USB-sticks en GDPR: waarop moet je letten?

De hype rond GDPR is gaan liggen, maar dat betekent niet dat je het compleet mag negeren. Een belangrijk element dat dikwijls over het hoofd wordt gezien, is het gebruik van USB-sticks binnen het bedrijf.  

GDPR is gekomen en gegaan op 25 mei 2018, maar nu komt de gevaarlijke periode waar iedereen begint te relaxen omdat het toch allemaal niet zo erg lijkt. Het klopt dat het aantal extreme boetes amper wordt uit gesproken, maar dat komt eerder omdat er dikwijls waarschuwingen worden uitgeschreven. Eens die worden herhaald, kom je wel voor een probleem te staan.

We hebben al veel over GDPR geschreven, maar USB-sticks zijn een onschuldig element waar nog niet genoeg aandacht aan werd geschonken.

Data-encryptie

GDPR start bij elke bedrijf met een lijst waarop alle apparaten staan vermeld die in contact komen met persoonlijke gegevens. Computers, servers en cloudopslag zijn logische onderdelen, maar ook USB-sticks moeten worden vermeld. Er moet een duidelijke security policy zijn welke garandeert dat er data-encryptie wordt gebruikt op alle apparaten. Snel een USB-stick in je pc prikken die bomvol gevoelige informatie staat is niet het beste idee.


Lees dit: GDPR: 5 lessen uit de praktijk


De GDPR-regel rond encryptie is duidelijk: “Pas degelijke technische en organisatorische handelingen toe om een niveau van veiligheid te hanteren naargelang het risico, inclusief encryptie van persoonlijke data.” Hiermee moeten bedrijven ineens alle USB-sticks opnieuw evalueren. Het gaat niet enkel om sticks die buiten de bedrijfsmuren worden gebruikt.

“Wie een USB-stick laat rondslingeren, kan er namelijk voor zorgen dat data buiten de bedrijfsmuren geraakt,” zegt Sibyl Jacob, Business Development Manager Kingston Belux. Uiteraard is het belangrijk om te weten wat je op dergelijke USB-sticks zet. De kans is klein dat er persoonsgegevens op staan, maar het kan er wel voor zorgen dat iemand malafide software erop kan installeren die daarna binnen de bedrijfsmuren verder kan uitrollen en een datalek kan veroorzaken.

GDPR-kosten

Het is ondertussen ongetwijfeld al genoeg gezegd, maar een datalek of andere schending van de GDPR-wetgeving kan resulteren in een straf tot 20 miljoen euro of 4 procent van de jaarlijkse omzet. Afhankelijk welk bedrag het grootst is, geldt als boete. Bedrijven die bij een inspectie niet in orde zijn met GDPR-regels of een datalek ‘vergeten’ te melden, kunnen met een boete tot 2 procent van hun jaarlijkse omzet worden gestraft.

 

Veilige USB-sticks kunnen op twee manieren worden uitgerold binnen een bedrijf: managed vanaf een centraal platform of individueel.

 

Veilige USB-sticks kunnen op twee manieren worden uitgerold binnen een bedrijf: managed vanaf een centraal platform of individueel. Veel hangt af wat de huidige werking binnen het bedrijf is. Indien er al een IT-policy bestaat waar USB-sticks niet door pc’s worden herkend, kan je gerust een paar individuele USB-sticks in huis halen die je met een wachtwoord beveiligd. Zorg wel voor sticks die minimaal 256-bit AES-encryptie ondersteunen.

De beste oplossing binnen een bedrijf is een centrale oplossing zoals bijvoorbeeld DataLocker. Hiermee kan je alle compatibele USB-sticks binnen het bedrijf beheren en veiligheidsregels instellen. “Denk daarbij aan wisselen tussen read-only en read-write, wissen vanop afstand of geografische restricties instellen. Je kan vanaf een centraal punt als IT-administrator al je geëncrypteerde endpoints monitoren en Active Directory integreren om gebruikers te traceren,” zegt Jacob.

DataLocker

Het allerbelangrijkste voor GDPR is dat alles traceerbaar is en audits onmiddellijk kunnen worden uitgevoerd. Denk daarbij aan het aantal connecties, geografische plaats, loginfouten, reset en dataverlies. DataLocker biedt een integratie met Splunk of Graylog aan.

Afhankelijk van het type USB-stick dat je aankoopt, kan je nieuwe sticks blokkeren tot ze een activatiecode hebben ingevuld die de IT-administrator moet voorzien. Met de Kingston DataTraveler Vault Privacy 3.0 konden we direct aan de slag, maar de Kingston Ironkey D300 Managed vereist de facto een activatiecode van de IT-admin.

 

Het is belangrijk om met geëncrypteerde USB-sticks te werken en om een duidelijke IT-policy te hanteren.

 

USB-sticks kunnen een serieus lek veroorzaken voor bedrijven. Het is belangrijk om met geëncrypteerde versies te werken en om een duidelijke IT-policy te hanteren wat betreft USB-sticks. Een centraal management platform geniet de voorkeur voor wie veel sticks binnen zijn bedrijf actief heeft. Het verhoogt de veiligheid en maakt het mogelijk om eenvoudig rapporten op te stellen wanneer er toch iets fout zou gaan. GDPR is bij vele bedrijven een verre gedachte geworden na de crunch richting 25 mei 2018, hoog tijd om er toch tijdig aandacht aan te geven.