Operators zien de waarde van data-anonimisatie

Telecom operators beheren cruciale infrastructuur en beschikken over veel ‘gevoelige’ data. Gevoelige data bevatten niet alleen gegevens over personen en huishoudens, ook informatie over cruciale telecommunicatie-infrastructuren. Operators zijn zich bewust van hun maatschappelijke verantwoordelijkheid en de noodzaak gegevens in hun bezit te beschermen. Toch moeten ook mensen die werken aan IT- en netwerksystemen, zoals software developers en testers, hun werk kunnen doen. En daarvoor moeten die data zo ‘echt’ mogelijk zijn. Data-anonimisatie tooling kan hiervoor een betrouwbare oplossing zijn.

Geopolitieke ontwikkelingen, economische onzekerheid en groeiende cybercriminaliteit zorgen ervoor dat ondernemingen zich meer dan ooit bewust zijn van de risico’s die ze lopen. Voor telecom operators speelt dat bewustzijn in grote mate. Ze maken onderdeel uit van de kritieke infrastructuur van landen. En ze beschikken over veel gevoelige data. Dat zorgt ervoor dat ze een interessant doelwit zijn voor criminelen en kwetsbaar voor aanvallen en eventueel dataverlies.

Reputatieschade

Dat laatste aspect mag niet onderschat worden. De invoering van RVIT-wetgeving en de AVG-wetgeving heeft de noodzaak van cybersecurity en het beschermen van privacygevoelige data alleen maar vergroot. Naast de directe effecten van dataverlies, zoals forse boetes, weten operators ook dat een datalek niet alleen financiële gevolgen heeft, maar ook gepaard gaat met reputatieschade. Een hack bij T-mobile is er een voorbeeld van. Kortom: hoewel het belang van het gebruik van data dagelijks toeneemt, groeit ook de noodzaak om gevoelige gegevens te beschermen tegen ongeoorloofde toegang.

Test- en ontwikkelomgevingen vormen een onderbelicht onderdeel bij veel organisaties. Niet alleen willen testers en ontwikkelaars liefst met echte data werken, maar in de ontwikkelomgevingen worden gegevens vaak ook door meerdere mensen en externe partijen gebruikt. Daarnaast is het lastig een test- of ontwikkelomgeving werkelijk totaal te isoleren van de rest van IT-systemen. Hierdoor kan toegang voor onbevoegden onbedoeld tot stand komen.

Achterdeur vormt risico

In de praktijk zie ik dat gevoelige data zoals persoonsdata doorgaans heel goed beschermd worden in de productie-omgeving van ondernemingen. Men heeft de security op orde, controleert op toegang, verzorgt alle noodzakelijke software-updates en past netwerkzonering toe.

Maar aan de andere kant zie ik vaak, dat developers en testers wel bij al die data kunnen in de systemen waar zij mee werken. Een kopie van de productiedatabase staat immers vaak bij een test- of development-omgeving. Via die ‘achterdeur’, kunnen partners, subcontractors en externen toegang krijgen tot die gevoelige informatie. Niet-productie omgevingen vormen een mogelijke ingang voor hackers, voor state-agressors, voor bedrijfsspionage en voor criminelen die de operator, of zelfs de klanten willen chanteren in de vorm van ransomware.

Dummy-data

Toch moeten de testers en developers wel hun werk kunnen doen. En dat gaat niet zónder data. Je kunt dan verschillende dingen doen om gevoelige gegevens beter af te schermen. Eén optie is kiezen voor de aanmaak van ‘dummy-data’. Dat zijn volledig verzonnen gegevens. Er zijn applicaties en diensten op de markt die al die ‘fake’ gegevens genereren: bijvoorbeeld randomized IP-adressen en niet-bestaande personen met fictieve rekeningnummers.

Het probleem van deze sample data is, dat er niet helemaal op dezelfde manier mee te werken is als met ‘echte’ data. Er gaat een bepaalde nuance verloren die nu juist voor testers en developers essentieel is. In productiesystemen worden bijvoorbeeld vaak database velden, zoals een ‘commentaar’ tekstveld gebruikt om allerlei notities te maken, eventueel met gevoelige informatie. Dummy data zal dit soort gevallen niet repliceren.

