image

Nooit meer gegevens op straat...

dinsdag 29 januari 2008, 15:12 door Redactie, 6 reacties

Vergeet virussen en hackers, het eigen personeel is de belangrijkste oorzaak dat vertrouwelijke gegevens op straat belanden, en dat krijgen gelukkig steeds meer bedrijven door. Informatie is al lang niet meer iets dat zich binnen de vier muren van het kantoor begeeft. Werknemers werken thuis, onderweg en hebben met steeds meer partijen contact. Dit zorgt ervoor dat de kans op datalekkage groter is dan ooit tevoren.

Uit dit onderzoek blijkt dat de helft van alle data-incidenten wordt veroorzaakt doordat personeel laptops en USB-sticks verliest of laat stelen. Voor de beveiligingsindustrie reden om een nieuwe oplossing te ontwikkelen, genaamd Data Loss (Leakage) Prevention (DLP). DLP moet voorkomen dat werknemers documenten naar hun persoonlijke e-mail doorsturen of bijvoorbeeld op een USB-stick zetten om mee naar huis te nemen. "Nu bedrijven het malware probleem onder controle hebben, is er aandacht voor het beschermen van de belangrijke gegevens", zegt Peter Harris van Trend Micro. De beveiliger is zeer actief op het gebied van DLP.

Ook concurrenten Symantec en McAfee hebben de DLP-markt ontdekt. Toch verwachten beide leveranciers niet dat er door DLP straks geen data meer op straat te vinden is. "Net als met de anti-malware markt is het een continu gevecht aangezien technieken en technologie zich blijven ontwikkelen", gaat Harris verder. Tom Welling van Symantec benadrukt dat het niet alleen om de technologie draait, maar dat er ook processen aanwezig moeten zijn en dat bedrijven personeel over de risico's en gevolgen onderwijzen. "Zelfs als alles is beveiligd, kan een vastbesloten insider via zijn mobiele telefoon een foto van een scherm met vertrouwelijke informatie maken."

Kwaadwillend personeel
DLP is zowel gericht op het stoppen van kwaadwillend personeel als onvoorzichtige werknemers, waarbij vooral de laatste categorie tegen zichzelf beschermd wordt. "De meeste van de data-incidenten zijn onbedoeld", zegt Welling. Harris beaambt dit, en noemt incidenten waarbij werknemers vertrouwelijke informatie naar de verkeerde persoon sturen. Mocht een werknemer herhaaldelijk proberen om vertrouwelijke documenten te versturen, dan wordt de beheerder gewaarschuwd, zodat de beheerder gepaste maatregelen tegen deze persoon kan nemen", gaat McAfee's Jeramy van Menxel verder.

Arthur van Vliet van Pinewood waarschuwt dat met uitsluitend de implementatie van een of meerdere producten op netwerkniveau, de “serious insider” nog steeds mogelijkheden heeft voor het lekken van informatie, door bijvoorbeeld het nemen van foto’s van vertrouwelijke informatie of het meenemen van geprinte documenten van een printer. “Om de serious insider aan te pakken zijn waarschijnlijk te veel maatregelen nodig, waardoor het onwerkbaar wordt.”

Toch krijgt kwaadwillend personeel geen vrij spel. "wij hebben een onderdeel speciaal voor insiders ontwikkeld. Als er bijvoorbeeld een kantoorwerker is die normaal een klant per keer opvraagt, maar opeens een rapport genereert met alle klanten, of misschien klanten met hun creditcardgegevens, dan wordt dit als een anomalie gezien, en kan dan gecontroleerd worden", aldus Welling.

Client of gateway
De oplossing van Trend Micro bevindt zich alleen op de client en laat beheerders op verschillende manieren het dataverkeer filteren. Zo kan men reguliere expressies opgeven, woorden, metadata en documenten. Wil de gebruiker van zijn laptop of desktop iets versturen, dan wordt er gecontroleerd of het niet om opgegeven vertrouwelijke data gaat. Het versleutelen van gegevens om die dan te kopieren of te versturen biedt ook geen uitkomst, omdat de DLP oplossing dit op de client ziet gebeuren en ingrijpt. Afhankelijk van de situatie kan een beheerder instellen of er alleen een waarschuwing verschijnt die vraagt of de gebruiker door wil gaan, of dat het versturen of verplaatsen van de gegevens wordt geblokkeerd. Vooral het waarschuwen van de gebruiker zien alle
beveiligers als een goede manier om gebruikers bewust te maken.

