Het is bijna zo ver: in mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht in alle Europese lidstaten, waarbij ook sprake is van een Europese meldplicht voor datalekken. Enkele tips voor bedrijven om zich voor te bereiden op de GDPR.
We merken dat veel Europese bedrijven nog steeds niet bezig zijn met het treffen van maatregelen om voorbereid te zijn op de GDPR, terwijl verschillende aspecten van een efficiënt cybersecurity strategie veel belangrijker zullen worden. Hieraan zullen vanaf 2018 veel hogere eisen gesteld worden. Het klopt dat het een grote investering is, maar bij een hack, waarvan bedrijven inmiddels wel weten dat deze ooit wel eens zal plaatsvinden, zal dit reputatieschade bij aandeelhouders en boetes vermijden!
1. Zoek relevante sporen
De belangrijkste kwestie is dat relevante sporen vaak ontbreken. Daardoor is het erg moeilijk om te zeggen óf er iets gelekt is, en zo ja, wat dat dan zou kunnen zijn. Ook valt niet uit te sluiten dat er persoonsgegevens zijn gelekt. Deze maatregelen zorgen er niet alleen voor dat ‘sporen’ van een incident zichtbaar worden, maar dragen ook bij aan meer inzicht in wat er gebeurt. Hierdoor kan ook de algemene security verbeterd worden, zoals logbestanden langer bijhouden en bewaren en niet uitgaan van de standaardinstellingen.
In de praktijk wordt het bijhouden van logbestanden vaak beperkt tot dat wat operationeel essentieel is, vanwege (dure) opslag en de cpu-belasting. We merken vaak dat bedrijven zelf deze eenvoudige regels wel weten maar niet toepassen. Dit is een mooi voorbeeld van ‘penny wise, pound foolish’.
2. Gebruik detectie als zwarte doos
Een volgend probleem dat we zijn tegengekomen lijkt een beetje op het voorgaande: het ontbreken van netwerkdetectie. Goede netwerkdetectie zorgt als het ware voor een ‘zwarte doos’. Doordat een kopie van netwerkverkeer wordt opgeslagen, kun je terugkijken in het verleden. Dan valt vaak ook vast te stellen of er via het netwerk gegevens werden weggesluisd. Het belangrijkste hierbij is dat het dus een solide bewijslast kan opleveren waarmee je kunt stellen: ‘ik kan uitsluiten dat data is gelekt’.
3. Breng preventie, detectie en respons in balans
Netwerkdetectie is een mes dat aan twee kanten snijdt. Het geeft sneller zicht op wanneer incidenten ontsporen en beter zicht op wat er dan precies gebeurt. Netwerkdetectie kost natuurlijk geld en dat blijkt nogal eens de reden om niet aan netwerkmonitoring te doen. Maar in veel gevallen is er een verkeerde afweging gemaakt. Daarbij is te veel uitgegaan van vertrouwen in preventie, terwijl onvoldoende is stilgestaan bij wat er allemaal moet gebeuren als het toch misgaat. Preventie, detectie en respons zijn dan niet in balans.
Een bedrijf kan beschikken over een dure, geavanceerde firewall, maar tegelijk een lekke website hebben. De security lijkt dan in orde, maar vanwege die website valt er dan bij een incident niet uit te sluiten dat er persoonsgegevens weglekken en wordt volgens de GDPR een melding verplicht. Zonder netwerkmonitoring kost het in veel gevallen ook veel moeite en tijd om vast te stellen of er echt is ingebroken (als het al gaat), terwijl een lek binnen 72 uur gemeld moet worden. In een aantal praktijkgevallen heeft dit in Nederland al tot mogelijk onnodige meldingen geleid, doordat de organisatie geen zicht kon krijgen op wat er precies had plaatsgevonden.
4. Versleutel alle gegevens
Een derde issue is het ontbreken van data-encryptie. Op laptops is versleuteling gemakkelijk te realiseren, Windows heeft bijvoorbeeld standaard BitLocker beschikbaar. De huidige beschikbare encryptietechnieken zijn absoluut adequaat, alleen zwakke wachtwoorden (‘123456 en password’) blijven een kwetsbaar punt. Als een onversleutelde laptop wordt gestolen of verloren raakt en het is niet uit te sluiten dat er persoonsgegevens op staan, moet dat onherroepelijk worden gemeld. Ook op servers en ‘reizende’ data (cloud, usb-sticks, e-mail, e.d.) kan encryptie vaker worden toegepast. Door dat te doen krijgt een aanvaller misschien wel de beschikking over bepaalde bestanden, maar de data in die bestanden zijn nog steeds versleuteld. Een goede maatregel dus om de impact van een digitale inbraak te beperken.
5. Heb een digitale hulpverlener ter beschikking in geval van nood
In de praktijk duurt het nog vaak te lang voordat de juiste mensen binnen de organisatie op de hoogte zijn van een incident. Vanwege onvoldoende hoog trainingsniveau weten mensen niet welke stappen genomen moeten worden bij een incident. Praktijk is dat meldingen niet meteen serieus worden genomen en er eerst zelf gekeken wordt wat er aan de hand is. Dat leidt tot uitglijders, zoals het meteen opschonen van de pc, met als gevolg dat alle sporen weg zijn.
Het is echt belangrijk dat iedereen in de organisatie snapt wat er moet gebeuren – deze respons is net zo belangrijk als preventie en detectie. Neem een voorbeeld aan de financiële sector, waar organisaties zeer veel aandacht besteden aan de eerste respons na een incident. Kortom, er is behoefte aan een digitale hulpverlener, intern of extern, die weet wat er moet gebeuren en wie er moet worden ingeschakeld.
6. Neem nu maatregelen
De komst van de GDPR is een extra stimulans om de it-security verder te verbeteren. Voor grotere bedrijven, met name multinationals, verandert er overigens nog meer. Bedrijven met een bepaalde hoeveelheid persoonsgegevens en medewerkers moeten een data privacy officer aanstellen die verantwoordelijk is voor de juiste gang van zaken rond de beveiliging van persoonsgegevens. Het is zaak om daar nu al rekening mee te houden. De effecten van de meldplicht moeten nog indalen en het loopt in heel Europa nog niet storm met meldingen. Maar dat zal ongetwijfeld veranderen zodra de eerste zware boete opgelegd wordt aan een bedrijf.
Krijn de Mik, Threat Intelligence Manager bij Fox-IT