De Autoriteit Persoonsgegevens luidde begin maart de noodklok. De privacywaakhond signaleert een explosieve toename van het aantal datadiefstallen. Volgens Erno Doorenspleet, CTO bij KPN Security, is veel leed te voorkomen door scherper te letten op wat gebruikers met data doen. “Dat vinden bedrijven vaak nog lastig.” Hoe krijgt u meer grip op het gedrag van gebruikers?
“Het identificeren van gebruikers - de werknemers dus - hebben bedrijven doorgaans wel orde”, constateert Doorenspleet. “Maar het gaat ook om de stappen die daarop volgen. Je moet weten tot welke data geïdentificeerde gebruikers toegang hebben, en wat ze met die data doen. Heel veel bedrijven beschikken niet over de juiste controls om daar achter te komen.”
Grote datalekken
Het ontbreken van die controles kan verstrekkende gevolgen hebben. Zo zorgde het datalek bij de GGD dat eind januari aan het licht kwam voor veel maatschappelijke onrust. Medewerkers van een GGD-callcenter boden persoonsgegevens van mensen die zich op het coronavirus hadden laten testen aan via onlinediensten zoals Telegram en Snapchat.
“In het geval van de GGD was het vervelende dat die dataverzameling zo compleet was”, licht Doorenspleet toe. De verzameling omvatte onder andere de burgerservicenummers en e-mailadressen van geteste personen. Cybercriminelen kunnen die gegevens gebruiken voor bijvoorbeeld identiteitsfraude en phishing.
Begin maart diende zich een nieuw datalek uit de ‘buitencategorie’ aan. Toen werd bekend dat een cybercrimineel beschikt over de gegevens van ruim 1,5 miljoen mensen die via Ticketcounter een kaartje hadden gekocht voor een dierenpark, museum of pretpark. De gegevens hadden door een fout van een medewerker van Ticketcounter maandenlang per ongeluk online gestaan.
Gedrag gebruikers
In het geval van Ticketcounter dreigde de cybercrimineel de gegevens te publiceren als het slachtoffer niet met 7 bitcoin over de brug zou komen, oftewel zo’n 300.000 euro. “Het is naïef om te denken dat jouw bedrijf dit niet kan overkomen”, waarschuwt Doorenspleet. “In het criminele circuit zijn digitale identiteiten meer waard dan creditcardgegevens. Dat betekent ook dat ieder bedrijf met een rijke verzameling persoonsgegevens voorzorgsmaatregelen moet treffen.”
Volgens KPN Security’s CTO toont de nieuwe golf datalekken aan dat bedrijven vooral scherper moeten letten op het gedrag van gebruikers. “Daar zit voor mij de crux, bij user behaviour en hoe je dat gedrag vast gaat leggen.” Om meer grip te krijgen op dat gedrag, zouden bedrijven onder andere de volgende stappen moeten doorlopen:
1. Maak datatoegang rolgebaseerd
“Denk goed na over je role-based access control”, adviseert Doorenspleet. “Stel jezelf altijd de vraag: wie moet bij welke data kunnen, en waarom? Het kan niet zo zijn dat iedereen over dezelfde toegangsrechten beschikt, ongeacht zijn of haar rol.”
“Of dat bijvoorbeeld een callcentermedewerker in alle data uit alle regio’s kan kijken, zoals dat bij de GGD het geval was”, vervolgt Doorenspleet. “Het argument dat in dit geval de toegang snel moest worden geregeld, gaat wat mij betreft niet op. Juist in noodsituaties moet je scherp blijven, zeker als het gaat om persoonsgegevens.”
2. Volg databewegingen
“Je kunt iemand nog zo goed screenen en de toegang zo goed inregelen, uiteindelijk gaat het erom hoe de data zich verplaatsen. Daar moet je goed zicht op hebben.” Heel veel bedrijven beschikken volgens Doorenspleet echter niet over de controlemechanismen die nodig zijn om dat inzicht te verkrijgen. “Dat vinden ze moeilijk, terwijl de technische oplossingen voor het in kaart brengen van dataverplaatsingen al heel lang bestaan.”
3. Detecteer afwijkend gedrag
“Dat je weet wie toegang heeft tot je data is één, maar je moet ook weten wat zo’n gebruiker met die data doet. Je moet weten hoe een gebruiker met data omgaat, zeker ook in de thuiswerksituatie. Thuiswerken is drempelverlagend voor crimineel gedrag. Je voelt je veiliger in je eigen omgeving.”
Doorenspleet adviseert om een profiel van de gebruikers op te stellen, zodat afwijkend gedrag sneller is te detecteren. “Als een callcentermedewerker per dag toegang tot tien dossiers nodig heeft om zijn werk te kunnen doen, dan moet er een alarm afgaan als hij of zij op een dag vijftien dossiers opent. Dat past dan niet in het profiel.”
Bezint eer ge begint
“Maar het belangrijkste advies is misschien wel: bezint eer ge begint”, besluit Doorenspleet. “Denk eerst goed na voordat je begint met het verzamelen van data. Welke data ga ik verzamelen, waarom heb ik die nodig, waar zet ik ze neer en hoe ga ik ze beveiligen? Die beveiliging moet zijn gebaseerd op een risicoanalyse.”
“Pas als deze vragen zijn beantwoord en de beveiliging is ingeregeld, is het tijd om de data te gaan verzamelen en mensen toegang te geven. En niet omgekeerd. Ook niet onder tijdsdruk.”