Al jaren heerst er binnen beveiligingskringen de discussie of de grootste data-incidenten nu het werk van hackers of het eigen personeel zijn. Onlangs verschenen er drie rapporten waarin datalekkage aan bod komt, maar een eenduidig antwoord blijft uit.

Eerst publiceerde Microsoft het Security Intelligence Report, waarin het de Data Loss Database van de Open Security Foundation gebruikt. Hoewel het lekken van gegevens vaak met hackers in verband wordt gebracht, blijkt uit cijfers van OSF dat meer dan 80% niet het gevolg van hackers is. De Data Loss Database bestaat uit 572 gerapporteerde incidenten in het jaar 2008, met name in de Verenigde Staten en Groot-Brittannië.

De voornaamste categorie is diefstal, goed voor 30% van de incidenten en twee keer zo groot als het percentage hackingaanvallen. De reden dat diefstal zo hoog scoort is met name omdat incidenten eenvoudig zijn te detecteren en aan te geven. In het geval van het per ongeluk lekken van informatie via het web, blijkt juist dat dit vaak lange tijd aan de hand is voordat men het opmerkt. Toch is het per ongeluk lekken van gegevens met 15% net zo omvangrijk als de activiteiten van hackers, wat trouwens ook geldt voor het verliezen van materiaal. Een andere reden dat gegevens nog altijd op straat belanden is dat bedrijven zowel hun papieren als elektronische documenten niet juist vernietigen en bijvoorbeeld gewoon in een vuilnisbak dumpen waar het uiteindelijk gevonden wordt.

Oplossingen
Microsoft adviseert managers om bij het schrijven van een securityplan niet alleen rekening te houden met malware, exploits en hacking, aangezien men dan 80% van de incidenten mist waarbij gevoelige informatie in gevaar komt. Ook opslag, transport en vernietiging van gegevens moeten onderdeel van het beleid zijn. De softwaregigant geeft vervolgens het advies om data op alle computers te versleutelen, niet alleen laptops. Iets waar het met BitLocker natuurlijk voor eigen parochie preekt. Verder moet er een incident response plan zijn voor de persoonlijk identificeerbare informatie die het bedrijf verzamelt of opslaat. Als laatste kan het zinnig zijn om informatie over data-incidenten bij andere bedrijven als input voor het eigen beleid te gebruiken.

Trend
Symantec publiceerde vorige week het Internet Security Threat Report, waarin het ook de OSF database gebruikt. In tegenstelling tot Microsoft werden niet alleen de data-incidenten bekeken, maar ook in welke gevallen identiteitsgegevens door een bepaalde categorie werden blootgesteld. Dan blijkt dat diefstal/verliezen van materiaal voor 66% van de gecompromitteerde identiteiten verantwoordelijk zijn. Reden hiervoor was dat in 2008 er een aantal grote incidenten plaatsvond, waarbij schijven met de gegevens van bij elkaar 41 miljoen mensen verloren raakten.

Een trend volgens Symantec voor het verliezen van apparatuur is dat laptops en USB-sticks steeds kleiner worden en daardoor niet alleen makkelijker te verliezen zijn, dit maakt het ook eenvoudiger voor dieven. De machines bevatten daarnaast ook nog eens veel meer gegevens. Een enkele dvd kan al de uitgebreide informatie van tientallen miljoenen mensen bevatten. Uit recent onderzoek van RSA blijkt dat 10% van de werknemers weleens een laptop, smartphone of USB-stick met bedrijfsgegevens is verloren. Toch neemt zo'n 80% vertrouwelijke bedrijfsinformatie van de werkplek mee.

Oplossingen 2
Om gegevens te beschermen stelt Symantec voor dat bedrijven het gebruik van persoonlijke datadragers beperken, en het gebruik van wel toegestane hardware monitoren, waar het natuurlijk zelf een assortiment aan producten voor heeft. Naast technische oplossingen speelt ook het onderwijzen van het personeel een belangrijke rol. Die lijken zich echter voldoende bewust van de gegevens die er binnen het bedrijf rondgaan. Zestig procent heeft er geen probleem mee om bij ontslag of vertrek bedrijfsgegevens zoals e-mailadressen, contactgegevens van klanten, financiële informatie en andere data mee te nemen. 79% van de mensen die informatie meeneemt, doet dit zonder toestemming van de baas. Een ander belangrijk punt is beleid. 21% van de incidenten werd door onveilig beleid veroorzaakt. In deze gevallen hielden bedrijven zich niet aan richtlijnen, regels of het eigen security beleid.