"De werknemer die bewust data wil lekken wordt gewaarschuwd over mogelijke stappen als hij gepakt wordt, en dat er een systeem aanwezig is om data-lekkage te voorkomen", zegt van Menxel. McAfee en ymantec hanteren weer andere oplossingen, waarbij McAfee zowel client als de gateway filtert, terwijl Symantec een rule-based network gateway appliance gebruikt. Trend Micro richt zich bewust op de client. "Dit is vandaag de dag, gegeven het gigantische gebruik van laptops, van vitaal belang, want hierdoor werkt het ook buiten het bedrijfsnetwerk", merkt Harris op.

Privacy niet in het geding
Het scannen van alles wat een werknemer op zijn machine doet roept vanzelfsprekend privacy vragen op, en mogen bedrijven ook niet vergeten. "De rechten van mensen kunnen per land verschillen", zegt Welling. Hij ziet niet alleen privacy als iets wat de aandacht verdient, ook de implementatie van DLP. Een verkeerd geïmplementeerd systeem kan namelijk de bedrijfsvoering verstoren. "Stel je voor dat je een prijslijst hebt die niet buiten het bedrijf gezien mag worden, dan is dit eenvoudig te handhaven. Als alleen bepaalde mensen de lijst vanwege hun werk mogen versturen, maar de DLP policy is niet goed geïmplementeerd, dan kunnen ze dus hun werk niet doen." Volgens McAfee kan er geen spake van privacyschending zijn, omdat DLP alleen maar controleert op gegevens die eigendom van de onderneming zijn, en gaat het niet om persoonlijke
informatie.

False positives
Net als met alle apparaten en oplossingen die verkeer controleren bestaat de kans op false positives, die ook bij DLP zullen voorkomen. "Er zullen altijd false positives zijn, net als met spam het geval is. In belangrijke omgevingen kunnen de policies worden aangepast om ervoor te zorgen dat dit tot een minimum wordt beperkt", laat Welling weten. Van Menxel ziet vooral een taak bij de beheerders om false positives te voorkomen. "Als alles goed is ingesteld, zou het bedrijf niet met false positives te maken moeten krijgen. Dit is meestal het geval met oplossingen die alleen op de gateway actief zijn."

Van Vliet denkt ook dat false positives niet zijn uit te sluiten. “Om eventuele false positives te voorkomen is het belangrijk dat er voldoende tijd wordt genomen voor het in gebruik name van een gekozen DLP oplossing. Zeker bij dit soort projecten rondom netwerkbeveiliging en databeveiliging, want geen enkele klant is hetzelfde.”

Een extra beveiligingsoplossing mag dan mooi zijn, maar wat gebeurt er met alle extra gegenereerde informatie? Dat is namelijk een probleem waar menig beheerder van beveiligingsoplossingen mee te maken krijgt. Logs bevatten zoveel gegevens dat ze al snel worden genegeerd. "Het probleem met logs is dat ze zoveel informatie bevatten, wat systeembeheerders nodig hebben is informatie", zegt Welling. Zowel Symantec als Trend Micro bieden reporting tools die informatie correleren. Van Menxel ziet echter ook een rol voor intergrators en bedrijven zelf om de hoeveelheid logs te verminderen. "Door ervoor te zorgen dat het juiste beleid wordt ingesteld en personeel van dit beleid bewust wordt gemaakt, zouden er niet veel logs moeten verschijnen. Hierin speelt de system integrator een grote rol, omdat die in beide gevallen, zowel educatie als implementatie, extra waarde toe kan voegen."

