GDPR gaat niet alleen over gegevensbeveiliging
In de aanloop naar 25 mei 2018, D-Day voor wat betreft de handhaving van de GDPR, gaat het vooral over het beschermen van (persoons)gegevens. Niet vreemd, aangezien GDPR staat voor General Data Protection Regulation. Maar met versleuteling en afscherming van gegevens ben je er niet. Toch is er nauwelijks aandacht voor de minstens zo belangrijke aanvullende maatregel: netwerkbeveiliging.
De meeste bedrijven, gemeenten, ziekenhuizen, scholen en andere instellingen beschikken over veel persoonsgegevens. Uiteraard is het voor compliancy met GDPR van kritiek belang dat wordt gezorgd dat deze gegevensdatabases proportioneel zijn (niet meer persoonsgegevens verzamelen dan strikt noodzakelijk is), uitsluitend toegankelijk zijn voor de medewerkers die de informatie echt nodig hebben en dat de gegevens goed versleuteld zijn.
Het is een illusie om te denken dat met het regelen van die facetten een perfecte situatie is gecreëerd. Er zijn namelijk altijd rogues. Vooral wanneer bepaalde medewerkers opeens geen toegang meer hebben tot de database, terwijl zij van mening zijn dat zij die zo nu en dan wel nodig hebben. Of medewerkers die niet graag werken met het nieuwe CRM-systeem, omdat ze nu eenmaal al jarenlang lekker werken met een Excelsheet. Medewerkers die gedachteloos een kopie van een deel van de database maken en voor de duur van een bepaald project ‘even’ op hun eigen pc opslaan. Dit zijn slechts enkele voorbeelden van zeer denkbare scenario’s waarin veilig geëncrypteerde databases geen soelaas bieden. Scenario’s waarbij gevoelige gegevens onversleuteld binnen het netwerk rondfladderen, als gewillige slachtoffers in geval van een hack.
Om deze reden is het van essentieel belang dat organisaties hun netwerk beschermen tegen malware en hackers. Om dit te bewerkstelligen, moeten om te beginnen patches tijdig worden geïnstalleerd. Door reverse engineering kunnen malwareschrijvers gemakkelijk code maken die dat beveiligingslek uitbuit, dat door de net uitgebrachte patch wordt afgeschermd. Meestal zitten er slechts enkele dagen tussen het uitkomen van een patch en de eerste malware die het daaraan gerelateerde lek uitbuit.
Voor bedrijven is het dan ook nodig om een duurzame patchmanagementstrategie te ontwikkelen. Er zijn programma’s die patches aanbieden die extra gecontroleerd zijn. De kans om een patch te installeren die met andere software conflicteert, is dan veel kleiner. Bovendien inventariseert een dergelijke oplossing exact welke hardware en software er op het netwerk draaien en geeft zij altijd een actueel overzicht van beschikbare patches die moeten worden geïnstalleerd.
Een goed gepatcht systeem is veel minder kwetsbaar dan een ongepatcht systeem. Maar helemaal veilig is het niet, want er zijn altijd ook nog zero-days: beveiligingslekken waarvoor nog geen patch beschikbaar is. Om netwerken daartegen te beschermen, is het installeren, het op de juiste wijze configureren en het up-to-date houden van een goede netwerkbeveiliging essentieel. Het is van belang dat de beveiligingsoplossing niet alleen vertrouwt op reactieve detectie van malware op basis van virushandtekeningen. Betrouwbare proactieve detectiemethoden zijn, in een periode waarin elke seconde 4 nieuwe schadelijke codes de wereld in worden gestuurd, onmisbaar voor een solide bescherming tegen malware. Daarnaast moet ook een firewall worden geïnstalleerd om aanvallers buiten de poorten te houden.
Wie naast gegevensbeveiliging ook aan netwerkbeveiliging doet, is goed op weg naar 25 mei.
Eddy Willems is Security Evangelist bij antivirusbedrijf G Data.