Meldplicht noodzaakt tot beter inzicht in datalekken

Een systeem dat door een Distributed Denial of Service (DDoS)-aanval ‘omvalt’, blijft niet lang onopgemerkt. Dat kan helaas niet worden gezegd over ‘datalekken’; die blijven soms jaren onder de radar. Gelet op de enorme impact die een datalek kan hebben, is dat onacceptabel. Met een combinatie van een continue monitoring van de beveiliging, het creëren van ‘user awareness’ en technische maatregelen zoals Data Loss Prevention kan de periode dat een datalek onopgemerkt blijft tot een minimum worden beperkt.

De Nederlandse verzekeraar VGZ kwam in juli van dit jaar pijnlijk in het nieuws toen bleek dat de declaratiegegevens van ongeveer 27.000 verzekerden twee jaar lang op de privécomputer van een VGZ-medewerker hadden gestaan. De blunderende medewerker had de gegevens op de privéserver gezet om nieuwe software te testen, maar was vervolgens vergeten om ze daar ook weer te verwijderen.

Rémon Verkerk

De schade van dit incident, dat eind 2013 door VGZ werd opgemerkt, bleef voor zover bekend redelijk beperkt. “We hebben geen aanwijzingen dat de gegevens door kwaadwillenden zijn ingezien”, zo liet de verzekeraar in een persverklaring geruststellend weten. Mede door de brief die VGZ (vanzelfsprekend) stuurde aan de gedupeerde verzekerden was de reputatieschade echter een feit.

Dat het veel erger kan aflopen, bewees de Amerikaanse winkelketen Target begin dit jaar. Criminelen waren erin geslaagd om de gegevens van 40 miljoen credit- en debetcards en de persoonsgegevens van 70 miljoen klanten te ontvreemden. Binnen enkele weken waren de kosten van deze inbraak al opgelopen tot 61 miljoen dollar. Het nieuws over deze diefstal werd extra pijnlijk toen naar buiten kwam dat het securityteam van Target in Minneapolis meerdere meldingen van zowel het detectiesysteem als van collega’s in India in de wind had geslagen.

Hoge boete

Bedrijven hebben kortom redenen genoeg om alert te zijn op het weglekken van bedrijfsgevoelige gegevens. Met de invoering van de nieuwe ‘Meldplicht datalekken’ – die momenteel als wetsvoorstel in behandeling is bij de Tweede Kamer – krijgen bedrijven er nog een extra reden bij. Zowel private als publieke organisaties die persoonsgegevens verwerken, worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden bij het College bescherming persoonsgegevens (CBP). Daarnaast ontvangt in veel gevallen ook de eigenaar van de persoonsgegevens een melding als de inbreuk ongunstige gevolgen heeft voor zijn of haar persoonlijke levenssfeer. Is er sprake van nalatigheid om te melden, dan kan het CBP een boete opleggen van maximaal 450.000 euro (zie ook het kader). Dit bedrag komt bovenop de reputatieschade die door de melding wordt geleden.

Helaas leert de praktijk dat het overgrote deel van de organisaties geen idee heeft of er data weglekken, welke data lekken en waar die dan naartoe lekken. De meeste bedrijven en instanties hebben een prima inzicht in de aanvallen waar ze mee te maken hebben, maar hebben heel weinig zicht op het verkeer dat de organisatie verlaat op het moment dat ze zijn gecompromitteerd. Dat inzicht is echter wel nodig om te voorkomen dat gevoelige gegevens in verkeerde handen vallen en om te kunnen voldoen aan de ‘Meldplicht datalekken’ die in 2015 van kracht moet worden.

Inzicht in datalekken

Een eerste stap om te komen tot meer inzicht in (uitgaande) datastromen is het periodiek uitvoeren van een scan van de beveiliging. Daarbij is het wel belangrijk om te kijken naar de scope van de scan. Heel vaak gaan bedrijven niet verder dan het controleren of alle patches zijn geïnstalleerd. Een patch kan echter ook zijn geïnstalleerd door een hacker nadat hij gebruik heeft gemaakt van een kwetsbaarheid om een systeem binnen te dringen. Door de kwetsbaarheid in dit gecompromitteerde systeem te patchen, voorkomt de hacker dat collega-hackers op dezelfde wijze de controle kunnen overnemen. Daarom moet de beveiligingsscan ook gericht zijn op het detecteren van verdacht verkeer, zoals bots die informatie sturen naar een Command and Control-server of de uitwisseling van grote hoeveelheden gegevens via diensten zoals Dropbox en OneDrive. Dit laatste is zeker verdacht als de bedrijfspolicy’s het gebruik van dergelijke opslagdiensten verbieden.

Naast de scope van de scan moet ook worden gekeken naar de frequentie. Een scan jaarlijks uitvoeren heeft eigenlijk weinig zin. Als er enkele maanden na het uitvoeren van de jaarlijkse scan een kwetsbaarheid in de beveiliging ontstaat – bijvoorbeeld door een gemiste patch – hebben hackers alsnog maanden de tijd om deze kwetsbaarheid uit te buiten. Beter is het om bijvoorbeeld maandelijks de beveiliging te scannen, of zelfs continu. Dan komt een lek of een aanval op een systeem zo snel mogelijk op de radar.

Een continue monitoring van de beveiliging kan worden gerealiseerd door het Security Information and Event Management (SIEM) ‘24/7’ te beleggen binnen een eigen Security Operations Center, of door SIEM als een beheerde dienst af te nemen. Voor veel organisaties zal een volledige SIEM-dienst echter nog een stap te ver zijn. Een goed alternatief is dan om een analysetool zoals RiskVision van Websense of de Check Point Security CheckUp permanent naar de verkeersstromen te laten kijken.

