In de wereld van vandaag komen we steeds meer in aanraking met verlies van confidentiële bedrijfsinformatie via het Internet. Zonder echt te hoeven nadenken, kan iedereen zich wel een aantal voorbeelden voor de geest halen van belangrijke info die recent via het Internet is gelekt (credit card nummers, wiki-leaks, gevoelige politieke emails, ...). Natuurlijk willen bedrijven vermijden dat hun naam in drukletters op de voorpagina van de krant verschijnt wanneer blijkt dat gevoelige info over hun klanten in de handen van hackers terecht is gekomen. Maar het probleem is vaak dat het implementeren van DLP (Data Loss Prevention) maatregelen gepaard gaat met een verlies van productiviteit van de werknemers en voor extra werk zorgt voor de IT-afdeling.

Zo kan bijvoorbeeld een uitgaande e-mail met loonlijsten geblokkeerd worden door de DLP- oplossing omdat die gevoelige informatie bevat. Meestal is blokkeren in dit geval de juiste reactie. Maar wat als het de HR-afdeling is die op het einde van de maand de looninfo doorstuurt naar een sociaal secretariaat voor uitbetaling van de lonen?

Met de meeste oplossingen vandaag de dag moet de HR-verantwoordelijke dan contact opnemen met de IT- afdeling om de uitgaande info, die in quarantaine is geplaatst, vrij te geven en te versturen. Hierdoor gaat kostbare tijd verloren met dikwijls de bijhorende frustraties omdat de IT-verantwoordelijke die de e-mail moet vrijgeven net op dat moment druk bezig is met andere dringende zaken.

Een andere bijkomende vraag in dit scenario: is het effectief de taak van de IT-verantwoordelijke om de soms zeer gevoelige e-mails (in dit geval met looninfo van misschien zijn naaste collega’s) in quarantaine na te kijken en vrij te geven?

Doeltreffende oplossingen beschikbaar

Gelukkig zijn er vandaag de dag produkten op de markt die een oplossing bieden voor bovenstaand probleem. Hierbij gaat men de gebruikers vooral nauwer te betrekken bij het hele gebeuren van quarantaine en vrijgeven/versturen van gevoelige informatie.

Een gebruiker die een gevoelige e-mail verstuurt (die normaal gezien door de bedrijfspolitiek geblokkeerd zou worden) krijgt dan een melding (via e-mail, pop-up window, ...) van de DLP-oplossing dat hij zelf actie moet ondernemen om de e-mail vrij te geven.

Een mogelijke werkwijze hier is dat de gebruiker kan surfen naar een web-interface van de DLP-oplossing. Daar dient er eerst en vooral een reden opgegeven te worden waarom de gevoelige e-mail het bedrijf toch zou mogen verlaten. Vervolgens klikt de gebruiker op “send” en de data zijn vertrokken. Dit alles zonder interactie met de IT-afdeling.

Natuurlijk dient al de info (verzender, data-type, reden , tijdstip, ...) bijgehouden te worden om achteraf discussies te vermijden en zijn de nodige management tools nodig voor de opvolging van de events (Zie Figuur 1). Op deze manier worden gebruikers dus nogmaals nauwer betrokken bij het proces wat leidt tot minder frustraties en tevens ook minder werk voor de IT-afdeling.

En pluspunt bij deze manier van werken is dat er een grotere bewustwording van de beveiligingspolitiek van het bedrijf bij de gebruiker wordt gecreëerd (user education).

Natuurlijk is het mogelijk om bepaalde zaken die simpelweg te gevaarlijk zouden zijn om de keuze aan de gebruiker te laten, simpelweg te blokkeren en de gebruiker daarvan ook op de hoogte te stellen.

DLP-oplossing op firewall zelf

Bij het horen van de term DLP leggen managers ook vaak de link met het bijhorende kostenplaatje. Er bestaan echter oplossingen die heel snel te implementeren zijn zonder dat men dagen, weken of zelf maanden consultancy dient te betalen voor classificatie van al de data en het opzetten van de DLP-oplossing? Om nog maar te zwijgen van de uren die de IT- afdeling eraan dient te spenderen voor de opvolging van dit alles.

Met de huidige Next Generation Firewalls bieden de betere vendors ook een DLP-module aan die geactiveerd kan worden op de firewall zelf zodat er geen extra hardware nodig is. Bij de aanschaf van een dergelijke gateway dient men er wel op te letten dat DLP-functionaliteiten zich niet beperken tot enkel het detecteren van bijvoordbeeld trefwoorden in MS Office- en Notepad- documenten.

Zo bieden sommige firewall vendors vandaag de mogelijkheid om veel meer te detecteren/blokkeren met de DLP-module. Een aantal voorbeelden:

• Documenten die gebaseerd zijn op specifieke templates (Word, Excel, PDF, ... )
• Documenten die x aantal namen/woorden bevatten die in een woordenlijst staan. Bijvoorbeeld een uitgaande e-mail die meer dat 10 namen van klanten bevat.
• E-mails blokkeren waar een extern persoon in BCC staat...
• Rijksregister-, creditcard-, bankkaartnummers, ...
• gebruikersnamen en paswoorden
• grafisch ontwerp bestanden, broncode, ...

Net zoals bij een firewall rulebase kan er dan ook een DLP-rulebase opgesteld worden.

De betere vendors bieden een reeds voorgedefinieerde rulebase aan die men naar eigen wens kan aanpassen zodat men vrijwel onmiddellijk van start kan gaan met de standard policy om vervolgens geleidelijk de aanpassingen te maken die van toepassing zijn op de specifieke bedrijfspolicy.

Daarnaast is het soms ook nodig dat er een watermark kan worden aangebracht op het moment dat de data het bedrijf verlaten. Zo kan er bijvoorbeeld aan een MS Word-document info worden toegevoegd wie het document wanneer gestuurd heeft naar de buitenwereld.

Belangrijk is ook dat de DLP-oplossingen meer dan enkel e-mails kan controleren. Ook HTTP(S)- en FTP-uploads/posts kunnen vaak gevoelige info bevatten en dienen gecontroleerd te kunnen worden. Als voorbeeld denken we bijvoorbeeld aan gmail/facebook die gebruik kunnen maken van HTTPS.

Data loss niet altijd intentioneel

Ter afronding nog het volgende: de meeste bedrijven vertrouwen hun werknemers en willen DLP gebruiken om vooral “unintentional data loss” tegen te gaan. Ze willen voorkomen dat gevoelige data per ongeluk het bedrijf verlaat en dat de gebruikers de kans hebben om hun fout nog tijdig recht te zetten.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Checkpoint Systems Benelux (Zaventem). Meer info: +32 (2) 416 27 80 of www.checkpoint.com).