Conclusie
Alle grote spelers hebben vorig jaar DLP partijen overgenomen, en dankzij de continue stroom van gegevens die op straat belanden worden bedrijven wel gedwongen om hun gegevens te beveiligen. 2008 kan dan ook weleens het jaar van DLP worden. Toch blijft het afwachten of de technologie haar belofte kan waar maken, en of er niet veel meer winst behaald kan worden in het inlichten van gebruikers. Werknemers die zo stom zijn om vertrouwelijke documenten naar hun hotmail adres door te mailen of hun bedrijfslaptop in een taxi laten slingeren wil je toch in veel gevallen ook niet met belangrijke gegevens om laten gaan. Menselijke stupiditeit weet uiteindelijk alle beveiligingsmaatregelen te overwinnen.

Reacties (6)
29-01-2008, 15:33 door Anoniem
"DLP moet voorkomen dat werknemers documenten naar hun
persoonlijke e-mail doorsturen of bijvoorbeeld op een USB-stick zetten om
mee naar huis te nemen."

En wat te doen wanneer men wel degelijk een goede reden heeft om de
gegevens mee naar huis te nemen op een gegevensdrager, of te
versturen, omdat men bijvoorbeeld thuis werkt, of omdat de gegevens
nodig zijn bij een klant op lokatie en ga zo maar door ?

Men lijkt er hier vanuit te gaan dat alle incidenten voortvloeien uit het
onbewust danwel kwaadwillend meenemen van bestanden, terwijl het
waarschijnlijk evenvaak gaat om incidenten waarbij er een legitieme reden
was om deze zaken mee te nemen, waarna de gegevensdrager werd
verloren of gestolen.

Met andere woorden, met DLP kan men maar beperkt dit soort
incidenten voorkomen, en ik mis dat aspect wel in bovenstaand verhaal.
29-01-2008, 16:15 door Anoniem
Dergelijke goeden redenen zijn altijd te verzinnen, over het algemeen is er
m.i. geen reden om het hele klantenbestand incluisief adressen mee te
nemen op een laptop. Ga je ze thuis allemaal bellen en en een brief
sturen ? Makkelijk is het natuurlijk wel.
29-01-2008, 16:42 door Anoniem
Als de USB devices beveiligd is door middel van encryptie software van bijv
Utimaco dan kan alleen de gebruiker er wat mee. Dan kan de stick lekker
getolen worden.
29-01-2008, 21:24 door Anoniem
Het onderzoek waar naar verwezen wordt door de redactie in
dit artikel is wel heel erg vaag.
Ze verwijzen minstens twee keer door naar artikelen van
eigen hand. dat noem ik geen onderzoek.
30-01-2008, 00:25 door Anoniem
"Dergelijke goeden redenen zijn altijd te verzinnen, over het algemeen is er
m.i. geen reden om het hele klantenbestand incluisief adressen mee te
nemen op een laptop."

Gegevens is niet per definitie hetzelfde als "het hele klantenbestand". Het
kan ook gaan om iedere soort van vertrouwelijke en/of privacy gevoelige
bedrijfsinformatie. En iedere dag lopen er bij ieder kantoor mensen naar
buiten met laptops en dergelijke waarop, overwegend met toestemming
van het werk, dergelijke gegevens staan.

Met DLP kan je proberen te voorkomen dat mensen ongeautoriseerd
informatie meenemen buiten het bedrijf, maar je kunt er zeer zeker niet
mee zorgen dat er "nooit meer informatie op straat komt te liggen".
30-01-2008, 11:31 door Jan-Hein
DLP is al zo oud als de mensheid; vroeger zouden we het aanduiden als
het probleem van geheimhouding.
Voor zover ik weet zijn er nog nooit technische oplossingen voor gevonden
die bevredigend werken, en de middelen die zijn ingezet introduceren altijd
nieuwe risoco's en operationele uitdagingen (ik noem dat het Enigma
effect).
Het enige dat ik tot nu toe heb zien "werken" is het onlosmakelijk verbinden
van gegevens aan de bron waar de drager die gegevens vandaan heeft
gehaald, en die bron weer onlosmakelijk te verbinden aan de mens die de
bron beheert.
Dat voorkomt ongewenste overdracht niet perse, maar geeft de
terugkoppelingsmogelijkheid om de verantwoordelijke mens "bij te
sturen".
Alle technische hulpmiddelen zijn op zijn best gereedschap ten behoeve
van de verantwoordelijke beheerders.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.