Een veilige cloud?

sebastiaankorsLinkedInInterview met Sebastiaan Kors, managing director van Wesecure door V.F. Wiendels

Een veilige cloud

Als je weet wat je doet met data, dan geef je aan ‘on top’ te zijn

Op een bedrijventerrein in Amsterdam Zuid valt het gebouw waarin Wesecure gehuisvest is erg op. Er staat een groot ijzeren hek omheen dat openschuift als ik mijn naam zeg via de intercom. De receptionist zit achter veiligheidsglas. Exclusief interview door V.F. Wiendels, op 4 april 2016  op het kantoor in Amsterdam Zuid. Voor 69 ct leest u via Blendl welke beveiligingslekken Sebastiaan Kors in de praktijk tegenkwam, of ”de cloud” eigenlijk wel bestaat, en welke negen stappen u kunt nemen om data in die zogenaamde cloud beter te beveiligen.

Vanwaar deze fysieke beveiliging om dit gebouw? Hackers gaan toch niet ter plaatse de data stelen?

Nou, zegt Sebastiaan, dat zou wel kunnen. Maar in dit gebouw zit ook een Datacenter en dat staat vol met servers van hun klanten. We werken soms met hen samen. Sommige van onze opdrachtgevers besteden bij ons hun beveiliging uit.

Heeft u persoonlijk wel eens te maken gehad met diefstal van persoonsgegevens?

Ja, het kentekennummer van mijn auto is eens door iemand anders gebruikt. Ik kwam erachter toen ik boetes kreeg toegestuurd. Mijn kenteken werd geflitst omdat ik te snel gereden zou hebben. Toen ik de foto opvroeg bleek het zelfs hetzelfde type auto te zijn maar toch net even wat anders. Met een foto van mijn eigen auto met kenteken heb ik toen kunnen bewijzen dat ik het niet was. Ik moest ook aangifte doen bij het politiebureau. Daar ben je al snel een dag zoet mee. Bij elke boete ging ik in bezwaar en stuurde steeds hetzelfde pakket mee: kopie aangifte en foto. Na drie boetes hield het gelukkig op.

<red: Bij identiteitsfraude ligt de bewijslast bij het slachtoffer. In andere gevallen kan dit heel moeilijk te bewijzen zijn en jarenlange procedures kosten (zie artikel Maria Genova). Daarom is beveiliging van persoonsgegevens zo van belang>

Wat zijn de meest voorkomende lekken?

Naast het bewust of onbewust lekken van informatie door medewerkers komen datalekken vaak tot stand via zogenaamde malware. Dit zijn stukjes code die hackers kunnen gebruiken om binnen te komen, vaak gebruikmakend van bepaalde exploit technieken (men komt binnen via de zwakke plekken van een systeem).

Veel geld wordt momenteel verdiend via encryptie. Hiermee worden onder andere ziekenhuizen gechanteerd. Met cryptolockers worden alle patiëntgegevens versleuteld en onleesbaar gemaakt. Dan chanteert men het ziekenhuis. Na betaling van vaak bitcoins krijgt men de sleutel om de encryptie ongedaan te maken.

Hoe ziet u de functie van Functionaris voor de Gegevensbescherming? (FG)

Databeheer is echt een beleidsfunctie. Mensen zeggen vaak ‘’de IT-afdeling regelt het wel” maar dat kan echt niet meer. De IT afdeling faciliteert alleen. Het data-eigenaarschap is de verantwoordelijkheid van het bestuur. De Security Officer moet onderdeel zijn van het bestuur of management. Databeheer is zo’n grote verantwoordelijkheid en de beslissingen zijn van strategisch belang voor de organisatie. Het is een controle functie, vergelijkbaar met die van accountant. De zwaarte van de functie hangt af van de grootte van het bedrijf, maar ook van de grootte van het databestand; er zijn bedrijven die maar uit weinig personen bestaan -zoals Airmiles- maar die wel databestanden beheren met enorm veel persoonsgegevens.

Goed beheer levert geld op

Het serieus aanpakken van databeveiliging en een kundige FG’er en CISO (Chief Information Security Officer) kan grote problemen voorkomen.  Daarbij kan slecht databeheer veel geld aan reputatieschade en, nu de nieuwe wetgeving actief is, torenhoge boetes kosten. Goed databeheer kan daarentegen veel geld opleveren: weten wie uw klanten zijn en wat ze doen is goud waard.

