Nieuwe wetgeving melding datalekken schreeuwt om data-encryptie
14 oktober 2016 -
Volgens onderzoek lopen grote organisaties in de Europese Unie gemiddeld 3.700.000 euro op aan schade bij een datalek. Een behoorlijk bedrag, dat bovendien verder dreigt op te lopen. Want Europa haalt met de General Data Protection Regulation (GDPR) de teugels flink aan.
"Met versleutelde gegevensdragers kan men echter eenvoudig een substantiële risicofactor aanzienlijk verkleinen," zegt Ferdi van der Zwaag, Business Development Manager bij Kingston Technology.
In een tijd waarin iedereen werkt waar en wanneer dat uitkomt, belandt bedrijfsgevoelige informatie vaak - al dan niet tijdelijk - op mobiele apparaten en dito gegevensdragers. Data begeven zich dan ook steeds vaker buiten de relatief veilige bakens van de corporate firewall.
Risico’s datalek
Dat brengt volgens van der Zwaag grote risico's rondom datalekkage met zich mee. Het aanhoudende nieuws in de media liegt er niet om. Zo werd GGD IJsselland onlangs ernstig in verlegenheid gebracht. Zij stuurden per post een USB-stick met daarop informatie rondom een gezin. De stick moest per post de weg afleggen van Zwolle naar Nijmegen, maar kwam nooit aan op de bestemming. Van Der Zwaag: "Pijnlijk, want de informatie op de stick betrof zaken als de gezinssituatie, een onterechte beschuldiging over verwaarlozing en onderzoeken van bureau Jeugdzorg. Voor directe betrokkenen is de situatie onverteerbaar."
Men kan zijn USB’s, smartphones, laptops en andere gegevensdragers simpelweg verliezen of ze kunnen gestolen worden. Dit gebeurt dan ook aan de lopende band. Het verliezen van die dragers is niet tot nauwelijks te voorkomen. "Mensen zijn nu eenmaal feilbaar,"lcht Van Der Zwaag toe. "Ondertussen zijn de gevolgen voor organisaties groot. Klanten raken gedupeerd en de organisatie krijgt te maken met herstelkosten voor de verloren data. Bovendien is berichtgeving zoals in bovengenoemd voorbeeld een regelrechte pr-ramp. Reputatieschade en verlies van vertrouwen liggen op de loer."
Financiële sanctie
Naast het verlies van bedrijfsinformatie, persoonlijk leed, reputatieschade en andere ellende, is er nog een zeer belangrijke reden om te proberen datalekken te voorkomen. Voor de EU zijn dataprivacy en bescherming van zijn burgers een serieuze zaak, zoveel maakt de GDPR wel duidelijk. Organisaties kunnen voor nalatigheid een financiële sanctie tegemoetzien. En die is niet mals: tot wel twintig miljoen euro, ofvier procent van hun jaaromzet. "Dat bedrag komt dan nog bovenop herstelkosten en kosten door reputatieschade," verduidelijkt Van Der Zwaag. "Het is dan ook zeker niet ondenkbaar dat een datalek in zo'n scenario het einde van de organisatie betekent. Bovendien is enige haast geboden, want vanaf 25 mei 2018 is de bepaling volledig van kracht."
Vergrendeling
In de bescherming tegen datalekken is er volgens van der Zwaar daarom een essentiële rol weggelegd voor encryptie. De versleuteling van data, zowel binnen als buiten de firewall, voorkomt een rampscenario. "Het incident bij GGD IJsselland had voorkomen kunnen worden met een USB-drive die alle aanwezige data automatisch versleutelt. Gegevens zijn dan alleen leesbaar met het juiste wachtwoord. Met het verlies van een versleutelde stick belanden gegevens niet op straat. De vinder kan met de data namelijk helemaal niets. Een goed beveiligde USB-stick hanteert encryptiemethoden van een militaire sterkte. Het kraken daarvan is redelijkerwijs onmogelijk."
Volgens de richtlijnen van de GDPR is er bij het lekken van versleutelde informatie bovendien geen sprake van een gegevensinbreuk, maar een beveiligingsinbreuk. En die hoeft mogelijk niet gerapporteerd te worden. Van een boete is in zo'n geval geen sprake.
Vermijd complexiteit
De versleuteling zelf hoeft dan niet ingewikkeld te zijn. "Een goede USB-drive voert de encryptie geheel zelfstandig op de achtergrond uit. Het enige moment dat de eindgebruiker iets van de beveiliging merkt, is wanneer hij de stick in een laptop of desktop plugt en het systeem om een wachtwoord vraagt." Technische kennis is volgens Van Der Zwaag niet nodig, en dat maakt een dergelijke oplossing zeer breed inzetbaar en laagdrempelig. "Dat is belangrijk, want nodeloos ingewikkelde procedures verkleinen het draagvlak in de organisatie en vergroten de kans dat medewerkers alsnog de fout ingaan."
Menselijk falen
Toch bestaat de oplossing tegen datalekken volgens Van Der Zwaag niet alleen uit technologie. Het bewustzijn van medewerkers speelt naar zijn mening een grote rol in iedere beveiligingsstrategie. "Medewerkers moeten niet alleen op de hoogte zijn van de risico's rondom datalekkage, maar ook geïnformeerd zijn over de nieuwe wet- en regelgeving op dit gebied." Daarnaast is volgens hem een duidelijk, gedocumenteerd databeleid noodzakelijk. "De organisatie moet in kaart brengen wie toegang heeft tot welke data. Bovendien moeten medewerkers weten wat de interne regelgeving is omtrent het gebruik ervan. Encryptietechnologie is mooi, maar zo goed als waardeloos als medewerkers de regels rondom de toepassing ervan niet kennen."
De EU heeft met de GDPR een zeer wenselijke stap gezet richting een sterkere privacybescherming. Een stap die echter veel organisaties op scherp zet. "Laten we met zijn allen definitief een einde maken aan de beschamende verhalen in de media en van data-encryptie op gegevensdragers een goede gewoonte maken," besluit hij.
