Voorkom het lekken van data via USB-sticks

Sommige beveiligingsexperts suggereren een radicale aanpak bij het beperken bij het risico's van USB-sticks. Zo adviseert Sean Greene, securityconsultant bij Evidence Solutions, zijn clienten om een speciale siliconenkit te gebruiken om USB-poorten dicht te maken zodat het gebruik van USB-apparatuur überhaupt niet langer mogelijk is. De enige manier waarop werknemers dan nog informatie kunnen verzenden is via e-mail. Volgens Greene is e-mailverkeer wel goed te monitoren. Naar verluidt is het dichtkitten van USB-poorten ook bij militaire organisaties een standaardpraktijk.

Toch hoef je als IT-manager niet zover te gaan. Daarnaast is het in sommige organisaties echt nodig om USB-sticks te gebruiken, bijvoorbeeld voor het overhevelen van PowerPoint-presentaties.

Een vaakgebruikte manier om toch datalekken te voorkomen is om de data te versleutelen. "Voor goedkope USB-sticks die niet hun eigen encryptiemechanisme hebben, is een goede softwaregebaseerde oplossing vaak prima. Daarmee voldoe je al aan een hoop geldende standaarden", zegt Gartner-analist John Girard. "Het beste advies dat ik kan geven is dat je sowieso nooit data naar onversleutelde media moet laten schrijven."

Deze vier organisaties zorgen elk op hun eigen manier voor een relatief veilig gebruik van USB-sticks.

City of Columbus: Gebruik van Intelligent ID-software om bestanden te categoriseren en daaraan on-the-fly een encryptielaag te koppelen.
De gemeente van Columbus (in Ohio, VS) neemt de beveiliging van externe media heel serieus. "Omdat een schijf of stick gemakkelijk verloren kan raken of gestolen kan worden, geven we veel aandacht aan preventie van diefstal van intellectueel eigendom en het verlies van gevoelige data, of dat nu met opzet of per ongeluk plaatsvindt", zegt gemeente-CIO Gary Cavin.

De gemeente gebruikt classificatiesoftware van de leverancier Intelligent ID dat verder gaat dan enkel het versleutelen van data bij het kopiëren van bestanden. De software kan namelijk geconfigureerd worden per gebruiker, afdeling of bestandstype, waardoor telkens een ander beveiligingsniveau gehanteerd wordt.

De software scant zelf naar data die beveiligd kan worden, zoals bijvoorbeeld BSN-nummers in een Word-bestand. Als een werknemer deze data uit wil lezen, heeft hij of zij een encryptiesleutel nodig.

Turkcell: Gebruik van een classificatiesysteem van Titus waarmee Office-documenten worden gemonitord en er een alarm wordt afgegeven wanneer deze bestanden naar een USB-stick worden gekopieerd.
Turkcell is met 30 miljoen abonnees een van de grootste mobiele providers van Turkije. Bij het bedrijf werken 2800 werknemers met meer dan 5000 computers op de verschillende kantoren van het bedrijf. Het bedrijf classificeert ieder bestand en voegt verplichte encryptie toe bij het kopiëren naar een USB-stick. Daaraan gekoppeld zit een alarmsysteem dat een melding geeft wanneer gevoelige data worden verplaatst.

Daarnaast gebruikt het bedrijf Titus Classification for Office om de beveiliging van Office-bestanden kracht bij te zetten. Ook wordt standaard een policy gehanteerd waarbij het kopiëren naar USB-sticks vanaf de pc geblokkeerd wordt. Wil een werknemer dit toch doen, dan moet zijn of haar manager daar toestemming voor geven, legt IT-manager Gurkan Paplia uit.

Beveiligingsadviseur Damon Petraglia van dienstleverancier Chartstone vindt het logisch dat werknemers die geen USB-sticks hoeven gebruiken daartoe ook niet in staat zijn. "De enige USB-poorten die open mogen zijn, horen beschikbaar te zijn voor werknemers voor wie het essentieel is voor hun businessfunctie."

CIGNA: Versleutelde data kopiëren mag, mits werknemers een reden opgeven waarom ze kopiëren.
Bij CIGNA, een van de grootste zorgverzekeraars in de Verenigde Staten, werken 20.000 medewerkers en geldt een beleid waarbij flexibel werken voorop staat. Werknemers mogen USB-sticks gebruiken, maar onder bepaalde voorwarden.

Het bedrijf gebruikt de software van Verdasys Digital Guardian om alle poorten van de pc te monitoren en dataverkeer te versleutelen. Wanneer data naar een USB-stick wordt gekopieerd, wordt de werknemer om een reden gevraagd waarom hij of zij de bestanden wil kopiëren. Deze redenen worden op legitimiteit onderzocht.

Deze aanpak zorgt ervoor dat werknemers in staat zijn om bestanden te verplaatsen, maar tegelijkertijd verantwoordelijkheid dragen en dus aangesproken kunnen worden op hun acties.

Universiteit van Alabama: Gebruik van DeviceLock om poorten te monitoren en data te versleutelen. Personeel en studenten mogen USB-sticks gebruiken, maar alle bestandsoverdrachten worden gelogd.
Waar veel organisaties vertrouwen op encryptie om datalekken vanaf USB-sticks te voorkomen, is dit niet de enige manier waarop je problemen kunt voorkomen. De Universiteit van Alabama doet daar nog een schepje bovenop.

Bij de meeste computers van de universiteit zijn de USB-poorten geblokkeerd via DeviceLock-software. Dit voorkomt ongeautoriseerde dataoverdracht. Wanneer medewerkers toch bestanden moeten overzetten, kunnen ze een IronKey-stick aanvragen waarop data altijd versleuteld worden opgeslagen. Van de versleutelde gegevens wordt op de achtergrond een schaduwkopie voor IT gemaakt. Gebruik van eigen USB-sticks is uit den boze op de universiteit.

De conclusie is dat je op vele manieren het gebruik van USB-sticks binnen je organisatie kunt beveiligen of beperken. Zo kun je toestaan dat alleen door het bedrijf verstrekte sticks gebruikt worden, dat gebruikers gevraagd wordt om een reden bij het kopiëren van bestanden, dat alleen Office-bestanden mogen worden gekopieerd en dat bestanden vooraf worden geclassificeerd op risico.

Toch mag je niet vergeten dat de realiteit is dat medewerkers - wanneer ze de bestanden echt uit de bedrijfsmuren willen krijgen - toch wel een manier vinden om dat te doen. Al is het maar door een screenshot of een foto met een smartphone van de data te maken.

Welke manier hanteer jij binnen je organisatie om het lekken van gevoelige data via USB-sticks te voorkomen? Welke tips kun je collega IT-managers meegeven? We zijn benieuwd naar jouw ervaringen.