Naar de inhoud
Avanet
AVG: hoe Sophos kan helpen

AVG: hoe Sophos kan helpen

29. MAART 2018

Het is inmiddels alweer een tijd geleden dat het Europees Parlement op 14 april 2016 de nieuwe Algemene verordening gegevensbescherming, kortweg AVG (of GDPR), heeft aangenomen. Op 25 mei 2018 treedt de verordening in werking en organisaties hebben dus bijna twee jaar de tijd gehad om zich voor te bereiden. In de tussentijd is er veel over geschreven, onder andere omdat ook Amerikaanse bedrijven verplicht zijn zich aan de General Data Protection Regulation te houden.

In dit artikel willen we laten zien hoe Sophos kan helpen bij het voldoen aan de nieuwe eisen. We lopen niet elk detail uit de 11 hoofdstukken en 99 artikelen langs. Veel formuleringen zijn nog vrij vaag en laten ruimte voor interpretatie. De lobbyisten hebben goed werk geleverd: grote organisaties kunnen zich jarenlang slepende rechtszaken veroorloven om over details in de tekst te discussiëren. Voor MKB‑bedrijven is dat minder ideaal – heldere, eenduidige regels waren prettiger geweest. De eerste rechtszaken zullen duidelijk maken hoe bepaalde artikelen moeten worden uitgelegd.

Om meteen één punt te verduidelijken: wij als Avanet zijn gevestigd in Zwitserland, maar ook Zwitserse bedrijven met klanten in de EU vallen onder de AVG.

Veel organisaties doen daarom voorlopig helemaal niets en nemen het risico om aangeklaagd te worden op de koop toe. Sommige lidstaten hebben al aangegeven dat ze simpelweg niet genoeg capaciteit hebben om alle klachten te onderzoeken.

Waar gaat deze nieuwe verordening nu eigenlijk over?

Enkele voorbeelden om een gevoel te krijgen bij de inhoud en bij de rol die IT‑beveiliging kan spelen:

  • EU‑burgers hebben het recht om bij bedrijven op te vragen welke persoonsgegevens zij over hen bewaren.Voor sommige bedrijven is dat nu al een uitdaging. In het ergste geval is een medewerker uren bezig om alle relevante informatie bij elkaar te zoeken.
  • EU‑burgers kunnen verzoeken dat hun gegevens worden verwijderd.Ook dit is een uitdaging voor de IT, want ook back‑ups vallen hieronder. Niet elke back‑upoplossing kan individuele records verwijderen en bovendien kan dit botsen met wettelijke bewaarplichten.
  • Wanneer een organisatie gegevens verliest door een datalek, geldt een meldplicht – tenzij de gegevens versleuteld waren.En daarmee zijn we bij het hoofdonderwerp, want hier speelt IT‑beveiliging een cruciale rol.

IT‑beveiliging moet serieus genomen worden

Wij vinden het positief dat de AVG extra argumenten biedt om IT‑beveiliging eindelijk serieus te nemen. Wie dit negeert en nog steeds denkt geen degelijke oplossing nodig te hebben, loopt vroeg of laat het risico om wegens grove nalatigheid te worden aangepakt. Nog steeds zien we te veel pc’s, servers en andere systemen die zonder enige bescherming rechtstreeks aan internet hangen, waarbij kritieke updates en patches genegeerd worden.

Dat Windows XP geen patches meer krijgt, betekent niet dat het systeem ineens veilig is. Sommigen zullen erom lachen, maar er zijn echt mensen die dat denken.

We zien ook regelmatig dat mensen surfen met browsers die al lange tijd geen updates meer hebben gekregen. Gebruik altijd een moderne browser die op veiligheidsgebied up‑to‑date is.

De ransomware‑industrie past zich aan

We leven in een tijd waarin ransomware en exploits tot de succesvolste aanvalsmethoden behoren. Deze “industrie” bereidt zich uiteraard ook voor op 25 mei. Er zijn al nieuwe varianten van ransomware gesignaleerd die geen gegevens meer versleutelen om vervolgens Bitcoins te eisen voor de sleutel, maar in plaats daarvan wekenlang stilletjes bedrijfsgegevens wegsluizen en daarna een boodschap tonen als:

We hebben je gegevens! Maak XXX Bitcoins over of we publiceren ze.

