Privacygevoelige gegevens: de ketting is zo sterk als de zwakste schakel

Dirk-Geeraerts_Safenet

Teveel IT-bedrijven gaan niet goed om met gevoelige data van gebruikers. Niet alleen de toegang is slecht beveiligd, ook de gegevens zelf zijn niet goed beschermd. Het is tijd dat organisaties inzien dat single-sign-on (SSO) op zichzelf lang niet voldoende is om privacygevoelige informatie veilig te stellen.

Vorige week werden er bij een hack bij Topface.com miljoenen e-mailadressen en gebruikersnamen gestolen. Doordat de Russische datingwebsite echter gebruik maakt van SSO, stelt men dat er geen enkele reden tot zorg is: “Er zijn bij de hack geen wachtwoorden gestolen, simpelweg omdat die niet op onze servers staan opgeslagen. De meeste van onze gebruikers loggen namelijk in via Facebook of andere sociale media.”

Typerend

Die reactie is typerend voor hoe veel bedrijven momenteel denken. Toegegeven, het gebruik van SSO zorgde er in dit geval inderdaad voor dat er geen wachtwoorden zijn gestolen. Maar wie denkt dat de hackers de gestolen e-mailadressen alleen kunnen gebruiken voor het aanleggen van een spamdatabase, zit ernaast.

Veel mensen gebruiken immers overal dezelfde inloggegevens. Door de e-mailadressen en gebruikersnamen dus naast een lijst te leggen van andere hacks uit het verleden, waar wél wachtwoorden werden buitgemaakt, krijgen hackers nu ook toegang tot Topface.com-accounts. Die in veel gevallen zeer privacygevoelige informatie zullen bevatten.

One-time-password (OTP)

De ketting is dus zo sterk als de zwakste schakel. En om niet afhankelijk te zijn van de veiligheidsmaatregelen van derden, raad ik bedrijven daarom aan om het gebruik van SSO altijd te combineren met een one-time-password-systeem (OTP).

Daarbij moeten gebruikers bij elke inlogpoging naast hun statische wachtwoord ook een generieke code afgeven. Denk aan de random reader van ABN Amro bijvoorbeeld. Of aan het verzenden van een sms-code, zoals ING en zorgverzekeraars dat doen.

Secure breach

Nog belangrijker is echter dat bedrijven voorkomen dat privacygevoelige data in eerste instantie op straat komt te liggen door middel van een secure breach. Bij deze aanpak laten bedrijven het idee varen dat ze kunnen voorkomen dat hackers toegang krijgen tot hun systemen.

Dat betekent uiteraard niet dat ze geen perimeter-security meer toepassen. Maar hoe goed deze beveiliging ook is, er is altijd wel een kans dat een hacker er doorheen breekt. En dan is het belangrijk dat data beschermd zijn. Door multifactor-authenticatie bijvoorbeeld, of dataencryptie. Door niet alleen de toegang tot, maar dus ook de data zelf beter te beveiligen, zijn alle gegevens immers waardeloos als een hacker toch weet in te breken.

Verantwoordelijkheid

Als het om persoonlijke gegevens gaat, bestaat er niet zoiets als niet-privacygevoelige informatie. Bedrijven die dergelijke data opslaan, hebben dan ook de plicht om deze zo goed mogelijk te beschermen. Het wordt tijd dat ze die verantwoordelijkheid serieus nemen.

Dirk Geeraerts is Regional Sales Director van Gemalto