent een medewerker af en toe de zakelijke laptop uit aan één van de kinderen. Weet de ouder precies wat een kind op die laptop aanklikt en/of downloadt?
Op technisch vlak kunnen we veel zaken afvangen, maar de grootste winst zit ‘m in de bewustwording. Wees je bewust van de informatie die je verwerkt en welke consequenties het kan hebben als die informatie uitlekt. Is het bijvoorbeeld verstandig om patiëntgegevens in de auto te laten liggen? Gooit iedereen de geprinte papieren wel in de juiste bak of werken we dumpster diving in de hand? Mogen medewerkers documenten opslaan op hun device? Door hier heldere afspraken over te maken, komen we gelijk uit bij tip 2.
Leg je IT-beleid vast. Voordat je dit doet, zul je moeten nadenken over zaken als: ‘Hoe mogen medewerkers documenten opslaan en versturen?’ en ‘Is het nodig om bepaalde classificaties toe te passen in verband met dossier-/patiënten-/burgerservicenummers?’ Denk maar eens aan al die gegevens die twee mannen bij de GGD hebben buitgemaakt. Hoe eenvoudig is het inloggen voor medewerkers om hun werk te kunnen doen? Hoe detecteren we ongebruikelijk netwerkverkeer zodat het gebruik van bijvoorbeeld Dropbox en Wetransfer kan worden uitgesloten? Is alle informatie op het device veilig, ook bij diefstal of verlies?
Heb je eenmaal je IT cybersecurity-beleid staan, dan moet je ook zorgen voor borging. Niemand kan zich dan nog verschuilen achter het excuus ‘ik was hier niet van op de hoogte’. Bouw vooral aan een praktisch beleid dat aansluit bij je organisatie. Dit voorkomt dat medewerkers om je beleid heen gaan werken. Zolang medewerkers niet overtuigd zijn van een verbeterde situatie, zullen ze vasthouden aan oude patronen. Het creëren van draagvlak is dus essentieel.
We noemden het voorbeeld al even in het begin: je bent bezig met een mail voor een collega, maar in de haast verstuur je de mail naar een externe partij. Een pijnlijke situatie als je in diezelfde e-mail privacygevoelige informatie hebt staan. Het beste is om dit soort gegevens nooit te delen via de e-mail, maar gebruik te maken van een oplossing die je kunt lezen bij tip 4.
Mocht je echt niet om het e-mailen heen kunnen, gebruik dan een ‘Data Loss Prevention’-oplossing, kortweg DLP. Dankzij deze oplossing kun je data, zowel bestanden als e-mail, classificeren. Op basis van die classificatie kan er een beleid worden toegewezen, zodat bepaalde gegevens worden geblokkeerd op basis van een bepaald label. Bepaalde informatie kan zelfs helemaal niet per e-mail verzonden worden dankzij de mogelijkheid om teksten inhoudelijk te laten scannen op informatie als BSN’s. Op die manier kun je nooit gegevens als burgerservicenummers en creditcardgegevens per ongeluk naar buiten sturen.
Heb je de DLP-oplossing vastgelegd in je IT-beleid? Dan kun je er met een speciale licentie van Microsoft voor zorgen dat privacygevoelige informatie automatisch een stempel/tag krijgt, zodat dit niet meer verstuurd kan worden.
Uit onderzoek blijkt dat met name het omgaan met vertrouwelijke informatie lastig blijft. Hoe kun je bestanden nu het veiligst met elkaar delen? Door om te beginnen volledig papierloos te werken. Dit is zeker nog niet binnen alle organisaties het geval, waardoor er vaak geen zicht meer op de informatie is zodra die de printer heeft verlaten. Door automatisch een waarschuwing te laten verschijnen op het moment dat je informatie wil printen en het watermerk ‘vertrouwelijk’ op papier toe te voegen, gaan medewerkers anders tegen een dergelijk document aankijken. Men zal bewuster omgaan met de geprinte informatie en kiest er eerder voor om de papieren in de juiste container te stoppen.
Ga je voor volledig papierloos, denk dan eens na over het werken met de clouddiensten OneDrive en SharePoint van Microsoft. Met deze clouddiensten ben je in staat om alleen een link naar een bestand te delen, terwijl het bronbestand in jouw veilige omgeving blijft staan. Extra bijkomstigheid is dat iedereen altijd de meest actuele versie ziet. Verlaat iemand de organisatie of vindt er een interne switch plaats? Beperk of neem dan eenvoudig zijn/haar rechten in.
Je kabeltje is stuk en je kiest voor een vervangend goedkoop exemplaar uit China. Uiteindelijk kan die keuze je duur komen te staan, want je kunt te maken krijgen met een zogenoemde supply-chain-aanval. Dat betekent dat er bewust een extra chip in je kabeltje is geplaatst om je computer te infecteren. En krijgen medewerkers met enige regelmaat USB-sticks op events? Ontzettend vriendelijk, maar laat ze deze sticks vooral afslaan of in ieder geval niet gebruiken. Je weet niet wie de USB-stick heeft voorzien van ‘informatie’. Is er toch eentje eigenwijs? Zorg er dan voor dat externe gegevensdragers te allen tijde geblokkeerd worden. Voorkomen is beter dan genezen.
Naast dat gegevensdragers potentiële bronnen van malware of virusinfecties zijn, raken ze nogal eens kwijt (dit overkwam bijvoorbeeld het Flevoziekenhuis) of worden vergeten. Kan jouw organisatie echt niet zonder USB-sticks of andere gegevensdragers functioneren? Door ze voor gebruik te versleutelen, zorg je ervoor dat informatie ook in geval van diefstal of verlies veilig is.
Om de digitale veiligheid van jouw organisatie te bewaken, heb je dus met een grote menselijke factor te maken. Daarom gaat Microsoft een stap verder met het Zero Trust-principe: vertrouw niemand en ga ervanuit dat er altijd sprake is van een lek. In plaats van een compleet fort te bouwen, monitor je elk toegangsverzoek en wordt er pas toegang verleend nadat het verzoek volledig is geverifieerd, gemachtigd en versleuteld.
Zodra je een onbekend device en/of identiteit ontdekt, dan plaats je die in quarantaine om eventuele inbreuk op gevoelige informatie te voorkomen. Wordt er gewerkt op een device dat niet vertrouwd is? Voldoet de netwerkverbinding niet aan de compliance eisen? Dit voorkomt dat gegevens uit de vertrouwde omgeving gekopieerd en geplakt kunnen worden. Ook zijn bepaalde acties vervolgens niet uit te voeren. Daarnaast biedt Microsoft een speciale licentie die ervoor zorgt dat privacygevoelige informatie automatisch een tag krijgt, zodat versturen onmogelijk wordt.
Niemand zit erop te wachten dat de bedrijfscontinuïteit onder druk komt te staan door een datalek, waardoor het volledige personeel wekenlang niet kan werken. Dus wat ga jij doen om jouw digitale veiligheid te waarborgen?
Kom te weten wat Microsoft Zero Trust voor jouw organisatie kan betekenen of hoe het echt gesteld is met je digitale veiligheid door vrijblijvend op te nemen:
Deel artikel
