Achtergrond

Security Tip van de Week: beperk je hoeveelheid data

maandag 31 december 2012, 11:49 door Ton van Deursen, 5 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Ton van Deursen

Zorg dat je de hoeveelheid verzamelde data minimaliseert

Digitale sporen
Wanneer je je door de (digitale) wereld beweegt, laat je sporen achter. Veel van deze sporen laat je onbedoeld achter, vaak zonder je daarvan bewust te zijn. Neem bijvoorbeeld het doen van aankopen in een webshop. Als je een bestelling plaatst bij een webshop, weten op zijn minst de volgende partijen van je aankoop: de webshop, een derde partij waarvan de webanalysesoftware gebruikt wordt, de post, je ISP, je e-mailprovider en je buurvrouw die het pakketje aanneemt omdat je niet thuis ben.

Hoewel ik mijn buurvrouw vertrouw met mijn gegevens, heb ik geen blind vertrouwen in de andere genoemde partijen. Webshops worden gehackt, net als de analysesoftware die gebruikt wordt. Ook bij de post en banken is de beveiliging niet altijd op orde. Zelfs technologiebedrijven als e-mailproviders en ISPs worden wel eens gehackt.

Het zou natuurlijk mooi zijn als elke gegevensverwerker zijn applicaties en infrastructuur beveiligt, zodat dit soort datalekken tot het verleden behoort. Het blijkt echter simpelweg verschrikkelijk moeilijk om datalekken te voorkomen. Zie voor meer (bekende) voorbeelden het zwartboek van Bits of Freedom. Bedenk hierbij wel dat hierin slechts de incidenten vermeld zijn die (1) überhaupt opgemerkt zijn; en (2) waarvan naar buiten gekomen is dat ze plaatsgevonden hebben.

Het is daarom belangrijk om je te realiseren dat de (digitale) sporen die je achterlaat, vroeg of laat publiek kunnen worden.

Wet- en regelgeving
Bescherming van persoonsgegevens is op Europees niveau vastgelegd in privacyrichtlijn 95/46/EG. In Nederland is deze richtlijn geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP). Deze wet bevat regels voor het verwerken van persoonsgegevens zoals NAW-gegevens, e-mailadressen en IP-adressen. Zo dien je bijvoorbeeld vooraf toestemming te hebben om iemands persoonsgegevens te verwerken en mag je de gegevens alleen gebruiken voor het doel waarvoor ze verzameld zijn. Ook heb je als persoon recht om op te vragen welke gegevens er over je geregistreerd zijn en kun je eisen dat deze aangepast of verwijderd worden wanneer ze onjuist of irrelevant voor de verwerking zijn. Verder dienen bedrijven die persoonsgegevens verwerken, adequate beveiligingsmaatregelen te nemen.

Wat je zelf kunt doen
Omdat het zo moeilijk is om datalekken te voorkomen kun je er maar beter vanuit gaan dat elke partij die je data verwerkt, gehackt kan worden. Als dit je uitgangspunt is, is je enige manier om te voorkomen dat een bedrijf jouw data lekt, ervoor zorgen dat dat bedrijf jouw data niet heeft. Hierbij gaat het niet om de informatie die je op Facebook en Twitter zet, want daar kies je immers zelf voor. Het gaat vooral om de digitale sporen die je achterlaat. Om de hoeveelheid digitale sporen die ik achterlaat te beperken, houd ik me, wanneer dat uitkomt, aan de volgende regels:

Koop bepaalde dingen niet online: wil je niet dat vastgelegd wordt welke sloten of beveiligingssysteem op jouw adres geïnstalleerd zijn? Koop ze dan in een brick and mortar-winkel of koop ze bij een webwinkel waar je ze af kunt halen.
Betaal contant: wanneer je elektronisch betaalt, is vastgelegd dat jij op een bepaald tijdstip, op een bepaalde locatie, voor een bepaalde prijs een bepaald product gekocht hebt. Vind je dit niet nodig? Betaal dan met contant geld, dat is een stuk minder traceerbaar.
Laat je gegevens verwijderen: heb je je bestelling ontvangen, verwijder dan je account bij de webshop.
Gebruik Tor: wanneer je bepaalde vragen of problemen hebt die je niet aan de grote klok wilt hangen is Tor een prima manier om de kans te verkleinen dat jouw zoekopdracht aan jezelf gekoppeld kan worden.
Gebruik browser-plugins: er is een scala aan browser-plugins om het aantal digitale sporen te verminderen. Denk hierbij aan Ghostery, NoScript, AdBlock Plus.
Gebruik eens een andere zoekmachine: er zijn zoekmachines die aangeven minder gegevens over je op te slaan, bijvoorbeeld ixquick en DuckDuckGo.

