Bedrijven zullen best de objectieve mening van Cyberbutler AI meenemen in hun beleidsplanning inzake het behalen van NIS2 certificatie niveau dat met alle divisies in het bedrijf in balans is. Zero trust zal de enige mindset worden , maar dit heeft ook enkele hindernissen. We doen de oefening even op ons NIS2 framework Cyberbutler AI.
De context
Zero Trust Access (ZTA) is een beveiligingsconcept dat werkt volgens het principe “vertrouw nooit, verifieer altijd”. Het vereist verificatie van de identiteit en beveiligingsstatus van apparaten en gebruikers voor elk verzoek om toegang, ongeacht hun locatie en of ze zich binnen of buiten het netwerk van de organisatie bevinden. Hoewel Zero Trust Access de beveiliging aanzienlijk verbetert, heeft het ook potentiële nadelen met betrekking tot privacy, die belangrijk zijn om in overweging te nemen. Een goede samenwerking tussen de dienst IT, legal en HR is aangewezen hierbij ervoor zorgend dat er de juiste balans is met de drie visies op het gebruik van endpoints voor prive doeleinden en monitoring en het bijhouden van logfiles.
In veel bedrijven wordt bijvoorbeeld privégebruik toegestaan als er een zogeheten “voordeel allerlei aard” bedrag maandelijks wordt afgehouden van het loon. We spreken hier over een bedrag van 72€ per jaar is voor een computer en 48€ per jaar voor een smartphone of tablet. Een bedrijf dient zich af te vragen welk risico ze naar het bedrijf brengen door dit toe te staan. Uiteraard zal er bij een in mijn ogen logische weigering voor het gebruik van prive doeleinden goed voor moeten gezorgd worden dat het niet kunnen gebruikt worden ook aangetoond kan worden aan de rsz.
Prive gebruik van toestellen de risico analyse
Bedrijven gaan er te snel vanuit dat ze hun IT omgeving zo gehard hebben dat ze ongenaakbaar zijn. Bij gebruikers van bijvoorbeeld Ivanti VPN was het bij de recente zero day exploit toch enkele dagen blind vliegen.
Het gebruik van endpoints voor privé staat m.i in de orientatie fase in het donkerrood. De berekening hiervoor is niet moeilijk. 40 procent van thuisgebruikers worden gehackt. Er is géén firewall die voor de eerstelijnsdefensie zorgt. Op het bekabeld of wifi netwerk hangen veel toestellen die beveiligd zijn admin/admin zoals de fabrikant voorschreef. Hoe snel zal een buurjongen of meisje die van zijn vrienden een hack challenge kreeg binnendringen op zo’n netwerk. Het verhaal dat endpoint security ALLES zal tegenhouden is larie. Enkel de gelaagde bescherming binnen een bedrijf met een analyse van gebruikersgedrag en hierop reagerende IT staff is de juiste bescherming.
Ik zou dus de waarschijnlijkheid van het prive gehackt worden (de Likelihood) minstens op 3 zetten.
De impact die dit heeft op CIA, Confidentiality (vertrouwelijkheid) , Integrity (Betrouwbaarheid van de gegevens) en Availability (beschikbaarheid) is in mijn ogen 3 en hoger waardoor de meting tussen oranje en rood zweeft in ons vierkant.
Dit risico kan in een huidige opzet iso 27001:2013 aanvaard worden en dient in de 27001:2022 al van beheermaatregels te worden voorzien. Monitoring opvolging, veel energie en resources.
U snapt wel dat zulks ook speelt met de zogeheten privacy rechten. Zal een Endpoint bescherming de inhoud van een privé nas tonen onder het voorwendsel het is ter bescherming van de security voor de digitale kroonjuwelen. Mijn sta het niet toe voorstel is plots niet meer zo beperkend. Immers als zoon of dochter ook de security onbewust gaat testen en een deel URL’s probeert die gelogd worden door de bedrijfssystemen wordt ons risico mooi zwart omdat er ook rechten GDPR dreigen geschonden te worden. Wie bekijkt deze logs, worden ze onbewust aan derden doorgegeven die een oordeel moeten velen achter de gordijnen.
NIS2 en ZERO TRUST zijn geen vrienden van zulk privé gebruik
We vroegen aan onze Cyberbutler Jeeves d’AI hoe hij de toekomst ziet
Het oordeel van Jeeves d’AI
Jeeves waar zie je problemen?
