'Verbod op USB-sticks verkleint risico op datalekken niet'
IBM maakte onlangs bekend het gebruik draagbare opslagapparatuur in zijn volledige organisatie te verbieden. De kans op uitlekken van privacygevoelige informatie wordt echter niet verkleind door het weren van draagbare opslagapparatuur. De beveiliging van versleutelde USB-sticks is de laatste jaren juist grondig verbeterd, waardoor de inzet ervan – in combinatie met werknemersbeleid over acceptabel en onacceptabel gebruik – juist is aan te raden met het oog op de naderende Europese privacywetgeving GDPR.
Dit stelt Kingston Digital, de Flash Memory afdeling van de geheugenproducent Kingston Technology Company. Kingston stelt dat bedrijven die het gebruik van USB-sticks willen verbieden om datalekken te voorkomen niet beseffen hoe ingeburgerd het gebruik van draagbare opslagapparatuur is. “Wij vinden dat bedrijven en andere instanties die hun werknemers het gebruik van verwisselbare opslagapparaten verbieden, onvoldoende analyses hebben uitgevoerd om inzicht te krijgen in de vele manieren waarop gegevensstromen lopen binnen en buiten een organisatie", aldus Niels Burnet, Business Development Manager bij Kingston.
Bescherming van persoonsgegevens
De reden dat bedrijven nu maatregelen nemen, bijvoorbeeld in de vorm van een verbod op USB-sticks, is volgens de geheugenfabrikant de komst van de GDPR. Deze wet is gericht op de bescherming van persoonsgegevens in de EU. Bij een datalek krijgen organisaties boetes die kunnen oplopen tot vier procent van de totale jaarlijkse inkomsten of twintig miljoen euro. Daardoor zijn er aanzienlijke financiële prikkels om risico’s te minimaliseren.
Het weren van draagbare opslagapparatuur klinkt als een eenvoudige oplossing, maar bedrijven beseffen volgens Kingston niet dat dit de productiviteit van werknemers kan beperken en de werkefficiëntie zal verlagen. De huidige mobiele werknemers hebben legitieme zakelijke doeleinden voor het gebruik van verwisselbare media. Enkele voorbeelden die het bedrijf geeft zijn:
- Opslag zonder cloud: mobiele werknemers hebben mogelijk geen toegang tot de benodigde bestanden of kunnen bestanden niet overdragen vanwege onbetrouwbare lokale ‘Free Wi-Fi’-netwerken of firewalls
- Belang van USB-poort: voor het onderhoud van systemen of het helpen van klanten bij de implementatie van software is een USB-poort nodig
- Externe gegevens: het verzamelen van gegevens uit veldonderzoek bij noodsituaties en wetenschappelijke operaties
Versleutelde apparatuur
Om de cyberbeveiliging te bevorderen, de productiviteit van werknemers te behouden en intussen compliant te worden voor de naderende GDPR is het gebruik van versleutelde apparatuur volgens Kingston de oplossing. Versleuteling is één van de meest betrouwbare manieren van bescherming wanneer het gaat om mobiele opslag van vertrouwelijke of gevoelige informatie. Versleutelde USB-sticks zijn oplossingen voor beveiligingsproducten en volgens de geheugenfabrikant een essentiële pijler van een uitgebreide strategie ter voorkoming van gegevensverlies.
Het is verstandig om er als bedrijf op aan te dringen dat werknemers alleen versleutelde USB-drives gebruiken. Op deze manier maak je gebruik van de productiviteitsvoordelen van het toestaan van USB-toegang in combinatie met de bescherming van (privacygevoelige) informatie. Versleutelde USB-oplossingen zijn ontworpen om zelfs de meest gevoelige gegevens te beschermen, met behulp van de strengste beveiligingsvoorschriften en protocollen.
Kingston wijst erop dat zijn versleutelde USB-drives onder andere zijn voorzien van hardware gebaseerde AES-256bit-codering in XTS-modus en antivirus-/malwarebescherming. Daarnaast is het mogelijk de USB-sticks op afstand te monitoren op TAA-conforme/FIPS-gecertificeerde wijze. De USB-drives zijn beschikbaar met capaciteiten variërend van 4 GB tot 128 GB.
Vergroten bewustzijn
Daarnaast is het van belang om beleid op te stellen waarin acceptabel en onacceptabel gebruik van draagbare opslagapparatuur beschreven staat. Door medewerkers te trainen wordt hun bewustzijn vergroot en risicovol gedrag met persoonsgegevens tot een minimum beperkt.
