premium white paper
Omgaan met gevoelige informatie Eerst de mensen, dan pas DLP Door: Mirjam Hulsebos 24 februari 2011
1
Omgaan met gevoelige informatie
premium white paper
Eerst de mensen, dan pas DLP
Omgaan met gevoelige informatie Eerst de mensen, dan pas DLP Door: Mirjam Hulsebos 24 februari 2011
De WikiLeaks affaire heeft veel directies en raden van bestuur aan het denken gezet: welk risico loopt mijn organisatie als documenten met gevoelige informatie op straat komen te liggen? Hoe kunnen we dit risico zo ver mogelijk verkleinen? Welke maatregelen moeten we nemen? En kan de techniek daarbij een handje helpen? Wij vroegen het twee onafhankelijke experts en een gebruiker.
Dataprotectie is jarenlang ingestoken vanuit de netwerken systeemkant: door het netwerk en de systemen te beveiligen, worden gevaren van buitenaf tegengehouden. Maar binnen bedrijven ontwikkelt zich nu een veel grotere dreiging: het toenemende gebruik van social media en van allerlei mobiele apparatuur die verbonden wordt met het bedrijfsnetwerk. Misschien moeten we niet de systemen, maar de informatie zelf gaan beveiligen. Dit is de essentie van Data Loss Prevention: beveilig de data zelf, zodat als deze uitlekt de ‘vinder’ er niets mee kan, of zorg ervoor dat data het bedrijf niet uit kan of bij de verkeerde mensen kan komen. Zeker na de WikiLeaks affaire en de vele gevallen waarin nietsvermoedende medewerkers over gevoelige bedrijfsinformatie twitterden is de aandacht voor dit onderwerp groot. Uit recent onderzoek van Checkpoint blijkt dat slechts 10 procent van de algemeen managers en directeuren denkt dat het eigen bedrijf goed is beveiligd. IT-managers zijn iets positiever gestemd: van hen denkt 19 procent dat de genomen maatregelen streng zijn. Gevraagd naar redenen om in DLP te investeren, noemden algemeen managers vooral bescherming van de bedrijfsgegevens. Maar liefst 86 procent vinkte dit antwoord aan. Bescherming van klantgegevens (48 procent), reputatie (38 procent) of voldoen aan compliancy-richtlijnen (31 procent) vormen een aanzienlijk minder belangrijk argument.
Voor IT-managers ligt er momenteel een geweldige kans om meer budget te krijgen voor beveiliging, mits zij de investeringsaanvraag insteken vanuit de risico’s die ontstaan als bedrijfsgegevens weglekken, en mits zij die aanvraag vergezeld laten gaan van een heldere businesscase. De praktijk Dat laatste is nog wel eens een uitdaging. Want de businesscase is vaak lastig te maken voor een heel bedrijf, weet Chris van den Brink, manager security & compliance bij AkzoNobel. Hij zorgt met zijn team voor de informatiebeveiliging van AkzoNobel wereldwijd. Dat is met 56.000 medewerkers een grote opgave. “We hebben altijd onze systemen van buitenaf beveiligd tegen ongenode gasten. Maar het gevaar dat informatie van binnenuit weglekt doordat medewerkers onvoorzichtig met informatie omgaan, wordt steeds groter. Er ontstaat behoefte om dat nu structureel op te pakken.” Hoewel AkzoNobel op dit moment nog geen speciale DLP-tools heeft draaien, beschikt het bedrijf al wel over veel functionaliteiten. Van den Brink en zijn team zijn momenteel bezig te analyseren welke functionaliteit al in andere systemen beschikbaar is, wat daarvan al wordt gebruikt en waar nog niet. “Denk bijvoorbeeld aan digital rights management dat al gewoon in de Microsoftomgeving is opgenomen, of aan e-mailscanners die de mogelijkheid bieden om uitgaande mail op specifieke woorden te controleren.”