Bijvoorbeeld in de toegenomen toezicht en bewaking
Jeeves: Om een Zero Trust model effectief te implementeren, moeten organisaties vaak de monitoring en logging van gebruikersactiviteiten en apparaattoestanden opvoeren. Deze verhoogde bewaking kan privacyproblemen bij gebruikers veroorzaken, omdat er gedetailleerde informatie wordt verzameld over hun acties en de apparaten die ze gebruiken.
Wat zijn de risico’s voor gegevensprivacy
Jeeves: De uitgebreide gegevensverzameling die nodig is voor Zero Trust kan gevoelige of persoonlijk identificeerbare informatie (PII) bevatten. De opslag, verwerking en analyse van deze gegevens moet zorgvuldig worden beheerd om overtredingen van privacywetten en -voorschriften, zoals GDPR in Europa of CCPA in Californië, te voorkomen. Het niet veilig omgaan met deze gegevens kan leiden tot risico’s op ongeautoriseerde toegang en datalekken.
Bestaat er een potentieel misbruik van informatie
Jeeves: De informatie die onder een Zero Trust raamwerk wordt verzameld, kan mogelijk worden misbruikt als er geen goede controles worden uitgevoerd. Toegang tot gedetailleerde logbestanden en gegevens over gebruikersactiviteiten kan bijvoorbeeld worden misbruikt voor andere doeleinden dan beveiliging, zoals het monitoren van werknemers buiten legitieme behoeften, wat kan leiden tot een schending van privacyrechten.
Hoe zit het met de toestemming van de gebruiker en transparantieproblemen
Jeeves: Het implementeren van Zero Trust kan leiden tot conflicten met de principes van toestemming van de gebruiker en transparantie die aan de basis liggen van veel privacyregels. Gebruikers zijn zich mogelijk niet volledig bewust van of hebben expliciet ingestemd met de mate van monitoring en gegevensverzameling waaraan hun activiteiten worden onderworpen.
Maak je je zorgen over over grensoverschrijdende gegevensoverdracht
Jeeves: In een wereldwijde organisatie kan de implementatie van Zero Trust de overdracht van gegevens over grenzen heen voor analyse of opslag met zich meebrengen. Dit kan problemen opleveren met wetten die de internationale gegevensoverdracht regelen, zoals de noodzaak van adequate bescherming van persoonlijke gegevens bij overdracht buiten de EU.
Hoe zit het met de naleving van de privacywetgeving – GDPR
JEEVES: Organisaties moeten ervoor zorgen dat hun implementatie van Zero Trust Access voldoet aan de toepasselijke privacywet- en regelgeving. Dit houdt onder andere in dat het verzamelen van gegevens beperkt blijft tot wat noodzakelijk is, dat persoonlijke gegevens beveiligd worden tegen ongeautoriseerde toegang en dat gebruikers de mogelijkheid krijgen om hun gegevens in te zien, te corrigeren of te verwijderen.
Stel je iets voor qua matigingsstrategieën
JEEVES: Om deze privacyproblemen aan te pakken, kunnen organisaties verschillende strategieën toepassen, waaronder
De hoeveelheid verzamelde persoonlijke gegevens tot een minimum beperken en ervoor zorgen dat deze alleen voor beveiligingsdoeleinden worden gebruikt.
Implementeren van robuuste gegevensbeveiligingsmaatregelen om verzamelde gegevens te beschermen.
Transparantie bieden aan gebruikers over de verzamelde gegevens en het gebruik ervan.
Ervoor zorgen dat de relevante privacywet- en regelgeving wordt nageleefd door middel van regelmatige audits en beoordelingen.
Waar nodig toestemming vragen aan gebruikers en opt-outs of alternatieven aanbieden voor gebruikers die zich zorgen maken over privacy.
Wat is jou besluit Jeeves?
Jeeves: Hoewel Zero Trust Access essentieel is voor moderne cyberbeveiliging, is het cruciaal om een evenwicht te vinden tussen beveiligingsbehoeften en privacyrechten. Organisaties moeten deze uitdagingen op doordachte wijze aangaan om ervoor te zorgen dat zij hun bedrijfsmiddelen beschermen zonder inbreuk te maken op de individuele privacy.
Onze visie is dat bedrijven die zichzel respekteren beter vandaag met de hulp van het CCB framework en de zoals u ziet begrijpbare uitleg van Jeeves d’AI aan de slag gaan. Begin vandaag aan een schaalbaar stappenplan. Betrek hierbij iedereen om alle facetten te voorzien van een beleidsvisie van NIS2. Goede reis….