Hoe Microsoft je bedrijf en data wil beschermen van je werknemers

Microsoft is erop gebrand je data veilig te houden. Nu zogenaamde insider threats aan belang winnen, lanceert de softwarespecialist het nieuwe Information Protection en Governance. Die nieuwe functies vormen de hoekstenen van wat op termijn een uitgebreid databeschermingsaanbod van Microsoft moet worden.

Voor Windows 10 deed het gebruik van Microsoft en security in één zin menig techneut gniffelen. Vandaag heeft Microsoft zich ontpopt tot een securityspecialist met een uitgebreid aanbod gaande van eenvoudige endpointbescherming tot advanced threat protection (ATP), waarbij je hele omgeving aan de hand van AI en machine learning in het oog wordt gehouden. We constateerden eerder al dat het intussen perfect mogelijk is om niet verder te kijken dan Microsoft voor je IT-beveiligingsnoden.

Gevaar van werknemers

Microsoft wil nu een gelijkaardige push uitvoeren in het databeschermings- en governance-landschap. Dat vertelt Alym Rayani, Senior Director, Microsoft 365 Compliance, aan Techzine tijdens de Ignite-conferentie in Orlando. In eerste instantie kijkt Microsoft daarvoor naar interne bedreigingen. Anders gezegd: werknemers.

Microsoft wil een grote push uitvoeren in het databeschermings- en governance-landschap.

Insider threats worden steeds belangrijker. Onder dat type bedreiging kan je erg kwaadwillige acties zien die een organisatie kwetsbaar maken voor aanvallen van buitenaf, maar veelal gaat het om eenvoudigere problemen. Denk aan werknemers die intellectuele eigendom stelen voor eigen gebruik of omdat ze van plan zijn van werkgever te veranderen. “Dat is een veelvoorkomend probleem waar we ook bij Microsoft mee worstelden”, vertelt Rayani. Intern werd er gekeken naar technologie als oplossing.

Weet wat je hebt

Uiteindelijk zorgden die inspanningen voor de geboorte van Microsoft Information Protection en Governance, gecombineerd met Insider Risk Management. Information Protection begint met een analyse van je data. De dienst probeert in kaart te brengen welke gegevens je nu eigenlijk hebt, waar ze staan, hoe gevoelig ze zijn en in welke mate ze worden beschermd.

“Het is de bedoeling om zo via een dashboard een overzicht te bieden van de digitale assets van je bedrijf”, weet Rayani. De analyse helpt je bijvoorbeeld te ontdekken dat er ergens een gedeelde map op een server stof ligt te vergaren met daarin een berg persoonsgegevens die je onder de GDPR wel degelijk moet beschermen.

Je kan Microsoft via machine learning tonen welke documenten belangrijk zijn voor jouw bedrijf en daarom best goed beveiligd worden.

Sommige documenten bevatten duidelijk gevoelige informatie, andere zijn eigen aan je bedrijf. Rayani: “Je kan het systeem zelf aanleren welke data beveiligd moeten worden. Ongeveer 30 bestanden volstaan als samplegrootte om via machine learning duidelijk te maken om wat voor documenten het gaat.” Denk daarbij bijvoorbeeld aan contracten of pdf-bestanden met plannen die deel uitmaken van je intellectuele eigendom. Na dat korte leerproces zal Microsoft Information Protection dergelijke bestanden automatisch classificeren en beveiligen.

Policies

Vervolgens kan je aan de slag gaan met policies. Je kan bestanden beveiligen en versleutelen in verschillende trappen en die koppelen aan policies op maat van gebruikers. Zo zorg je voor geavanceerde toegangscontrole en wordt het onmogelijk om documenten zomaar buiten de organisatie te delen, aangezien je ingelogd moet zijn om ze te ontgrendelen.

Het systeem geeft je extra mogelijkheden gekoppeld aan omstandigheden. Iemand die wel rechten heeft op een gevoelig document, kan tijdelijk alsnog toegang verliezen wanneer hij of zij het wil openen vanuit een internetcafé in een obscure buitenwijk van Bratislava.

Gedragspatronen gekoppeld aan HR: een krachtig wapen

De databescherming zorgt voor een ingebouwde beschermingslaag, maar die volstaat niet als wapen tegen insiders met slechte bedoelingen. Daar komt het nieuwe Insider Risk Management het podium op. “Insider Risk Management maakt gebruik van metadata uit Office 365 en Graph om te definiëren wat ‘normaal’ gedrag is voor werknemers”, verduidelijkt Rayani. “Iemand die dagelijks enkele beveiligde documenten downloadt, doet dat hoogstwaarschijnlijk in het kader van zijn job. Wanneer diezelfde persoon plots 200 documenten op een middag van de server haalt, is dat reden om een alarm te laten afgaan.”

Insider Risk Management koppelt gedrag aan HR, zodat bijvoorbeeld bedrijfsspionage door een vertrekkende werknemer eenvoudiger wordt voorkomen.

Microsoft gaat nog verder dan dat. Het systeem integreert met software van derden, zoals de HR-oplossingen van Workday. Door gedrag te koppelen aan HR-data, wordt het plots erg moeilijk voor een werknemer om data te stelen. Tien beveiligde documenten binnenhalen is niet noodzakelijk malafide gedrag, maar als Insider Risk Management de download ziet en terwijl via HR-data constateert dat de werknemer in kwestie een dag voordien ontslag heeft gegeven, is zoiets wel reden tot onderzoek.

Privacy en anonimiteit

Rayani benadrukt dat het hele systeem is ontwikkeld met privacy in het achterhoofd. Zo worden initiële alarmen als gevolg van gedrag geanonimiseerd met een pseudoniem. De situatie wordt zo onderzocht door onder andere de manager, het juridische departement en HR. Pas wanneer duidelijk is dat er echt iets aan de hand is, wordt de situatie geëscaleerd en wordt er een werknemer aan gekoppeld. Dat heeft als bijkomend voordeel dat er geen persoonlijke vooroordelen kunnen spelen in de beoordeling van een case.

Houvast voor compliancy

Microsoft vult bovenstaand aanbod tot slot aan met een tool voor compliancy-analyse. Die kijkt naar alle mogelijke instellingen inzake databescherming die je kan in- of uitschakelen en zet ze tegenover het type data en relevante regelgeving, zoals GDPR. Een eenduidig dashboard toont je vervolgens een compliancy-score. “Die is niet absoluut. Er kunnen goede redenen zijn om een bepaalde instelling in of uit te schakelen”, beseft Rayani. “De tool geeft beheerders wel een overzicht van de huidige situatie en een houvast om het compliancy-beleid te tweaken.”

Compliance Score biedt een houvast om je bedrijf in orde te krijgen met de regels. De tool komt voor iedereen beschikbaar.

Bovendien worden wijzigingen bijgehouden door de tool. Dat is dan weer belangrijk wanneer er toch iets misloopt en persoonsgegevens bijvoorbeeld lekken. Aan de hand van het log kan je dan aantonen dat je wel degelijk inspanningen hebt geleverd om je data te beschermen. Regelgeving zoals de GDPR houdt rekening met inspanning, zonder resultaatsverbintenis. Wie kan aantonen dat het bedrijf moeite heeft gedaan om persoonsgegevens te beschermen en de organisatie compliant te maken, kan zo boetes ontlopen.

Beschikbaarheid en toekomstplannen

De nieuwe tools zullen beschikbaar komen onder Microsofts E5-licentie en onder de afzonderlijke E5 Compliance, Information Protection en Insider Risk-licentie. De compliancy-score komt vrij beschikbaar voor iedereen. Microsoft wil met de tools een belangrijke rol gaan spelen in de bescherming van je bedrijfsdata, die veel verder gaat dan het security-aanbod zoals dat vandaag bestaat.

“We plannen om verder te bouwen op de tools die we vandaag hebben om zo in de nabije toekomst een allesomvattend aanbod klaar te hebben, naar analogie met hoe ons security-luik is gegroeid’, besluit Rayani.