Vincent Oostlander, Regional Director Noord-Europa bij Kingston: ‘Beveiliging USB ondergeschoven kindje’

USB-sticks hebben voor organisaties niet zelden dezelfde waarde als pennen en markers. Maar de data die op dergelijke sticks worden opgeslagen zijn vele malen meer waard dan de hardware waar ze op worden meegenomen. In praktijk gaat het daarmee nogal eens mis. Executive-People.nl sprak hierover met Vincent Oostlander, Regional Director Noord-Europa bij Kingston.

Vincent Oostlander werkt al twaalf jaar bij Kingston, waar hij de Nederlandse organisatie heeft opgebouwd. Vanaf 2007 is hij Regional Director Noord-Europa. In deze functie geeft hij zelf leiding aan negen mensen die in Noord-Europa andere landenorganisaties opbouwen. In die twaalf jaar is de organisatie flink gegroeid. “In het begin hadden we één product: DRAM-geheugen. In de loop der tijd is het portfolio verder uitgebreid naar diverse doelgroepen, van zakelijke markt en bouwers tot flashproducten. De afgelopen jaren hebben we ook binnen die drie pilaren het aanbod uitgebouwd.”

Onderdeel van deze strategie is uitbreiding van de activiteiten naar bijvoorbeeld onderzoek over de geheugenmarkt. “Dat doen we voor eventuele klanten, maar ook voor bewustwording van de markt.” Een recent onderzoek is dat naar de veiligheid van USB-producten, een onderdeel van het Flash-aanbod.

“Security staat hoog op de agenda rond IT. Maar je hoort regelmatig dat er USB-sticks worden verloren met gevoelige informatie. Of iemand zet zijn computer met harde schijf aan de kant van de straat. We weten dat het gebeurt, maar hoe groot is het probleem? De conclusie uit het onderzoek is dat het inderdaad regelmatig gebeurt, en de IT manager is zich daar duidelijk bewust van. Managers bevestigen dat er de afgelopen tijd data is verdwenen door verloren USB-sticks.”

Handhaving
Er is bij organisaties weliswaar security-beleid, maar daarin wordt vooral gekeken naar netwerken en datasecurity. “De focus op USB, waarmee je heel gemakkelijk data verliest, is een ondergeschoven kindje. Dat wil niet zeggen dat men helemaal niets doet. Er zijn wel bedrijven met een beleid, maar daar ontbreekt weer de handhaving.”

Dat raakt de trend ‘werken waar en wanneer je wilt’. “Wat er in praktijk gebeurt is dat werknemers zelf data meenemen, ze mailen het zichzelf of zetten het op een USB-stick. Dan is soms wel het beleid dat de medewerker dat doet op een veilige USB-stick, maar daar wordt dan geen invulling aan gegeven. Beter is dan dat organisatie sticks kopen die beveiligingssoftware bevatten, warmee bijvoorbeeld alleen bepaalde data kunnen worden geladen.”

Er bestaan diverse vormen van beveiliging van USB-sticks. De meest eenvoudige vorm is het ontbeken van beveiliging op de hardware, met niets meer dan een password op het document. Maar een Word-document met een eigen password is voor zakelijk gebruik niet voldoende. Als een organisatie het belangrijk vindt dat de data beschermd worden komt hardwarematige encryptie in beeld. Data worden dan versleuteld om ervoor te zorgen dat, als de stick door onbevoegden gevonden wordt, de gegevens onmogelijk te gebruiken zijn.

De volgende stap is enterprise software, waarmee organisaties kunnen bepalen welke USB-stick in welke systemen wordt geplaatsts, eventueel op serienummer. Dat kan op maat worden ingesteld. Dan is de stick geen commodity meer, maar wordt hij gepersonaliseerd. En daarboven bestaan weer bepaalde certificeringen, waar bijvoorbeeld overheden mee werken. Dan is het mogelijk te zien of iemand de stick open heeft gemaakt, of breekt de stick bij openmaken, zodat hij onbruikbaar wordt.

Imago
“Het is zaak dat ondernemingen daarnaar gaan kijken: welke data heb ik en hoe belangrijk is het dat die data niet gedeeld worden. Dat kan komen door diefstal, dan is het bewust, maar het kan ook door verlies in de taxi. Dat speelt ook op het niveau van imago, want als de naam van de organisatie op een stick staat dan wil het niet eens zeggen dat de data toegankelijk is, maar dan geeft het aan dat het beleid niet goed is.”

“Daar zit een tweedeling in. Een laptop straalt waarde uit, daar zijn mensen voorzichtiger mee. De stick is minder waardevol. Maar in werkelijkheid vormen de data de echte waarde, niet de stick. Staat er de naam op van een bedrijf dan geeft dat nog steeds slechte PR, waarmee je ook schade leidt zonder dat er data gelekt zijn.”

Uit het onderzoek blijkt dat er twee manieren zijn waarop mensen met sticks omgaan. “Sommigen kopen ze in bulk, zonder protectie. Gelukkig zijn er ook veel bedrijven die er niet op die manier mee omgaan. Grote banken en overheden hebben een echte tender waar echt getest wordt voor encrypted en managed USB’s. Als mensen opschuiven van entry level naar midrange, met in ieder geval goede hardware encryptie en beleid dan heb je de eerste grote stap voorwaarts gezet.”

De organisaties waar wij het meeste mee praten zijn organisaties die veel omgaan met vertrouwelijke data, als die verloren raken is dat pijnlijk voor zowel de organisatie net als voor de persoon waar die gegevens over gaan. Dan gaat het om echte schade, niet alleen in de PR. We merken dat het onderwerp door ons onderzoek hoger op de agenda komt. Men is niet verrast door de uitkomsten, maar raakt wel meer doordrongen van het belang van veilige USB-sticks.”