Als je weet wat je doet met data, dan geef je aan ‘’on top” te zijn.

SebastiaanKors

https://www.youtube.com/watch?v=pPhpqRWc1f4


Cloud 9

Sebastiaan Kors gebruikt de volgende negen stappen, om de basis van data veiligheid bij een bedrijf in kaart te brengen:

1. waar staat je server?

Weet waar de server staat. Veel mensen, zelfs bestuursleden, weten helemaal niet waar hun data staat. ‘’De Cloud’’ bestaat niet, het is gewoon een server. Waar staat die server, welk bedrijf host die ruimte en onder welke voorwaarden? Vroeger had elk bedrijf een server ‘’on premises’’: in het eigen pand. Daarna is men dit uit gaan besteden. Eerst naar een bekende vaste server. Later raakte men het overzicht kwijt.

Nu stuurt men de data naar ‘’de Cloud’. Daarmee worden apps bedoeld. Door al die applicaties op een cloud heb je zelf geen IT-afdeling meer nodig. Bij  verschuiving van data naar de cloud is dataprotectie al moeilijker en juist dan mist men ook nog de controles van de IT-afdeling. Wie controleert het soort data dat mensen in de cloud zetten? Het zijn geen IT-ers meer die data beheren, daarom kennen ze de gevaren niet.

2. welke apps gebruikt men?

De eerste stap in het Adviestraject van WeSecure is daarom: welke cloud-applicaties worden allemaal gebruikt binnen een bedrijf? Dit blijken er wel drie keer zoveel te zijn als men zelf van tevoren in schat. Sommige IT-ers noemen bijvoorbeeld zo’n twintig apps, maar na onderzoek blijkt men wel zestig apps te gebruiken.

20% is bekend, 80% is schaduw IT

 Voorbeelden van cloud-applicaties die het personeel gebruikt buiten de IT-afdeling om, waarbij er gevoelige bedrijfsinformatie of persoonsgegevens een onbekende cloud in kunnen lekken zijn:

  • Creditcards
  • Skype
  • Office 360 (dus de gehele mailwisseling van heel het bedrijf staat hierbij onbeveiligd op een cloud, inclusief Excelbestanden)
  • Marketingprogramma’s, mailinglijsten voor nieuwsbrieven e.d.
  • Prezi bedrijfspresentaties
  • filesharing zoals Dropbox, Google docs etc.
  • planningssoftware
  • Citrixonline

3. gebruik niet zomaar Amerikaanse apps voor verwerking van persoonsgegevens

Sommige apps kopiëren alle data naar een Amerikaanse cloud. Onderzoek goed of dergelijke handelingen niet in strijd zijn met wet- en regelgeving in Nederland.

Hoe weet je welke apps je niet mag gebruiken?

De Cloud Security Alliance is een onafhankelijke wereldwijde instelling. Zij hebben een ranking systeem opgericht met een sterrensysteem. Daar kun je lezen welke apps goed beveiligd zijn en waar de data heen gaat.

4 beveilig de cloud

WeSecure levert een cloud-applicatie genaamd Netskope waarmee je de cloud veiliger maakt. Je kunt kijken wat er op jouw stukje cloud gebeurt. Hiermee kan bijvoorbeeld Dropbox wel weer veilig gebruikt worden.

We leggen een soort laagje om die cloud-applicatie”

 Met onze applicatie is het net alsof de server weer in het eigen pand staat: je ziet zelf alles en er kan niemand bij.

Met deze cloudbeveiligingssoftware is het soms niet eens nodig dat het bedrijf van de cloudapplicatie zelf meewerkt. Meestal werken ze wel mee, omdat ze zelf ook willen dat het veilig is, maar het hoeft niet. We kunnen het ook zonder hun medewerking beveiligen.

 5. Maak een risico-index.

Wat is de aard van de data, hoeveel is het waard, is het chantabel, welke schade veroorzaak je met een lek?

Wat zoeken hackers vooral?

  • creditcardgegevens
  • medische gegevens, vooral als chantagemiddel. Met cryptolockers wordt op dit moment grof geld verdiend. Onlangs betaalde een Belgisch ziekenhuis 17.000 euro voor een sleutel om weer toegang te krijgen tot de patientendossiers.
  • gegevens die geld waard kunnen zijn voor chantagedoeleinden of bedrijfsspionage

 6. Bewustzijn

Een groot deel van het werk van WeSecure bestaat uit het creëren van bewustzijn en visibiliteit.