Deze tips zorgen er niet voor dat je ontraceerbaar wordt, maar zorgen er wel voor dat je de kans verkleint dat jouw data op straat komt te liggen.

Wat bedrijven kunnen doen
Al heb je een security officer, securitybeleid en -processen, patchbeleid en volg je een secure development lifecycle, dan nog kan het fout gaan. Een 0day-kwetsbaarheid, een ontevreden werknemer, of een vergeten ongepatcht systeem kunnen ervoor zorgen dat een aanzienlijke hoeveelheid data lekt.

Verzamel zo min mogelijk gegevens: gegevens die je niet verzamelt, hoef je ook niet te beveiligen. Dat scheelt in de kosten. Veel belangrijker is dat niet-verzamelde gegevens ook niet kunnen lekken. Sommige gegevens zijn nodig voor het uitvoeren van je bedrijfstaak. Realiseer je echter dat je vaak met minder gegevens die taak ook uit kunt voeren. Waarom zou je een geboortedatum vragen als je alleen wilt weten of iemand ouder dan 18 is? Waarom registreer je de identiteit van een persoon als je alleen wilt weten of hij een vervoersbewijs heeft?
Verwijder gegevens die je niet meer nodig hebt: Heb je een creditcardbetaling afgerond, verwijder dan het creditcardnummer uit je database. Wil je graag statische gegevens verzamelen, doe dit dan zodanig dat ze niet meer te herleiden zijn tot een persoon en werkelijk anoniem zijn.
Laat weten welke gegevens je verzamelt en wat je daarmee doet: wanneer je persoonsgegevens verzamelt, moet dit gemeld worden bij het CBP. De verwerking wordt opgenomen in het meldingenregister.

Het blijkt keer op keer dat gehackt worden een kostbare bezigheid is, helemaal wanneer er op je systemen gegevens aangetroffen worden die daar helemaal niet hadden mogen of hoeven zijn.

Mijn tip
Niet-verzamelde data kan niet lekken. Daarom is mijn tip:
Zorg dat je de hoeveelheid verzamelde data minimaliseert.

Dr.ir. Ton van Deursen is security consultant bij Madison Gurkha B.V.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

'Richtlijn voor ethische hackers geen vrijbrief'

Stappenplan voor nieuw IE-lek

Reacties (5)

31-12-2012, 12:17 door Anoniem

Stuk voor stuk waarheden. Jammer dat het nodig is.
En dat cash betalen... Inderdaad. Ik pin al 10 jaar niet meer. Precies om de reden dat alles vastgelegd wordt, zeker in combinatie met een scan-kassa.

31-12-2012, 23:10 door Didier Stevens

Desinformatie: laat ook regelmatig en bewust verkeerde informatie achter.

01-01-2013, 15:52 door Anoniem

Een heel interessant artikel. Ik probeer al 5 jaar mijn aankoopgeschiedenis bij Bol.com en Amazon.com te laten verwijderen, maar verder dan 'maak een nieuw account aan' komen ze niet. Terwijl je uit die aankopen best wat af kunt leiden. Wat dat betreft hoop ik echt dat de 'wet om vergeten te worden' (op Europees niveau) ook dit soort praktijken omvat.

01-01-2013, 16:41 door Anoniem

Nog een tip: Zorg voor een email domeinnaam (bij moerstaal oid) en gebruik de naam van de leverancier als username in het email adres dat je opgeeft...
Vaak word het emailadres van de lijst gewist en anders weet je precies welk bedrijf heeft gelekt en kan je ze erop aanspreken

01-01-2013, 20:05 door wimton

Ik vraag me af hoe belangrijk het is. Na +10 jaar Internetgebruik zonder me om privacy te bekommeren weten de advertentie providers nog steeds niet of ik man of vrouw ben, homo of hetero etc. En cookies; een storende extra click op "ga je gang". Als in in het buitenland inlog krijg ik de advertenties in het Fins of Hongaars. Wat heeft iemand daar aan?
Hoewel ik nog nooit op een link betreffend sport, autos of celebrities geclickt heb, zijn dat nog steeds de standaard openings schermen op Yahoo en MSN. Om nog te zwijgen van de Google advertenties die in 80% van de gevallen totaal misplaatst zijn.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer