Het is bijna zover: op zijn laatst op 25 mei 2018 gaat de nieuwe EU-verordening voor algemene gegevensbescherming (AVG) in; niet-naleving van deze verordening levert aanzienlijke straffen op. Voor alle bedrijven, groot of klein, geldt daarom dat zij de veiligheidsregels moeten aanpassen of ontbrekende beveiligingsmechanismen moeten installeren. USB-sticks kunnen mogelijk voor datalekken zorgen, maar worden vaak vergeten. Dit kan zeer grote risico’s met zich meebrengen, wanneer de sticks niet aan de nodige veiligheidsnormen voldoen.
USB-sticks met gevoelige gegevens vormen risico voor bedrijven
Universele media voor de opslag en de overdracht van gegevens zorgen ervoor dat wij altijd en overal toegang hebben tot belangrijke informatie, kopieën kunnen maken of bestanden verder kunnen bewerken. Op die manier neemt de efficiëntie en de productiviteit toe. Deze grenzeloze flexibiliteit en mobiliteit brengen echter ook nadelen met zich mee.
Uit onderzoek van Kingston Technology blijkt dat bijna driekwart van de ondervraagde bedrijven wel eens USB-sticks is kwijtgeraakt – met daarop onder andere vertrouwelijke bedrijfsgegevens. En nog belangrijker: uit dit onderzoek blijkt ook dat 80 procent van de gebruikte opslagmedia niet over een op hardware gebaseerde versleuteling beschikt. Verlies van de kleine gegevensdragers kan daardoor enorme gevolgen hebben: zo kan het verlies van persoonsgegevens onder andere schadelijk zijn voor de klantrelatie en de reputatie van het bedrijf. Afhankelijk van wie deze informatie in handen krijgt, kunnen er nog meer gevolgen zijn.
Om dergelijke scenario’s te voorkomen, heeft de wetgever op basis van de Europese algemene verordening gegevensbescherming een reglement opgesteld dat bedrijven verplicht zorg te dragen voor de beveiliging en de bescherming van deze gevoelige informatie. Daarmee gelden de reglementen niet alleen voor bedrijven die binnen de EU zijn gevestigd, maar ook voor bedrijven die een zakenrelatie hebben met dergelijke ondernemingen en dus hun gegevens verwerken.
De zwakke plek van de USB-stick
Om het ultieme worstcase-scenario voor gegevens te voorkomen, moet worden geanalyseerd welke gegevensdragers gevoelige informatie bevatten. Een risico dat vaak wordt onderschat heeft betrekking op USB-sticks die overal in het bedrijf liggen en soms zelfs bij de medewerkers thuis. Vanaf 25 mei 2018 moet echter desgevraagd op elk moment kunnen worden aangetoond welke gegevens er op afzonderlijke sticks hebben gestaan en of deze al dan niet waren versleuteld.
Bovendien voorziet de AVG erin dat er in het kader van een vereiste risicoanalyse maatregelen worden genomen waarvan de kosten proportioneel zijn ten opzichte van de risicoanalyse. Deze evaluatie betreft de waarschijnlijkheid en de materiële en immateriële gevolgen van eventuele schade. Tegelijkertijd moeten de beveiligingsmechanismen ook voldoen aan de meest recente stand van zaken van de techniek.
Als het vragen betreft met betrekking tot de betekenis van de term ‘stand van zaken van de techniek’, kunnen er aanbevelingen van autoriteiten zoals het European Union Agency for Network and Information Security (ENISA) of de Autoriteit Persoonsgegevens bij worden betrokken.
De eerste stap moet een volledig overzicht zijn van alle opslaglocaties van persoonsgegevens – op deze manier behoudt u aan de ene kant het overzicht en krijgt u aan de andere kant inzicht in de locaties waar dringend aandacht aan besteed moet worden, of waar een gegevenslek de grootste gevolgen kan hebben.
Zo speelt u op veilig
Als concreet aanknopingspunt voor hoe u zich kunt wapenen tegen dreigende beveiligingsrisico’s en hoe u kunt handelen volgens de nieuwe reglementen, noemt de AVG anonimisering en versleuteling van persoonsgegevens. In het geval van anonimisering worden namen vervangen door willekeurige cijfercodes en wordt de sleutel opgeslagen in een mastertabel.
Toch biedt deze maatregel alleen nog geen afdoende beveiliging; de tabel moet bijvoorbeeld altijd en overal beschikbaar zijn en mag niet worden overschreven. Bovendien kunnen andere aanwijzingen in bepaalde gevallen leiden naar de identiteit van de desbetreffende personen. Een extra versleuteling van de gegevens is daarom absoluut noodzakelijk.
Een goed kwaliteitskenmerk voor versleuteling zijn vrijwillige fabrikantcertificeringen zoals FIPS 197 of 140-Level3, aldus Kingston Technology, de specialist op het gebied van opslagmedia. Als persoonsgegevens veilig versleuteld zijn (hierbij komt de AES-versleuteling van 256-bit overeen met de laatste stand van zaken van de techniek) kunnen de gegevens zelfs in het geval van diefstal of gegevensincidenten niet worden gebruikt. In dat geval vervalt de informatieplicht voor de desbetreffende personen, omdat er geen gevaar bestaat.
Versleutelde USB-sticks van Kingston minimaliseren het risico
Met de productseries DataTraveler0, DT4000G2, de USB Flash Drives en S1000 biedt Kingston Technology een uitgebreide reeks USB-sticks die voldoen aan de hoogste veiligheidseisen en waarmee u uw gegevens conform de AVG kunt opslaan. De opgeslagen informatie is hier voor honderd procent versleuteld. Bovendien beschermt een complexe wachtwoordbeveiliging met minimale vereisten u tegen onbevoegde toegang. Na tien ongeldige aanmeldpogingen zijn de gegevens niet meer toegankelijk.
De USB-sticks van Kingston zijn versleuteld volgens de actuele veiligheidsnorm AES-256 in de XTS-modus. Dankzij certificeringen op basis van FIPS 197 en FIPS 140-2 zijn uw gegevens ook in het geval van diefstal of verlies absoluut veilig. De modellen DataTraveler 4000G2, IronKey D300 en IronKey S1000 bieden bovendien fysieke bescherming tegen manipulatie.
Voor enkele van de USB-sticks in de Kingston-portfolio, zoals de DTVP3.0, DTVP3.0AV, DT4000G2 met Management en D300, is daarnaast een personaliseringsprogramma beschikbaar. Met behulp van dit programma kan bijvoorbeeld de integratie in een oplossing voor endpointbeheer worden gerealiseerd via de serienummers en product-ID’s en kan het aantal toegangspogingen worden vastgelegd.
Om adequate beheeroplossingen beschikbaar te kunnen maken en eenvoudiger te kunnen voldoen aan nalevingsvereisten, werkt Kingston Technology samen met DataLocker, een aanbieder van centrale beheeroplossingen. DataLocker stelt voor de versleutelde DataTraveler- en IronKey-USB-drives van Kingston de softwareprogramma’s SafeConsole en Enterprise Management System (EMS) ter beschikking. Met behulp van deze programma’s kunnen de USB-sticks heel eenvoudig en centraal binnen het bedrijf worden beheerd. Medewerkers beschikken hiermee onder andere over functies zoals het op afstand resetten van wachtwoorden of de automatische malwarescanner; systeembeheerders behouden de controle over alle USB-sticks binnen een bedrijf.
Titelafbeelding: Fotolia/bluebeat76 https://de.fotolia.com/id/101828268