Data Loss Prevention

Uiteraard is het ook zaak om maatregelen te treffen waarmee kan worden voorkomen dat data al dan niet opzettelijk buiten de organisatie terechtkomen. Een goed voorbeeld daarvan is Data Loss Prevention. Hiermee kan bijvoorbeeld worden voorkomen dat een document door een tikfout in het e-mailadres bij de verkeerde geadresseerde terechtkomt, of dat als vertrouwelijk geadresseerde documenten in een file sharing-omgeving zoals Dropbox of Google Drive worden geplaatst.

Globaal kunnen we drie vormen van DLP onderscheiden:

• ‘Data-in-Motion Network-based DLP’, waarbij wordt gekeken welke gegevens er van het bedrijfsnetwerk naar het internet gaan. Detectie en het afdwingen van policy’s - waarin bijvoorbeeld staat welke bestandtypes het bedrijfsnetwerk mogen verlaten – vinden op een centraal punt plaats.
• ‘Data-in-Use Endpoint DLP’, waarbij er wordt gekeken welke data tussen de endpoint van zowel de interne als de remote gebruikers worden uitgewisseld. Detectie en ‘policy enforcement’ vinden op meerdere punten plaats.
• ‘Data-at-Rest DLP’, waarbij de detectie zich richt op de statische data in bijvoorbeeld databases en op endpoints.

Hoewel de productcategorie DLP al heel wat jaren oud is, staat het bij de meeste organisaties nog niet heel hoog op de agenda. Met name aan ‘Data-at-Rest DLP’ – de variant die zich richt op de statische data – wordt nog weinig waarde gehecht. Toch is het echter wel degelijk van belang om inzicht te krijgen in waar bedrijfsgevoelige informatie wordt opgeslagen en wie er toegang toe heeft. Op die manier wordt de kans verkleind dat data met behulp van een usb-stick buiten de organisatie worden gebracht.

Security-awareness

Om ‘onopzettelijk lekken’ tegen te gaan, is het ook van belang om de security-awareness van de gebruikers te verhogen. Zo is er bij het verkeerd adresseren van een e-mail doorgaans ook geen kwade opzet in het spel. Ook worden documenten doorgaans niet uit kwade wil in een file sharing-omgeving zoals Dropbox of OneDrive geplaatst. De meeste gebruikers zijn zich simpelweg niet bewust van de risico’s. Afgelopen zomer - toen bekend werd dat talloze naaktfoto’s van diverse Hollywood-beroemdheden vermoedelijk van Apple’s iCloud waren gejat - werd helaas maar weer eens duidelijk dat de beveiliging van dergelijke omgevingen nog wel eens te wensen overlaat.

Gebruikers die met vertrouwelijke data werken, moeten bewust worden gemaakt van de risico’s zodat er twee keer wordt nagedacht voordat er een document naar buiten wordt gestuurd. Een DLP-oplossing kan helpen bij het creëren van dat bewustzijn, bijvoorbeeld door het sturen van een melding naar de gebruiker. ‘Weet u zeker dat u dit wilt versturen?’

Het voorkomen van ‘opzettelijk lekken’ van data zal in alle situaties lastig blijven, zelfs als er sprake is van een continue monitoring van de beveiliging en de noodzakelijk maatregelen zijn geïmplementeerd. Zo is het niet (of nauwelijks) te voorkomen dat iemand met zijn mobiele telefoon een foto maakt van zijn scherm en de afbeelding verstuurt. Een dergelijke vorm van diefstal zal de organisatie echter niet op een boete van 450.000 euro komen te staan, aangezien het hier niet gaat om een inbreuk op de getroffen beveiligingsmaatregelen.

Meldplicht datalekken

De meldplicht datalekken - die na behandeling door de Tweede en later Eerste Kamer vermoedelijk in 2015 van kracht zal worden - is een toevoeging op de Wet bescherming persoonsgegevens (Wbp). De meldplicht legt ‘verantwoordelijken voor de verwerking van persoonsgegevens’ - zowel in de publieke als private sector - de verplichting op om ‘doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens’ te melden bij het College bescherming persoonsgegeven (CBP). In de meeste gevallen moet naast het CBP ook de betrokkene worden ingelicht als de inbreuk ‘ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Als aan deze verplichtingen niet wordt voldaan, kan een ‘bestuurlijke boete’ worden opgelegd van maximaal 450.000 euro.

Van een ‘doorbreking’ kan sprake zijn als technische en organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd, maar ook als bijvoorbeeld een laptop of smartphone met gevoelige gegevens wordt gestolen uit een afgesloten locker. De meldplicht zelf zegt niets over de maatregelen die een verantwoordelijke moet treffen voor de beveiliging van persoonsgegevens. Daarvoor wordt verwezen naar de ‘beveiligingsverplichting’ zoals die staat omschreven in artikel 13 van de Wbp. Deze bepaling verplicht de verantwoordelijke om ‘passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking’.

Europese meldplicht

Overigens is het nog maar de vraag hoe lang de Nederlandse meldplicht datalekken van kracht zal zijn. Op 25 januari 2012 heeft de Europese Commissie een voorstel gepresenteerd voor een ‘Algemene verordening gegevensbescherming’ die de richtlijn 95/46/EG en daarmee ook de Wbp zal vervangen. De beoogde verordening legt strengere privacyregels op aan organisaties en bedrijven die gegevens van Europeanen verwerken. Verder komt er een strengere toestemmingseis voor het gebruik van persoonsgegevens. Gegevens mogen alleen worden gebruikt voor het doel waarvoor ze verzameld zijn en worden opgeslagen gedurende de toegestane bewaartermijn. De nieuwe verordening – die naar verwachting niet eerder dan in 2016 in werking zal treden – zal ook een nieuwe meldplicht voor datalekken bevatten.