Anonimisatie van data

Een andere methode is data-anonimisatie. Daarmee kom je het dichtst bij echte data. Sterker nog: men gebruikt echte data, maar de data worden dusdanig aangepast dat het niet meer te herleiden is naar de originele informatie. Vergelijk het met foto’s waarop iemand onherkenbaar moet zijn. De benen en armen zijn herkenbaar, maar het gezicht niet. Of bepaalde opvallende kenmerken (bijvoorbeeld een tattoo, of een uitgesproken bril) worden ‘wazig’ gemaakt, zodat herkenning onmogelijk is.

Voor data-anonimisatie bestaan diverse technieken, zoals het shufflen van de data, waarbij de afzonderlijke waarden uit één of meer kolommen en willekeurig herschikt worden. Bijvoorbeeld door het IP-adres van een klant te wisselen met zijn of haar fysieke adres. Hierdoor blijven de data gelijk, maar zijn ze niet meer te herleiden tot de locatie die gekoppeld is aan het IP-adres van de klant. Een ander voorbeeld, dat we veelal gebruiken bij persoonsgegevens, is pseudonimisering. Hierbij worden identificeerbare data vervangen door vergelijkbare data zonder afwijkingen in vorm. Denk daarbij aan het vervangen van de naam ‘Jan Smit’ door ‘Hans Bakker’.

Gevoelige data verwijderen

Een voorbeeld dat ik wil aanhalen betreft een opdracht voor een van onze klanten. Vanuit een toenemende ‘security awareness’ binnen de gehele organisatie werd bij die operator ook gekeken naar de kwetsbaarheid van data in hun netwerk inventory systemen. De developers werken dagelijks met gevoelige data, zoals informatie over netwerk assets, topologie, configuraties, locaties en adressen, (bedrijfs-)namen en financiële informatie. De operator had nog geen incidenten meegemaakt, maar wilde op voorhand voorkomen dat data in verkeerde handen zouden komen.

Wij hebben vanuit CGI hierin geadviseerd en gekeken wat de opties waren. Hoe gegevens maximaal te beschermen zouden zijn, zonder dat de implementatie het effectief werken in de weg zou staan. Daarbij moest de dataset wel zo realistisch mogelijk zijn voor developers en testers. Data-anonimisering bleek de meest betrouwbare en efficiënte methode. We hebben hiervoor een proces en tooling geïmplementeerd, waarbij bedrijfsgevoelige informatie en persoonlijk identificeerbare informatie (PII) uit data worden verwijderd of verborgen, zodat die niet kunnen worden teruggekoppeld naar een individu of entiteit. En er geen misbruik van gemaakt kan worden.

Data bruikbaar voor externe partijen

Natuurlijk is het gebruik van echte live data altijd net een fractie beter, maar de risico’s zijn doorgaans te groot. Anonimisering is dan een goed alternatief. Het belangrijkste voordeel van anonimisering is, dat het gevoelige gegevens beschermt tegen ongeoorloofde toegang. Door bepaalde data te veranderen of te verbergen, wordt het risico op datalekken en privacy schendingen fors verkleind. Hiermee kan de operator voldoen aan de wetgeving en neemt de kans op reputatieschade als gevolg van datalekken af.

De juiste focus

De afgelopen decennia komen datalekken bij telecom-operators steeds vaker voor. In dat geval belanden klantgegevens op straat en deze incidenten worden uitgebreid gemeld in de media. Dit heeft negatieve gevolgen voor reputatie van de operator. Een van de achterdeuren die hackers gebruiken om bij gevoelige data te komen zijn de test- en development omgevingen die vaak minder goed beschermd zijn.

Werken met geanonimiseerde gegevens biedt bedrijven en externe partners de mogelijkheid om zonder risico’s te ontwikkelen en testen met gevoelige data. Wel moet goed geanalyseerd worden of de meest persoonlijke informatie echt geanonimiseerd is. Het mag niet mogelijk zijn om vanuit de anonieme data toch aanknopingspunten te vinden om ‘terug te redeneren’ naar de bron. Juist daarom is externe expertise vaak nodig.

Daarnaast is het implementeren van data-anonimisatie een complex proces. Het is ook niet altijd nodig en het is niet nodig bij alle data en alle systemen. Het is aan te raden om eerst, samen met experts, te kijken naar de data en goed bepalen welke data of combinaties van data een daadwerkelijke risico vormen en daar de focus op te leggen. Zo creëer je een werkbare én veilige situatie voor iedereen.

Deze blog is ook gepubliceerd op Telecompaper.