Hoe werkt dat, lekken? En wat doe je eraan?
Wat is een datalek?
Als uw kraan lek is, dan komt er water uit terwijl dat niet de bedoeling is. Zo’n lek kan aan het leertje liggen, aan het loodgieterswerk, aan gecorrodeerde leidingen, of zelfs aan een kraan die per ongeluk nog open staat. Het resultaat is hetzelfde: Er komt water uit terwijl dat niet moet.
Datalekken werken net zo. Bedrijven slaan veel gegevens op die alleen voor intern gebruik zijn. Als die gegevens dan ineens van buitenaf te zien zijn, dan is er sprake van een lek. En daar zijn er veel van. Alleen al in Nederland werden vorig jaar 10.009 datalekken gemeld. Het aantal niet gemelde lekken is daar ongetwijfeld, ondanks de meldplicht, een veelvoud van.
Voor een datalek maakt het niet uit of een crimineel je bestanden gehackt heeft of dat je zelf de kraan hebt laten openstaan. Gelukkig zijn de meeste lekken niet crimineel en lopen ze met een sisser af. Voor zover we weten.
Wat voor lekken zijn er nou zoal, en hoe moeilijk is het om er iets aan te doen? Laten we een paar lekken van de afgelopen week bekijken.
Verkeerde settings
De Britse overheid gebruikt Trello om documenten te delen. Daar is op zich niks mis mee, maar dan moet je de settings wel zo instellen dat de documenten niet met de buitenwereld worden gedeeld. En dat waren ze bij een aantal Trello Boards vergeten. Het gevolg was dat gevoelige documenten , bijvoorbeeld van MI5, 4 jaar lang geïndexeerd zijn door Google.
Verkeerde settings zijn waarschijnlijk de meest voorkomende oorzaak van datalekken. En er is meestal helemaal niet veel kennis voor nodig om ze weer goed te zetten. Wel even wat tijd, wat administratie, en misschien wat werkvoorschriften.
Ketenpartners
Waar samengewerkt wordt vallen spaanders. Bedrijven die samenwerken moeten wel gegevens delen met hun ketenpartners. Dat betekent dat hun security deels in handen is van andere partijen. En dat kun je zelf alles op orde hebben, als je ketenpartner dat niet heeft ben je alsnog het haasje.
Beveiligingsonderzoeker Chris Vickery van UpGuard Cyber Risk vond een lek bij een Canadees bedrijfje genaamd Level One Robotics and Controls. Niet veel aan de hand? Het bedrijfje werkt samen met verschillende grote spelers in de autoindustrie. Tesla, Volkswagen, Toyota.
Door een fout van Level One was er gevoelige informatie van zo’n 100 partners te vinden op het open internet. Blauwdrukken, contracten, rekeningen, werkplannen, en… non disclosure agreements.
Lekken bij partners zijn niet te voorkomen. Wel in te perken. Welke gegevens moeten echt met ze gedeeld worden? Wat voor afspraken zijn er voor als het fout gaat?
Wederom niets technisch.
Bugjes
Beveiligingsonderzoeker Dennis Veninga van Networking4all ontdekte afgelopen week een beveiligingsprobleem bij Randstad toen hij zijn profielgegevens opvroeg. In plaats van zijn eigen gegevens kreeg hij de gegevens van een ander te zien. Het bleek dat je niet eens hoefde in te loggen om de gegevens van anderen te bekijken.
Volgens Randstad ligt het probleem waarschijnlijk aan een update van een internetpagina.
Dit soort bugjes valt nooit helemaal te voorkomen, maar kan met een vaste testprocedure bij het uitrollen van nieuwe software meestal wel gevonden worden. Wederom: meer procedure dan techniek.
Hackers
Maar soms zijn het natuurlijk wél hackers die gericht op zoek zijn naar gegevens. Dat lijkt het geval te zijn in Singapore, waar de gegevens van 15 miljoen mensen uit de Singaporese health database gestolen zouden zijn. Volgens een verklaring betreft het een doelgerichte aanval. Het doel was waarschijnlijk de premier van Singapore. De overige 15 miljoen mensen waren bijvangst.
Tsja, als aanvallers genoeg tijd, geld, en menskracht tot hun beschikking hebben is elk bestand te hacken. Het enige wat je daaraan kan doen is het in ieder geval zo moeilijk mogelijk maken. En dat kan wel degelijk technisch worden, hoewel het merendeel van de maatregelen nog steeds niet technisch hoeven te zijn (denk aan het controleren van de settings). Welke gegevens moet je opslaan, welke gegevens zijn eigenlijk niet nodig? Hoe kunnen verschillende databases (fysiek) van elkaar gescheiden worden? Wat doe je eraan om een lek zo snel mogelijk te ontdekken, en wat is je plan als je het ontdekt hebt?
No Comments :