Op vrijdag 28 januari is het internationale Data Privacy Day, een moment om stil te staan bij de noodzaak om (persoonlijke) gegevens te beschermen. Verschillende experts geven hun kijk op deze noodzaak.
CyberArk: Zelfs softwarerobots delen te veel informatie
‘Niet alleen mensen klikken soms op een verkeerde link of zijn iets te nonchalant over wat ze over zichzelf delen. Ook softwarebots hebben problemen met het delen van gegevens, en op deze Data Privacy Day, maar ook op de komende dagen uiteraard, belichten we hoe we data beter kunnen beschermen tegen ongewenste openbaarmaking’, aldus David Higgins, EMEA technical director bij CyberArk.
Softwarebots zijn kleine stukjes code die repetitieve taken uit handen van mensen halen. Ze helpen om de efficiëntie, nauwkeurigheid, wendbaarheid en schaalbaarheid te verbeteren. Het privacyprobleem ontstaat volgens Higgins wanneer je begint na te denken over wat deze bots nodig hebben om te kunnen doen wat ze doen. ‘Vaak is dat toegang: als ze gevoelige en persoonlijke medische gegevens verzamelen om artsen te helpen weloverwogen klinische voorspellingen te doen, hebben ze daar toegang toe nodig. Als ze klantgegevens moeten verwerken die op een publieke cloudserver of een webportaal zijn opgeslagen, moeten ze daar toegang toe hebben. We kennen de problemen die ontstaan wanneer mensen worden gecompromitteerd en hetzelfde kan gebeuren met bots – en dan ook nog op grote schaal. Als bots slecht zijn geconfigureerd en gecodeerd, zodat ze toegang hebben tot meer gegevens dan nodig, kunnen ze gegevens lekken naar plaatsen waar ze niet thuishoren.’
Higgins: ‘Evenzo horen we vrijwel dagelijks over aanvallen van binnenuit en mensen die worden gecompromitteerd om gevoelige gegevens te bemachtigen. Machines hebben precies dezelfde beveiligingsproblemen; als ze toegang kunnen krijgen tot gevoelige gegevens en ze niet goed worden beveiligd, is dat een open deur voor aanvallers – een deur die de privacy van individuele personen in gevaar kan brengen. Aanvallers richten zich niet op mensen, ze richten zich op gegevens. Als machines, zeker diegenen die geautomatiseerde processen uitvoeren (denk aan herhaalbare taken zoals bankoverschrijvingen, het scrapen van webgegevens en het verplaatsen van bestanden met klantgegevens) de beste weg zijn om bij die gegevens te komen, dan zullen ze die weg kiezen.’
Computest: Wees je bij privacy ook bewust van interne dreigingen
‘Waar organisaties vrijwel niet mee bezig zijn, maar wel aandacht voor zouden moeten hebben, is een aanval van binnenuit’, zegt Daan Keuper, hoofd van Sector 7, het security research lab van Computest. ‘Dit was bijvoorbeeld ook het geval bij het datalek bij de GGD. Daar hadden eigen callcentermedewerkers toegang tot de privégegevens van ruim 6,5 miljoen Nederlanders en boden deze te koop aan via Telegram en Snapchat.’
Volgens Keuper heeft bijna geen enkel bedrijf adequate monitoring of alerts ingesteld waarmee privacygevoelige data goed worden beschermd. ‘De meeste bedrijven zijn zich hier wel van bewust, alleen geven ze er simpelweg geen prioriteit aan. De aandacht is vooral gericht op de gevaren van de aanvaller van buiten wat ten koste gaat van de interne zwakke punten. Vooral bedrijven die grote of gevoelige datasets hebben zouden hierin een goeie middenweg moeten vinden.’
Daarnaast ziet Keuper dat privacy en security nog vaak onder één functie worden geschaard terwijl ze soms tegenstrijdig zijn. ‘Voor security wil je zaken als IP-adressen zo lang mogelijk bewaren, zodat je bij een incident een analyse kunt uitvoeren. Terwijl degene die verantwoordelijk is voor privacy juist wil dat dit soort data zo kort mogelijk worden bewaard. Om beide belangen goed te bewaken, is het slimmer security en privacy te beleggen bij verschillende mensen. Al is dit ook een uitdaging omdat veel bedrijven hier simpelweg niet de resources voor hebben.’