In zo’n scenario zijn back‑ups – die door velen als oplossing tegen klassieke encryptie‑ransomware werden gezien – niet meer voldoende. Als de buitgemaakte gegevens worden gepubliceerd, zijn de gevolgen tweeledig: reputatieschade en een boete van de EU die kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse omzet.

Bescherming: eenvoudig en relatief betaalbaar

Er zijn een aantal basisregels die u altijd zou moeten volgen:

  • Gebruik een actueel besturingssysteem (pc, server, smartphone, IoT‑apparaten).
  • Voer software‑updates regelmatig door.
  • Installeer een professionele antivirusoplossing. → Naar onze mening zijn oplossingen als Avira, Avast, Windows Defender en vergelijkbare producten niet voldoende als je naar de gebruikte technologie kijkt. We hebben het bewust over technologie, want marketing en websiteteksten zijn vaak erg overtuigend. Wie die beschrijvingen gelooft, denkt dat ook gratis producten overal tegen beschermen. Daarnaast raden we altijd Sophos Intercept X aan. Voor servers is er Sophos Server Protection.
  • Versleutel uw gegevensdragers (harde schijven, USB‑sticks, enzovoort). → Dit helpt bij verlies of diefstal van een apparaat. BitLocker voor Windows en FileVault voor macOS zijn goede opties. U kunt ze handmatig op enkele systemen inschakelen of, bij grotere aantallen, centraal beheren met Sophos Device Encryption.
  • Versleutel uw bestanden. → Er zijn tools zoals VeraCrypt (gratis opvolger van TrueCrypt) en Cryptomator. VeraCrypt plaatst alle gegevens in één container, wat onhandig is en niet ideaal vanuit beveiligingsperspectief (één wachtwoord voor alle data). Cryptomator (ook gratis) pakt het beter aan: elk bestand wordt met een eigen sleutel versleuteld (inclusief bestandsnaam) en blijft individueel – ook gunstiger voor back‑ups. Wat biedt Sophos? Voor kleinere organisaties is er naar onze mening nog geen echt passende oplossing, tenzij u bereid bent een Windows‑server met database en AD‑integratie te beheren; in dat geval is Sophos SafeGuard een goede keuze. Welk product u ook kiest: goede versleuteling valt of staat met een sterk wachtwoord – en gebruik dat niet overal hetzelfde.

De AVG noemt versleuteling expliciet als geschikte methode om gegevens te beschermen in het geval van een datalek (artikel 34).

  • Train uw gebruikers. → Ideaal gesproken zijn beschermingsmechanismen aanwezig maar hoeven ze nooit “echt” gebruikt te worden – hetzelfde geldt voor back‑ups. Helaas weten sommige gebruikers dat niet en klikken ze op elke link, of reageren ze op phishing‑mails op een manier die de IT‑beveiliging ernstig ondermijnt. Daarom zijn er oplossingen zoals Sophos Phish Threat, waarmee u phishing‑campagnes kunt opzetten, gebruikers kunt testen en hen vervolgens gericht kunt trainen. Het doel is hun bewustzijn te vergroten: een e‑mail is niet altijd echt, ook al ziet hij er perfect uit.
  • Beveilig mobiele apparaten. → Zakelijke e‑mails, contactpersonen en agenda’s staan vaak op mobiele devices. Bedrijfsgegevens worden tegenwoordig vanzelfsprekend “mee naar buiten” genomen. Laptops, smartphones en tablets moeten daarom beschermd worden, onderworpen zijn aan consistente policies en – indien nodig – op afstand gewist kunnen worden. Sophos Central Mobile helpt u daarbij.
  • Beveilig uw netwerk. → Als u minimaal de helft van de bovenstaande punten heeft afgevinkt, is het tijd om naar netwerkbeveiliging te kijken. Een correct geconfigureerde firewall kan veel verschil maken en kan ook uw draadloze netwerken beschermen. Zie ook de Sophos XG Firewall.
  • Versleutel e‑mail. → We hebben het al jaren over het versleutelen van e‑mail, maar buiten enkele sectoren is het nog steeds niet de norm, vooral omdat het niet altijd even gebruiksvriendelijk is. Sophos heeft een aantal oplossingen op dit gebied, maar die vinden wij eerlijk gezegd nog niet volledig volwassen of echt geschikt voor het MKB.

Dit zijn, samengevat, de belangrijkste punten die wij aanraden om niet tot de eerste organisaties te behoren die – al dan niet onbewust – in strijd met de AVG handelen. 😉

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.