Wat te doen tegen datadiefstal door medewerkers?
Diefstal van data door een medewerker is zeer lastig te voorkomen. Zelfs de grootste organisaties die met de meest gevoelige informatie werken kunnen dergelijke diefstal niet voorkomen. Denk bijvoorbeeld aan de NSA, waar de klokkenluider Edward Snowden een enorme hoeveelheid geheime documenten wist te stelen. Wat kunt u doen om dit binnen uw bedrijf te voorkomen en de schade zoveel mogelijk te beperken?
Onderzoek naar de wijze waarop Edward Snowden een enorme hoeveelheid geheime documenten wist te stelen van de Amerikaanse inlichtingendienst NSA laat zien hoe moeilijk datadiefstal te voorkomen is. Snowden maakte gebruik van een zogeheten web crawler. Dit is een tool waarmee websites in korte tijd kunnen worden geïndexeerd, waardoor een overzicht ontstaat van alle aanwezige informatie. Deze informatie kan vervolgens in één keer worden opgeslagen. Ondanks dat een web crawler bedoeld is om websites te indexeren kan de tool ook worden gebruikt om interne databases te doorzoeken.
Zoekwoorden
Snowden gaf een aantal zoekwoorden op in zijn web crawler. Hierdoor kon hij in korte tijd alle beschikbare informatie en documenten verzamelen over de onderwerpen waar hij in geïnteresseerd was. Eén keer werd de voormalige NSA-medewerker bijna betrapt nadat werd opgemerkt dat hij bestanden aan het kopiëren was. Door zijn functie als systeembeheerder wist hij echter een geloofwaardig excuus te verzinnen, namelijk dat hij een back-up aan het maken was van een aantal servers.
De NSA werkt met zeer gevoelige informatie. We kunnen er dan ook vanuit gaan dat de organisatie zoveel mogelijk maatregelen heeft genomen om datadiefstal te voorkomen. Documenten die door Snowden zelf zijn uitgelekt tonen aan dat de NSA in 2013 een budget van 52,6 miljard dollar beschikbaar had. De geheime dienst heeft dus meer dan genoeg geld om de duurste beveiligingsoplossingen te implementeren. Desondanks wist Snowden er dus in te slagen een grote hoeveelheid data te stelen. Het is dan ook niet realistisch te verwachten dat de IT-afdeling van een gemiddeld bedrijf in staat is datadiefstal volledig uit te sluiten.
Maatregelen
GFI MAX waarschuwde afgelopen week voor de noodzaak om data te beveiligen. Het bedrijf heeft vijf stappen uiteen gezet waarmee bedrijven zichzelf kunnen wapenen tegen diefstal. De organisatie stelt echter dat de veiligheid van data nooit volledig te gegarandeerd kan worden. Het bedrijf is van mening dat medewerkers die bedrijfsdata willen stelen altijd een manier zullen vinden om dit te doen. Een geheimhoudingsovereenkomst is volgens GFI MAX ondanks alle beveiligingsoplossingen en -maatregelen die genomen kunnen worden een stap die van groot belang is.
Het is daarnaast van groot belang dat bedrijven zich bewust zijn van het feit dat datadiefstal nooit volledig kan worden voorkomen. Alleen dan kunnen zij immers maatregelen nemen om de schade van datalekken zoveel mogelijk te beperken. Bekijk dan ook kritisch welke werknemer toegang nodig hebben tot welke documenten en stel alleen deze data beschikbaar. Het toegankelijk maken van alle bedrijfsdata voor iedere werknemer is niet verstandig. Hierdoor kan een medewerker die kwaad wil immers alle data stellen, met alle gevolgen van dien.
WH