Check Point Software: Evalueer regelmatig je datahygiëne
Zahier Madhar, security engineer bij Check Point Software in Nederland: ‘Wij constateerden onlangs dat er in 2021 maar liefst 50 procent meer cyberaanvallen op bedrijfsnetwerken hebben plaatsgevonden ten opzichte van het voorgaande jaar. In Nederland nam het totale aantal aanvallen per week op bedrijfsnetwerken met 97 procent toe ten opzichte van 2020. Vooral internet en managed service providers waren veelvuldig doelwit: deze bedrijven werden wekelijks gemiddeld 1190 keer aangevallen. Dit is een stijging van 330 procent ten opzichte van 2020. Ook de zorgsector met 669 aanvallen per week (een stijging van 216 procent) en de retailsector met 666 aanvallen per week (een stijging van 251 procent) lagen flink onder vuur. Uit ons securityrapport voor 2022 bleek verder dat e-mail een steeds populairdere vector is voor de verspreiding van malware, goed voor 84 procent van de malwaredistributie. Grootschalige aanvallen op kritieke infrastructuur hebben niet alleen impact op het bedrijfsleven, maar ook op het dagelijks leven, en vormen zelfs een bedreiging voor het fysieke gevoel van veiligheid.’
‘Ik hoop dat Data Privacy Day, of Data Protection Day zoals het in Europa bekend staat, een aanleiding is voor iedereen om hun datahygiëne en beveiligingsprotocollen te evalueren om ervoor te zorgen dat hun gegevens zo veilig mogelijk worden bewaard. Het is van vitaal belang om de Data Privacy Day-security aanbevelingen toe te passen, maar dit is slechts de basis. Bedrijven kunnen het zich niet veroorloven om genoegen te nemen met het op één na beste als het gaat over beveiliging in een constant evoluerend dreigingslandschap. Daarom werken we hard aan geavanceerde nieuwe technologieën, zoals de onlangs aangekondigde Quantum Lightspeed-firewalls, en worden al onze softwareoplossingen aangedreven door ons wereldwijde realtime threat intelligence platform voor informatie over bedreigingen.’
Western Digital: Gedrag van werknemers leidt tot risico’s
Ruben Dennenwaldt, senior product marketing manager EMEA bij Western Digital: ‘We hebben onlangs een rapport gepubliceerd over de beveiligingsgewoonten van databeheerders en datagebruikers. Hieruit blijkt dat bijna een op de vier werknemers denkt dat ze de afgelopen twaalf maanden zeer gevoelige data in gevaar hebben gebracht. Ook is 68 procent van de datamanagers van mening dat het gedrag van werknemers een grotere bedreiging vormt voor zeer gevoelige gegevens dan externe hackers. Door de vele aandacht en nieuwsberichten rondom cyberbeveiliging blijven mensen en bedrijven vaak achter met de gevaarlijke misvatting dat ze niets kunnen doen om hun digitale privacy te beheren. In de huidige zakelijke omgeving is het door verhoogde beveiligingsrisico’s, gedrag van werknemers en het enorme volume aan data voor veel organisaties moeilijk om op de hoogte te blijven van beveiliging- en opslaguitdagingen. Naarmate de technologie vordert, zoeken werknemers en werkgevers naar manieren om gevoelige gegevens veiliger te kunnen delen en op te slaan. De combinatie van de juiste infrastructuur om gevoelige data op te slaan en te delen, en educatie van medewerkers over de bedreigingen waaraan ze hun organisatie mogelijk blootstellen, levert een grote bijdrage aan het verminderen van risico’s.’
HMD Global: Centrale Europese opslag
Leveranciers zouden vastbesloten moeten zijn om de GDPR-richtlijnen te volgen in alles wat ze doen, ook op operationeel niveau: mobiele oplossingen moeten voldoen aan strenge privacyeisen en worden continu onderworpen aan privacyrisicobeoordelingen. Trouw blijvend aan ons Finse erfgoed worden bij ons alle telefoonactiverings- en prestatiegegevens opgeslagen op één gecentraliseerde locatie op Google Cloud-servers in Hamina, Finland, zodat ze worden beschermd door Europese en Finse wetten die tot de strengste ter wereld behoren’, aldus Jari Koljonen, data protection officer bij HMD Global.