Georganiseerde misdaad
Volgens Verizon is eigen personeel helemaal niet het probleem. In het eigen Data Breach Investigations rapport meldt het dat data-incidenten door fysieke aanvallen, bijvoorbeeld diefstal, voor weinig problemen zorgen. Het bedrijf erkent dat dit haaks staat op de publieke perceptie en de publieke bronnen die beschikbaar zijn. Als reden geeft Verizon dat het verliezen van een laptop niet per definitie tot een compromittering van de aanwezige gegevens leidt. Toch zijn de bedrijven in kwestie verantwoordelijk om de getroffen klanten te waarschuwen, ook al was het de dief alleen om de computer te doen, en niet om de gegevens. De gegevens die IT-dienstverlener gebruikt, zijn allemaal afkomstig van echte incidenten, ook al ging het om 90 incidenten, zorgt dit wel voor een geheel ander beeld. Verder vindt by fysieke aanvallen minder vaak onderzoek door derde partijen plaats, aangezien er minder bewijs is om te onderzoeken.

Bij de incidenten die Verizon onderzocht ging het wel om bewuste aanvallen. Gemiddeld zorgen insiders wel voor de grootste incidenten, maar zijn het aanvallers van buitenaf die totaal gezien de meeste gegevens stelen. In 91% van de gevallen zit volgens het bedrijf hier de georganiseerde misdaad achter.

Oorzaak
Criminelen weten in 98% door een fout van het slachtoffer hun buit binnen te halen. Meestal gaat het dan om SQL-injectie of het inloggen via gestolen inloggegevens. Vaak zijn aanvallen via meerdere zaken mogelijk. Zo wordt 67% door behoorlijke fouten veroorzaakt, 64% door hackers, 38% door malware, 22% misbruikt rechten, terwijl 9% het gevolg van een fysieke aanval is. Ondanks de omvang van de incidenten hebben de meeste bedrijven dit niet door. Zeventig procent van de slachtoffers wordt door derden gewaarschuwd, terwijl slechts 11% ongewoon gedrag van het systeem opmerkt. Dertien procent ontdekt de aanval tijdens werkactiviteiten. Door het monitoren van systemen en analyseren van logs weten bedrijven zes procent van de aanvallen te detecteren, toch is dit met 71% de belangrijkste manier om ongeregeldheden op te merken.

Oplossingen 3
Volgens Verizon kunnen simpele acties, mits op proactieve en consequente wijze uitgevoerd, behoorlijke voordelen kunnen:

• Wijzig de standaard inloggegevens. Criminelen verschaften zich in 2008 vaker toegang tot bedrijfsgegevens via standaard inloggegevens dan via welke andere methode dan ook.

• Vermijd het delen van inloggegevens. Bedrijven moeten ervoor zorgen dat hun wachtwoorden uniek zijn en niet door gebruikers worden gedeeld.

• Evalueer de gebruikersaccounts. Bedrijven doen er goed aan om hun gebruikersaccounts regelmatig te wijzigen.

• Test toepassingen en audit applicaties. Technieken als SQL-injectie-aanvallen, cross-site scripting, het omzeilen van de authenticatie en misbruik van sessievariabelen droegen bij aan bijna de helft van alle onderzochte aanvallen door hackers.

• Zorg voor uitgebreide patching. In alle gevallen van hacks en malware werd er misbruik gemaakt van kwetsbaarheden die minimaal zes maanden eerder bekend waren gemaakt. Snel patchen is daarom niet de oplossing, maar het over de gehele linie en proactief patchen wel.

• Zorg ervoor dat de afdeling personeelszaken effectieve afvloeiingsprocedures hanteert. Dit jaar werd verschillende malen gebruikgemaakt van de inloggegevens van recent uit dienst getreden werknemers om de beveiliging van bedrijven te omzeilen.

• Activeer logbestanden voor toepassingen en bewaak deze. Aanvallen richten zich steeds vaker op een hoger niveau binnen de automatiseringsstructuur gericht, namelijk op de toepassingslaag.

• Definieer wat “verdachte” en “afwijkende” activiteiten zijn (en anticipeer vervolgens hierop).