Databedreigingen: hoe te voorkomen en hoe te handelen?

​Begin dit jaar lagen de privégegevens van zo’n achtduizend inwoners van Oegstgeest op straat. Een oud-medewerker nam bestanden mee op haar privécomputer en doordat de pc tijdelijk verbonden was met internet, kwamen de gegevens beschikbaar. In het Antoni van Leeuwenhoek Ziekenhuis stalen dieven een externe harde schijf met daarop de gegevens van bijna achthonderd patiënten. De onbeveiligde externe harde schijf lag in de kofferbak van een onderzoeker van het Amsterdamse ziekenhuis. Twee maanden later verstuurde GGD IJsselland een niet-versleutelde USB-stick met zeer vertrouwelijke informatie over een gezin via de post. De stick is nooit aangekomen. En de vraag blijft: is hij verdwenen of in verkeerde handen gevallen?

Bescherming tegen databedreigingen

​Drie recente voorbeelden die laten zien dat organisaties hun bedrijfsdata niet alleen moeten beschermen tegen externe databedreigingen, maar ook zeker van binnenuit. Want soms is de dader degene die de hele dag naast je op kantoor zit en niet een anonieme, gemene hacker zoals je had verwacht. Hoewel de medewerkers in alle gevallen er waarschijnlijk geen kwade wil bij hebben gehad, zorgden zij toch voor datalekken en reputatieschade. Daarnaast zijn er voorbeelden van (ex)werknemers – verleid door externen of vanuit gevoel van ongenoegen of aangedaan onrecht – die wél bewust waardevolle en gevoelige bedrijfsgegevens kopiëren, verwijderen of onbruikbaar maken.

Wake-up call​ databedreigingen

​​​​Grote organisaties als de gemeente Oegstgeest, het Antoni van Leeuwenhoek Ziekenhuis en de GGD hebben te maken met grote hoeveelheden vertrouwelijke informatie. Juist de aard van die gegevens zou hen flink wakker moeten schudden om er op de juiste manier mee om te gaan. Het grootste probleem blijft echter dat de meerderheid van de organisaties zich focust op externe databedreigingen en de interne bedreigingen blijft onderschatten. Terwijl deze laatste juist een grote bedreiging vormen.

Wanneer privacygevoelige informatie beschikbaar is voor hun eigen werknemers, moeten organisaties zich realiseren dat er een kans bestaat dat deze gegevens in verkeerde handen vallen. Bewust, maar vaker nog onbewust.

Informeren en opleiden

Al in december vorig jaar werd de harde schijf uit de auto van de medewerker van het Antoni van Leeuwenhoek Ziekenhuis gestolen; pas in maart maakte hij hier een melding van. Voor een uitstekende beveiliging is het belangrijk dat organisaties hun medewerkers informeren over het gevaar van zowel externe als interne security-bedreigingen. En hen opleiden in hoe zij moeten handelen wanneer ze iets verdachts opmerken. Dat is minstens zo belangrijk als perimeterbeveiliging en het verzamelen van loggegevens.

​Naleven protocollen

​En de taak houdt niet op bij het informeren en opleiden van werknemers. Ook dienen werkgevers richtlijnen op te stellen voor de consequenties van het in gevaar brengen van de informatiebeveiliging. En vooral belangrijk: deze daadwerkelijk naleven. Dat gebeurt nog te weinig. Maar ook wanneer het gaat om protocollen voor dagelijkse databeveiliging, hebben veel organisaties nog iets te leren. Zo verandert slechts minder dan de helft van de werkgevers bijvoorbeeld de wachtwoorden van oud-werknemers. Organisaties moeten doortastend zijn en zich houden aan de strikte protocollen die zij zelf hebben opgesteld. Juist wanneer het gaat om de omgang met privacygevoelige informatie.
Non-stop monitoren

​Bovendien is volledige zichtbaarheid in hun systeem-, applicatie- en netwerkactiviteiten van belang voor organisaties. Door de complete keten realtime en continu te monitoren, merken organisaties ongebruikelijke activiteiten direct op zodra ze zich voordoen. Denk aan het downloaden van grote batches gevoelige gegevens en het uploaden daarvan naar publieke sites. Probleem hierbij is dat veel organisaties denken dat hun securitymaatregelen als antivirus- en firewalloplossingen dit werk al voor hen doen. Toch vraagt een grondiger inzicht in de eigen IT-omgeving om beschermende monitoringssystemen die gecentraliseerd en geautomatiseerd zijn. Zo kunnen werknemers onmogelijk bedrijfsdata opslaan op een onbeveiligde locatie, zonder dat dit wordt gedetecteerd. En kan zelfs het gebruik van USB-sticks opgemerkt worden. Dat voorkomt in één klap problemen als die van de gemeente Oegstgeest, het Antoni van Leeuwenhoek Ziekenhuis en de GGD IJsselland.

Meer weten over de databedreigingen besproken in dit artikel? Lees verder:

Gastexpert
[block]Rob Pronk is Regional Director Northern Europe van LogRhythm.[/block]
Databedreigingen: hoe te voorkomen en hoe te handelen?
Organisaties moeten hun bedrijfsdata niet alleen beschermen tegen externe databedreigingen, maar ook zeker van binnenuit.