Gevoelige gegevens: elk bedrijf heeft ze, inclusief data van klanten, consumenten en interne informatie. Het recente datalek van Stad Antwerpen toonde nog maar eens aan dat ondernemingen van elke omvang moeten beschikken over een Data Loss Prevention (DLP) strategie.
Een sterke DLP-strategie beschermt klanten en zorgt ervoor dat gevoelige gegevens van een organisatie niet verloren gaan, worden misbruikt of bij onbevoegden terecht komt. Organisaties moeten hun preventiestrategie regelmatig bijwerken, niet alleen om rekening te houden met de ontwikkeling van gegevensopslag, beheer en -verplaatsing, maar ook met vooruitgang in de cybercriminaliteit. Vijf elementen zijn essentieel om een datalek te vermijden, en als het toch gebeurt, het gegevensverlies te beperken.
1. Werk met passphrases
We kennen allemaal de frustratie: je moet een wachtwoord instellen voor een nieuwe login, maar die beantwoordt niet aan de strenge wachtwoordvereisten van het platform. Nochtans heeft dat vaak een averechts effect qua veiligheid, omdat veel mensen dan snel kiezen voor een zwak of oud wachtwoord. Zo kunnen hackers sneller toegang forceren tot beschermde gegevens wanneer deze worden beveiligd door een wachtwoord dat vaak voorkomt.
Daarom is werken met passphrases een goed idee, zowel voor persoonlijke wachtwoorden als voor alle log-ins in een bedrijf. Door te werken met passphrases of complexere wachtwoorden verklein je de kans om slachtoffer te worden van o.a. een bruteforceaanval. Een passphrase kan van alles zijn: een songtekst, een favoriet citaat, een persoonlijk motto of een interne grap. Ze ontlenen hun geavanceerde beveiliging aan de lengte en niet aan de complexiteit van de tekens. En: ze zijn een stuk makkelijker te onthouden dan weer eens een extra teken of symbool toe te voegen aan je oude wachtwoord!
2. Maak voorlichting van werknemers een topprioriteit
Niemand is perfect, en phishing emails of Trojaanse paarden kunnen overal opduiken. Het meest alerte teamlid kan slachtoffer worden van een geslaagde phishingpoging of per ongeluk een wachtwoord in een onbeveiligd document achterlaten. De hybride werkplek heeft daarnaast de kwetsbaarheid van gegevens drastisch vergroot. Wanneer medewerkers onbewust de gegevens van hun organisatie blootstellen, ondervinden bedrijven daar de gevolgen van. Werkgevers zouden alle medewerkers binnen hun organisatie in staat moeten stellen actief deel te nemen aan de beveiliging en bewustwording in het bedrijf, zoals doorlopende trainingen over cyberbeveiligingsrisico’s.
Ondertussen zijn er ook ludieke manieren om dat te doen. Zo kan een bedrijf phishing simulaties uitsturen, om de alertheid van werknemers te checken, van CIO tot stagiair. Wanneer ze niet door hebben dat de mail van een rare afzender komt of de inhoud verdacht is en ze doorklikken, krijgen ze daarna een waarschuwing en tips om phishing te herkennen en te vermijden. Vaak een effectievere manier dan weer eens een theoretische training of mail.
3. Back-up, back-up, back-up
Iedereen is bekend met back-ups, maar veilige protocollen of bedrijfsprocedures zijn vaak onbekend of zelfs onbestaand. Een back-up beschermt tegen bestandsbeschadiging en bestanden per ongeluk verwijderen. Daarnaast wil je voorkomen dat je slachtoffer wordt van ransomware. Back-ups op air-gapped opslagapparaten of servers zijn het veiligst, maar voor velen begint het met hardwareversleutelde opslag. Onthoud dat voorkomen beter is dan genezen, zeker als het gaat om gevoelige gegevens die veel waard zijn.
Het gebeurt nog te vaak dat organisaties alles opslaan op een drive in de cloud, en denken dat dat voldoende is. Als iemand die gegevens hackt en er nergens een back-up is, zit een bedrijf erg in de problemen en zijn ze alles kwijt. Klinkt logisch, maar toch zijn veel bedrijfsleiders er zich pas van bewust als het al te laat is.
4. Identificeer alle gegevensstromen
Het blijft natuurlijk de bedoeling om gegevens veilig te bewaren en een hack te vermijden. Maar, zelfs als een organisatie investeert in een zeer veilige gegevensinfrastructuur, kan de beveiliging worden aangetast zodra gevoelige gegevens die omgeving verlaten. Veel bedrijven betalen duizenden euro’s voor kantoorbeveiliging, bijvoorbeeld in geval van brand, maar een werknemer kan aan het eind van de werkdag gewoon naar buiten lopen met een onbeveiligde USB-stick met TB’s aan onbeveiligde bedrijfsgegevens.
Voor bedrijven die een cloudopslagoplossing gebruiken, kunnen data kwetsbaar zijn zodra werknemers onbeveiligde openbare wifi gebruiken. Een robuuste aanpak van gegevensbeveiliging moet rekening houden met alle manieren waarop werknemers gevoelige gegevens delen, binnen en buiten de gevestigde platformen. Dat is opnieuw iets wat elk bedrijf zou moeten benadrukken, bijvoorbeeld tijdens de onboarding en later als herhaling voor alle werknemers.
5. Zorg voor een adequaat crisisplan
Onvermijdelijk gebeuren er dagelijks nog hacks en gegevensinbreuken. Essentieel is dat er op zo’n moment wel een plan en hulpmiddelen klaarliggen om de schade te beperken. Een crisisteam oprichten is essentieel, zodat zij meteen in actie kunnen komen om de juiste autoriteiten te contacteren over het datalek, maar ook onmiddellijk alle werknemers of klanten op de hoogte kunnen stellen. Toen in december Stad Antwerpen slachtoffer werd van een gigantisch datalek, was het al snel duidelijk dat ook bij zo’n grote institutie gebrek was aan een draaiboek, reactieplan of crisiscommunicatie. Zo kon de Stad meer dan een maand lang geen parkeerboetes uitschrijven of verifiëren of mensen hun parking betaald hadden, omdat er geen back-up of crisisplan was na de cyberaanval.
Een gegevensherstelproces kan verder het verlies beperken. Zo kan de toegang tot gedeelde opslagoplossingen ingetrokken worden vanop afstand, en is het ook nuttig om in eerste instantie vast te stellen welke meldingen het bedrijf moet doen en wat de wet- en regelgeving is over de gegevens die gecompromitteerd zijn, bijvoorbeeld van klanten. Tot slot is het zaak om na gegevensverlies de juiste middelen in te zetten om de geconstateerde kwetsbaarheid qua cyberbeveiliging te verhelpen en in de toekomst te vermijden.
Hoewel de specifieke protocollen in een DLP-plan moeten afhangen van de individuele behoeften van organisaties, bieden deze best practices een sterke basis voor de uitvoering van een nieuw DLP-plan en kunnen ze bestaande strategieën veerkrachtiger en effectiever maken.
Sibyl Jacob is Business Development Manager bij Kingston Technology.