2
Omgaan met gevoelige informatie
premium white paper
Eerst de mensen, dan pas DLP
De gaten die overblijven wil Van den Brink dichten met nieuw aan te schaffen DLP-tooling. Omdat de businesscase voor heel AkzoNobel lastig te maken is, kijkt het bedrijf eerst naar de afdelingen waar het risico het grootst is, zoals researchafdelingen en projectteams die aan vertrouwelijke projecten werken. “Want voor zo’n afgebakend gebied met een hoog risicoprofiel is de businesscase ineens erg helder.” Van den Brink waakt ervoor dat het geen IT-feestje wordt. “Tooling kan helpen, maar uiteindelijk ligt de belangrijkste rol bij de medewerkers zelf.” Daarom ontwikkelt Van den Brinks afdeling materialen die ze aan de businessunits beschikbaar stellen. E-learning speelt daarin een belangrijke rol, evenals leaflets en roadshows. “In onze bewustwordingstrainingen gebruiken we veel voorbeelden, dat blijft bij mensen hangen. Wat is bijvoorbeeld de kans dat een klant jouw privéfoto’s op Facebook ziet en welk beeld krijgt hij dan van je? En stel dat het mailsysteem even niet beschikbaar is, en medewerkers gebruiken als workaround Google mail, welke risico’s loop je dan?” Nieuwe risico’s Wilbert Pijnenburg is directeur Benelux van InfoSecure, een consultancy- en trainingsbureau op het gebied van beveiligingsbewustzijn. Hij vindt de aanpak van AkzoNobel de juiste: gebruik tooling ter ondersteuning, maar vergeet het trainen van medewerkers niet, want uiteindelijk is de mens nog altijd de zwakste schakel in de securityketen. Hij constateert dat organisaties zich daar gelukkig steeds meer van bewust worden: “Wij krijgen veel aanvragen van bedrijven die social media als risicofactor zien. Maar ook ontwikkelingen als het nieuwe werken en cloud computing jagen het bewustzijn aan dat we op een andere manier over beveiliging moeten gaan nadenken.” We hebben heel lang de netwerken en systemen beveiligd, maar de informatie zelf staat daar open en bloot op. Met de nieuwe risico’s is het verstandig ook de informatie zelf te beveiligen. Dat is in grote lijnen wat DLP-tools doen. DLP is een containerbegrip waar leveranciers – om vooral maar mee te liften op de hype – van alles onder schuiven. Er zijn nicheproducten die één gebied aanpakken (bijvoorbeeld encryptie van USB-sticks) en er zijn suites die alle mogelijke vormen van datalekken tegengaan. Wij verstaan onder DLP
oplossingen die informatie identificeren, monitoren en/of beschermen tegen onveilige manieren van gebruik. Hans Doornbosch is directeur van Pinewood, een expert in data- en netwerkbeveiliging. Hij constateert: “De term DLP is momenteel hot, maar de meeste onderliggende functionaliteiten bestaan al veel langer. Het is bijvoorbeeld al jaren mogelijk data te versleutelen voordat je deze verstuurt. En ook bestaat de mogelijkheid al lang om (privacy)gevoelige tekst te herkennen en op basis van bepaalde woorden of cijfercombinaties te beslissen dat een dergelijk vertrouwelijk document niet zonder encryptie mag worden verstuurd. Nieuw is dat leveranciers deze losse tools bundelen in totaal oplossingen. Sommige van die oplossingen gaan zo ver dat een systeembeheerder werkelijk alles kan zien wat een medewerker op het netwerk doet. Het is juridisch nog een groot vraagteken hoe ver je daarin mag gaan.” Data classificeren DLP-oplossingen beschermen dus de data zelf. Maar dat kan alleen als je weet of het al dan niet gevoelige informatie betreft. En hier komen we op nieuw terrein, stelt Doornbosch. “ICT-security is heel lang het domein van de IT-afdeling geweest, maar nu moet het management gaan bepalen welke informatie al dan niet vertrouwelijk is. Want dat kun je niet aan de IT-afdeling overlaten. Dit is volledig nieuw, dat betekent een grote omslag in het denken.” Een enkele organisatie nagelaten, zoals bijvoorbeeld het ministerie van Defensie, hebben managers nog nooit moeite gedaan om met metadata aan te geven of informatie vertrouwelijk is en wat het risico is als het uitlekt. Maar dat is wel wat je zou moeten doen. Je moet van alle data op het netwerk vaststellen of deze al dan niet vertrouwelijk is, en zo ja, wie die documenten wel of niet zouden mogen lezen. Dat is gigantisch veel werk, want je zou alles handmatig moeten classificeren. Voor een wat kleiner bedrijf is dat misschien nog wel te doen, maar voor een multinational is dat haast onmogelijk. Techniek kan hier een oplossing bieden, maar pas op dat dat geen schijnoplossing is. Er zijn DLP-oplossingen die documenten filteren op woorden of cijfercombinaties (bijvoorbeeld creditcardnummers). Dat lijkt mooi, want dan kun je dit classificatieproces automatiseren. Maar dat is een stuk lastiger dan op het eerste gezicht lijkt. Want op welke woorden filter je? Kies je de woorden te
3 Naar boven
Omgaan met gevoelige informatie
premium white paper
Eerst de mensen, dan pas DLP
ruim, dan heb je een heleboel false positives. Dan krijgen medewerkers om de haverklap de waarschuwing dat een document dat ze willen mailen vertrouwelijke informatie bevat, terwijl het woord waarop de software filtert in een heel andere context wordt gebruikt. Kies je aan de andere kant je woorden te krap, dan loop je het risico dat je alsnog veel gevoelige informatie zonder encryptie verstuurt. Van den Brink van AkzoNobel denkt dat filteren op woorden alleen werkt bij vertrouwelijke projecten die een codenaam hebben. “Dan kun je er vrij eenvoudig voor zorgen dat alle documenten waar die naam in voorkomt alleen ingezien mogen worden door mensen van het projectteam. Opent een ander het document, dan wordt het onleesbaar.” Maar ook hij denkt dat filteren op algemene woorden als ‘vertrouwelijk’ zinloos is. Generieke en specifieke maatregelen Doornbosch sluit zich daarbij aan. Hij pleit er dan ook voor niet te beginnen met de techniek, maar met beleid. Stel vast welke risico’s het bedrijf loopt als informatie uitlekt. Dit houdt in dat het management van ieder stuk data zou moeten vaststellen of dit al dan niet gevoelige informatie betreft en wie daar toegang toe zou mogen hebben. De volgende stap is bewustmaking van alle medewerkers. Als medewerkers zich niet bewustzijn van de risico’s, is de kans immers groot dat ze geheel te goeder trouw toch informatie lekken. De laatste stap is technische maatregelen. Die zijn te splitsen in generieke en specifieke. Doornbosch: “Onder generieke maatregelen verstaan we die dingen die iedere organisatie eigenlijk standaard zou moeten doen, zoals het versleutelen van informatie op USB-sticks, het beveiligen van mobiele apparatuur met een wachtwoord et cetera. Specifieke maatregelen zijn bijvoorbeeld siteto-site versleuteling van e-mailverkeer. Op de centrale mailgateway is dat eenvoudig in te richten. Het zorgt ervoor dat al het mailverkeer met partijen met wie je intensief samenwerkt en met wie je regelmatig gevoelige gegevens uitwisselt standaard wordt versleuteld. Daar hoeft de medewerker die iets verstuurt niet bij na te denken. En de ontvanger kan het document gewoon openen, zonder dat hij iets van de versleuteling merkt.” Hoewel dit soort technologie breed en tegen niet al te hoge kosten voorhanden is, valt het Doornbosch op dat de acceptatie ervan vrij laag is. “Banken en bepaalde
overheidsorganisaties, zoals de meeste ministeries, hebben dit goed voor elkaar. Maar er zijn ook heel wat grote organisaties die op dit vlak niets hebben geregeld. Hier ligt nog een hele markt braak.” Eén van de redenen voor de lage acceptatie van techno logie ligt in de complexiteit van veel tools. Mensen moeten teveel handelingen verrichten om een document te versleutelen voordat het verstuurd kan worden. Pijnenburg: “Neem PKI: prachtige techniek, maar erg omslachtig voor de gebruiker. Die moet in ieder document aangeven wie het mag lezen.” Bovendien is het concept van unieke naamgeving van entiteiten en personen heel lastig te beheren. Daarom hebben dit soort oplossingen nooit een brede markt gevonden, het zijn nicheproducten. Beveiligingsbewustzijn verhogen Technologie kan, mits niet te complex en niet te omslachtig, datalekken voorkomen, maar alleen als deze technische maatregelen worden gecombineerd met een programma om de security awareness te verhogen, vindt Pijnenburg. “Tools hebben vaak alleen invloed op de reactieve awareness: ‘oh ja, ik moet apart inloggen op deze financiële applicatie omdat het gevoelige informatie betreft.’ Maar wat je eigenlijk wilt is een proactieve awareness creëren: ‘altijd als ik financiële informatie of klantgegevens wil delen, moet ik me ervan bewust zijn dat ik dat document niet maar zo in een e-mail kan versturen.’ Medewerkers moeten zich bewust worden van de risico’s en ze moeten daarna hun gedrag daarop aanpassen.” Zes-stappenplan. 1. Openstaan
6.