Welke apps of software gebruikt men allemaal? Welke data staat waar? Op welke server, met welke beveiliging? Waar staat de backup?

  • Weten welke risico’s je loopt
  • Meedelen dat bepaalde apps niet meer gebruikt mogen worden
  • Controle of werknemers zich daaraan houden

7. Thuiswerk

Zorginstellingen vragen medewerkers soms om thuis patiëntgegevens bij te werken. Ze loggen dan met hun privécomputer in het patiëntenzorgsysteem. Is dat niet heel gevaarlijk?

Ja, inlogcodes kunnen gekopiëerd worden door malware. Je thuiscomputer heeft dus veel beveiliging nodig, zoals een goede antivirus, een up-to-date browser en een firewall. Thuiswerk waarbij je inlogt op het bedrijfssysteem kan wel, maar dan moet de werknemer wel al die software up-to-date hebben. Daar kunnen wij op afstand voor zorgen. Het is niet nodig om al die thuiscomputers eens in de zoveel tijd mee te nemen naar het werk om daar dingen op te installeren. Dat kunnen wij doen op afstand.

Is het token systeem waterdicht?

Nee, er is ook malware die direct een seintje stuurt naar de hacker. Deze kopiëert je toetsaanslagen en stuurt die door naar de hacker zodra je inlogt: dan glipt de hacker mee naar binnen wanneer jij inlogt met de token.

Het is vaak gemakkelijker een thuiscomputer te hacken dan een bedrijfscomputer onder het oog van de IT-afdeling.

Er bestaan geavanceerde target attacks, ook wel spearfishing of whaling genoemd. Die hacken op de persoon.
<red Neem bijvoorbeeld de verpleegkundige van Maxima. Naar haar inlogcodes zullen meer mensen vissen>.

8. Intern gevaar

Alle hacking ten spijt: de grootste bedreiging komt van binnenuit. Verreweg de meeste lekken zijn intern. Dit kan bewust of onbewust zijn, uit nieuwsgierigheid of onverschilligheid, om mensen te chanteren, om geld te verdienen,  <Red: of men schuift bestanden op een usb stick om een ander van dienst te zijn>.

WeSecure maakt de toegangs-autorisatie altijd zo klein mogelijk. Werknemers mogen alleen toegang krijgen tot het deel dat men echt nodig heeft voor zijn of haar functie.

(Thuiswerkers mogen uiteraard nooit toegang krijgen tot het hele systeem).

De realiteit is dat de meeste datalekken door handelen van het eigen personeel ontstaan. In de zorg is het zeer onverstandig medewerkers die geen directe behandelaar zijn van de patiënt toegang te bieden tot medische dossiers als ze.

Bij een groot ziekenhuis in Amsterdam ontdekte men dat dossiers van bekende Nederlanders vele malen vaker zijn geraadpleegd dan normaal. Hieruit kan men afleiden dat blijkbaar teveel mensen toegang hadden tot dossiers en er eigenlijk niets te zoeken hadden.

 9. De toekomst: encryptie

De kant die we opgaan in de toekomst, vertelt Sebastiaan Kors, is de volgende:

Een digitale kluis, met certificaat. Alle persoonsgegevens worden middels encryptie opgeslagen. Pas nadat er toestemming is, kan er met een een sterke vorm van authenticatie toegang geboden worden tot de informatie op een need-to-know basis. Dit is geen nieuw idee, maar de uitvoering ervan is zeer complex. Daarnaast zullen bedrijven veel meer gaan investeren in security maatregelen zoals cloud security en advanced endpoint security

 

Een voorbeeld van een datalek dat Sebastiaan Kors tegenkwam:

Patiëntgegevens van een verslavingskliniek werden verstuurd met Dropbox, omdat het eigen netwerk eruit lag.

De lijst kwam zo op een openbare url.

Andere mensen konden toen de link met alle gegevens forwarden.

 

<Red: Voor eeuwig circuleert deze lijst op het internet, de schade voor de patiënten is levenslang>

 

V.F. Wiendels

Antropoloog. Journalist. Informatieve teksten. Onderzoek. Interviews.

One Comment

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *