En hoe Microsoft Zero Trust je daarbij kan helpen
Je bent druk met een e-mail voor je collega met privacygevoelige informatie in de bijlage. Bij het intikken van de naam van je collega, druk je net iets te snel op de entertoets en voor je het weet ligt de e-mail niet bij je collega, maar bij een externe partij. Oeps… Dit soort datalekken staat met stip bovenaan. Hoe voorkom je een dergelijke situatie en hoe houd je onbevoegden buiten de deur? 5 tips om datalekken te voorkomen.
Eén dikke beveiligingsmuur rond je data, gebruikers, devices en applicaties volstaat niet meer. We zijn steeds meer gebruik gaan maken van cloudapplicaties en mobiele devices. De vaste werklocatie is intussen door velen ingeruild voor een flexplek. Dit heeft grote invloed op het beschermen van gevoelige informatie en dit vergt een andere manier van denken. Zeker omdat de meeste datalekken worden veroorzaakt door menselijke fouten.
Aanvallen zijn veranderd
Datalekken en cyberaanvallen zijn in de laatste twee jaar niet alleen behoorlijk toegenomen, maar ze zijn ook veranderd. Daar zijn organisaties zich nog te weinig bewust van. Het lamleggen van organisaties is een businessmodel voor criminele organisaties die dagelijks wordt toegepast. Ook komt extorsion steeds vaker voor: het blijven chanteren van organisaties. Heb je eenmaal betaald? Dan valt er dus meer te halen.
Het advies luidt altijd dat je niet moet betalen, maar in de praktijk wordt er regelmatig door een derde partij onderhandeld om de digitale gijzeling te stoppen. Je hebt immers een (grote) naam hoog te houden. Wat dacht je van Maersk die wereldwijd tijdelijk de controle verloor over haar containers? Of instanties als de Universiteit van Maastricht, Gemeente Hof van Twente, KIA, ziekenhuizen en diverse overheidsinstanties in Amerika die stuk voor stuk hun privacygevoelige informatie op straat zagen liggen?
Tip 1: Bewustwording
Nog altijd hebben veel organisaties het idee dat zij niet zo snel te maken zullen krijgen met datalekken of cyberaanvallen. Maar vergis je niet. Op individueel niveau liggen de ‘kansen’ juist voor het oprapen. Denk bijvoorbeeld aan het feit dat we sinds de uitbraak van COVID-19 steeds meer thuiswerken. Misschien leent een medewerker af en toe de zakelijke laptop uit aan één van de kinderen. Weet de ouder precies wat een kind op die laptop aanklikt en/of downloadt?
Op technisch vlak kunnen we veel zaken afvangen, maar de grootste winst zit hem in de bewustwording. Wees je bewust van de informatie die je verwerkt en welke consequenties het kan hebben als die informatie uitlekt. Is het bijvoorbeeld verstandig om patiëntgegevens in de auto te laten liggen? Gooit iedereen de geprinte papieren wel in de juiste bak of werken we dumpster diving in de hand? Hoe mogen medewerkers documenten opslaan op hun device? Door hier heldere afspraken over te maken, komen we gelijk uit bij tip 2.
Tip 2: Beleid
Leg je IT-beleid vast. Voordat je dit doet, zul je moeten nadenken over zaken als: hoe mogen medewerkers documenten opslaan en versturen? Is het nodig om bepaalde classificaties toe te passen in verband met dossier-/patiënten-/burgerservicenummers? Denk maar eens aan al die gegevens die twee mannen bij de GGD hebben buitgemaakt. Hoe eenvoudig is het inloggen voor medewerkers om hun werk te kunnen doen? Hoe detecteren we ongebruikelijk netwerkverkeer zodat het gebruik van bijvoorbeeld Dropbox en Wetransfer kan worden uitgesloten? Is alle informatie op het device veilig, ook bij diefstal of verlies?
Heb je eenmaal je IT-beleid staan, dan moet je die ook borgen. Niemand kan zich dan nog verschuilen achter het excuus ‘ik was hier niet van op de hoogte’. Bouw vooral aan een praktisch beleid dat aansluit bij je organisatie. Dit voorkomt dat medewerkers om je beleid heen gaan werken. Zolang medewerkers niet overtuigd zijn van een verbeterde situatie, zullen ze vasthouden aan oude patronen. Het creëren van draagvlak is dus essentieel.
Tip 3: Gebruik een veilige e-mailoplossing
We noemden het voorbeeld al even in het begin: je bent bezig met een mail voor een collega, maar in de haast verstuur je de mail naar een externe partij. Een pijnlijke situatie als je in diezelfde e-mail privacygevoelige informatie hebt staan. Het beste is om dit soort gegevens nooit te delen via de e-mail, maar gebruik te maken van een oplossing die je kunt lezen bij tip 4.
Mocht je echt niet om het e-mailen heen kunnen, gebruik dan een ‘Data Loss Prevention’-oplossing, kortweg DLP. Dankzij deze oplossing kun je data, zowel bestanden als e-mail, classificeren. Op basis van die classificatie kan er een beleid worden toegewezen, zodat bepaalde gegevens worden geblokkeerd op basis van een bepaald label. Bepaalde informatie kan zelfs helemaal niet per e-mail verzonden worden dankzij de mogelijkheid om teksten inhoudelijk te laten scannen op informatie als BSN’s. Op die manier kun je nooit gegevens als burgerservicenummers en creditcardgegevens per ongeluk naar buiten sturen.
Heb je de DLP-oplossing vastgelegd in je IT-beleid? Dan kun je met een speciale licentie van Microsoft ervoor zorgen dat privacygevoelige informatie automatisch een stempel/tag krijgt, zodat dit niet meer verstuurd kan worden.
Tip 4: Bestanden veilig delen
Uit recent onderzoek blijkt dat met name het omgaan met vertrouwelijke informatie lastig blijft. Hoe kun je bestanden nu het veiligst met elkaar delen? Door om te beginnen volledig papierloos te werken. Dit is zeker nog niet binnen alle organisaties het geval, waardoor er vaak geen zicht meer op de informatie is zodra die de printer heeft verlaten. Door automatisch een waarschuwing te laten verschijnen op het moment dat je informatie wil printen en het watermerk ‘vertrouwelijk’ op papier toe te voegen, gaan medewerkers anders tegen een dergelijk document aankijken. Men zal bewuster omgaan met de geprinte informatie en kiest er eerder voor om de papieren in de juiste container te stoppen.
Ga je voor volledig papierloos, denk dan eens na over het werken met de clouddienst OneDrive of SharePoint van Microsoft. Met deze clouddiensten ben je in staat om alleen een link naar een bestand te delen, terwijl het bronbestand in jouw veilige omgeving blijft staan. Extra bijkomstigheid is dat iedereen altijd de meest actuele versie ziet. Verlaat iemand de organisatie of vindt er een interne switch plaats? Beperk of neem dan eenvoudig zijn/haar rechten in.
Tip 5: Sta alleen versleutelde gegevensdragers toe
Je kabeltje is stuk en je kiest voor een vervangend goedkoop exemplaar uit China. Uiteindelijk kan die keuze je duur komen te staan, want je kunt te maken krijgen met een zogenoemde supply-chain-aanval. Dat betekent dat er bewust iets tussen je kabeltje geplaatst is om je computer te infecteren. En krijgen medewerkers met enige regelmaat USB-sticks op beurzen? Ontzettend vriendelijk, maar laat ze deze sticks vooral afslaan of in ieder geval niet gebruiken. Je weet niet wie de USB-stick heeft voorzien van ‘informatie’. Is er toch eentje eigenwijs? Zorg er dan voor dat externe gegevensdragers te allen tijde geblokkeerd worden. Voorkomen is beter dan genezen.
Naast dat gegevensdragers potentiële bronnen van malware of virusinfecties zijn, raken ze nogal eens kwijt (dit overkwam Zorgverlener Flevoziekenhuis) of worden vergeten. Kan jouw organisatie echt niet zonder USB-sticks of andere gegevensdragers functioneren? Door ze voor gebruik te versleutelen, zorg je ervoor dat informatie ook in geval van diefstal of verlies veilig is.
Vertrouw niemand
Om de digitale veiligheid van jouw organisatie te bewaken, heb je dus met een grote menselijke factor te maken. Daarom gaat Microsoft een stap verder met het Zero Trust-principe: vertrouw niemand en ga ervanuit dat er altijd sprake is van een lek. In plaats van een compleet fort te bouwen, monitor je elk toegangsverzoek en wordt er pas toegang verleend nadat het verzoek volledig is geverifieerd, gemachtigd en versleuteld. Zodra je een onbekend device en/of identiteit ontdekt, dan plaats je die in quarantaine om eventuele inbreuk op gevoelige informatie te voorkomen. Wordt er gewerkt op een device dat niet vertrouwd is? Voldoet de netwerkverbinding niet aan de compliancy eisen? Dan kunnen gegevens uit de vertrouwde omgeving niet gekopieerd en geplakt worden en bepaalde acties zijn niet uit te voeren. Daarnaast biedt Microsoft een speciale licentie die ervoor zorgt dat privacygevoelige informatie automatisch een tag krijgt, zodat dit niet meer verstuurd kan worden.
Niemand zit erop te wachten dat de bedrijfscontinuïteit onder druk komt te staan door een datalek, waardoor het volledige personeel wekenlang niet kan werken. Dus wat ga jij doen om jouw digitale veiligheid te waarborgen?
Kom te weten wat Microsoft Zero Trust voor jouw organisatie kan betekenen of hoe het echt gesteld is met je digitale veiligheid door eens vrijblijvend contact met mij op te nemen.