Pijnenburg Bijhouden verwijst in dit kader naar het zes-stappenplan 5. van Doen M.F.K. Balm om gedragsverandering teweeg te brengen.
2. Begrijpen
3. Bereid zijn
4. In staat zijn
4 Naar boven
Omgaan met gevoelige informatie
premium white paper
Eerst de mensen, dan pas DLP
De eerste stap is open staan voor verandering: mensen die bij voorbaat de hakken in het zand zetten, zijn nauwelijks te motiveren tot gedragsverandering. De tweede is begrijpen: als de medewerker het nut van een bepaalde policy niet snapt, zal hij zijn gedrag niet aanpassen. De derde is dat hij of zij het ook moet willen: hij kan het nut wel inzien maar desalniettemin de maatregel negeren omdat het bijvoorbeeld teveel rompslomp is. En de vierde voorwaarde is dat hij in staat moet worden gesteld om zijn gedrag aan te passen: als een medewerker thuis niet over een beveiligde verbinding met kantoor beschikt, dan zal hij immers documenten via een onbeveiligde internetverbinding naar zijn thuiscomputer blijven mailen. Pas als aan deze eerste vier voorwaarden is voldaan, volgen de vijfde en zesde stap: de gedragsverandering doorvoeren en handhaven. Social engineering onderzoeken Pijnenburg: “Het schort vaak aan een of meerdere van die eerste vier stappen. Wij doen voor klanten regelmatig social engineering onderzoeken, waarbij we een nepomgeving maken waar we mensen naartoe lokken. Daar vragen we ze hun naam en wachtwoord in te voeren. Daaruit blijkt ten eerste dat mensen, zonder erbij na te denken, hun wachtwoord ergens intypen als dat ze wordt gevraagd. En ten tweede dat het gros van de mensen nog altijd makkelijk te raden wachtwoorden gebruikt: het nummerbord van hun auto, de naam en geboortedatum van de partner, hun lievelingsmerk gevolgd door een cijfer dat ze laten oplopen iedere keer als ze wordt gevraagd hun wachtwoord te vernieuwen.
informeerden dat de slagboom nog steeds kapot was en je dus zo door kon rijden. Dat twitterbericht was de reden waarom de directie ingreep, waardoor ze zich ineens bewust werden van het nut van awareness. Zij dachten de informatiebeveiliging goed op orde te hebben, maar werden door dit incident wakker geschud.” Mobiele devices Een laatste onderwerp dat managers zorgen baart is dat medewerkers altijd online zijn met hun mobiele apparaten. Als die niet centraal worden beheerd, dan vormen ze inderdaad een groot gevaar, waarschuwt Doornbosch. Maar als de ICT-afdeling ze met de ruim beschikbare technologie netjes afschermt met een username en password, dan kunnen ze soms ook helpen gevaren juist in te dammen. Doornbosch: “Een tijd geleden liet een rechter per ongeluk een dossier in de taxi liggen. In dat dossier zat een versleutelde USB-stick en een aantal prints van de versleutelde documenten op die stick. Ja, daar helpt versleuteling natuurlijk ook niet tegen. Stel dat deze rechter gebruik zou maken van een beveiligde iPad of een e-reader, dan zou er niets aan de hand zijn geweest. Nu was het voorpaginanieuws.” De conclusie is duidelijk: DLP-tools vormen een goede manier om data zelf te beveiligen, maar als u ze inzet zonder gericht beleid om de bewustwording van mede werkers te verhogen, bieden ze alleen schijnveiligheid. Een combinatie van tooling en training is de enige manier om de beveiliging naar een hoger plan te tillen.
Mensen begrijpen gewoon niet goed waarom het belangrijk is een wachtwoord te kiezen dat anderen niet kunnen raden. Ze zien de risico’s niet. Als je in een bedrijf met een dergelijke cultuur DLP-software gaat gebruiken die geautomatiseerd op basis van trefwoorden herkent of een document al dan niet gevoelig is, en dan een waarschuwing geeft, dan zullen deze medewerkers hoogstwaarschijnlijk wegklikken zonder daarbij na te denken. Zo’n melding heeft nauwelijks effect op de awareness, tenzij je gebruikers goed traint en ervoor zorgt dat er nauwelijks false positives tussen zitten.” Doornbosch is dezelfde mening toegedaan. “Er zijn voldoende technische maatregelen, maar het schort aan het bewustzijn. We hebben laatst een training gegeven bij een groot bedrijf waar de mensen elkaar via twitter
5 Naar boven