BSN nummers detecteren met Data Loss Prevention

Loading Likes...

Met de komst van de AVG wet is het belangrijk om te weten waar privacy gevoelige informatie opgeslagen staat en wat daar mee gebeurd. Je wilt voorkomen dat dit soort documenten gedeeld worden met onbevoegde personen. Met de functie Data Loss Prevention (DLP) van Microsoft is het mogelijk deze bestanden op te sporen en te beveiligen tegen het delen met andere personen binnen of buiten de organisatie.


Verwachtte leestijd: 5 minuten

Scenario

Binnen de organisatie is het niet toegestaan documenten met BSN nummers op te slaan op SharePoint of OneDrive. Personen moeten deze documenten in een apart CRM systeem opslaan, omdat deze extra beveiligd is. Voor de IT-beheerder is het lastig te bewaken of personen zich hier aan houden. Toch wil je voorkomen dat het per ongeluk of onbewust wel gebeurd en dat het bestand of de e-mail gedeeld word buiten de organisatie. Middels DLP is het mogelijk documenten en e-mails met een BSN nummer op te sporen en te blokkeren voor personen buiten de organisatie.

Technische implementatie

Vereisten:

  • Office365 E3 of E5 licentie

Een beleid aanmaken

  1. We starten met het inloggen op de portal van Office365 als een beheerder (https://portal.office.com);
  2. Nadat we ingelogd zijn klikken op de tegel Security & Compliance;
  3. Er zal een nieuw tabblad geopend worden, we worden doorgezet naar het security portaal van Office365. (https://protection.office.com);
  4. Klik in het linker menu op Data Loss Prevention en vervolgens op Policy;
  5. Hier staan de policys weergegeven die actief zijn in deze Tenant. Omdat er waarschijnlijk nog geen policys staan gaan we een nieuwe aanmaken;
  6. Klik op Create a Policy;
  7. We komen nu in een wizard uit die we stap voor stap gaan doornemen:
    1. Als eerst starten we met het selecteren van een bestaande template. Er zijn verschillende standaard templates beschikbaar. Helaas missen we een template voor het detecteren van Nederlandse BSN nummers, dus we kiezen voor Custom Policy;
    2. We geven de policy een herkenbare naam en beschrijving;
    3. In het volgende scherm kunnen we selecteren waar de policy op moet scannen. Standaard staat dit op alle locaties, maar je kan bijvoorbeeld opgeven dat alleen bepaalde SharePoint Sites gescand hoeft te worden. Voor het gemak kiezen we nu voor alle locaties;
    4. In het volgende scherm geven we de zoekcriteria op. Omdat het BSN nummer wel beschikbaar is als criterium kiezen we niet voor advanced settings, maar voor Find Content That Contains:. Klik hier op Edit:
      1. Selecteer bij Add voor Sensitive Info Types en klik hierna op Add;
      2. Gebruik de zoekfunctie om te zoeken naar BSN en voeg deze toe.
    5. We hebben nu opgegeven dat: Als er een bestand gevonden wordt dat overeenkomt met het criteria BSN nummer dan …;
    6. Je kan met de percentages opgeven hoe accuraat het BSN nummer moet zijn. Je vindt verder in dit bericht waar het BSN nummer aan moet voldoen om gevonden te worden en wat de percentages betekenen;
    7. We slaan deze op en gaan naar de volgende stap;
    8. In de volgende stap krijgen we een aantal opties te zien:
      1. De gebruiker kan een TIP boven in beeld krijgen op het moment dat er een BSN nummer gedetecteerd is. Hiermee kan je de gebruiker waarschuwen of op de hoogte brengen;
      2. We kunnen een melding sturen op het moment dat een BSN nummer een aantal keer gevonden is. Ik wil al een melding hebben als er 1 BSN nummer gevonden is, dus deze zet ik op 1;
      3. We kunnen rapporten instellen via E-mail;
      4. We kunnen bepalen of de rechten van het document aangepast moeten worden op het moment dat er iets gedetecteerd is. We willen dat er niemand van buiten de organisatie meer bij het bestand kan, dus dit schakelen we in;
      5. We willen niet dat de gebruiker dit kan overrulen, dus deze optie schakelen we uit;
      6. We gaan door naar het volgende scherm.
    9. We kunnen nu kiezen of we het beleid direct willen inschakelen, of dat we het eerst uit willen testen. We kiezen er nu voor om het direct in te schakelen;
    10. In het laatste scherm kunnen we alle instellingen nog een keer doorlopen. We maken de policy nu aan.

Een gedetecteerd bestand

SharePoint:

Op het moment dat er een bestand gevonden is waar een BSN nummer in voorkomt zal er een uitroepteken verschijnen bij het bestand.

In de eigenschappen van het bestand komt de volgende melding te staan:

Office Applicatie:

Het bestand kan nu niet meer gedeeld worden met personen buiten de organisatie.

Een gedetecteerde e-mail

Op het moment dat er een e-mail gevonden is waar een BSN nummer in voorkomt zal er direct een popup verschijnen met de waarschuwing dat de e-mail gevoelige informatie bevat.

Als de e-mail toch verstuurd wordt zal de e-mail tegen gehouden worden en krijgt de persoon die hem probeert te versturen de e-mail terug in zijn postvak. Dat ziet er als volgt uit:

Zelf uit testen

Op het moment dat de policy actief is kan je dit zelf uittesten. In het document moet minimaal het volgende staan:

  • BSN nummer
  • Geboortedatum
  • De tekst: BSN of Sofinummer enz.

De eisen staan onder aan de blog in de tabel verder toegelicht.

Omdat het BSN nummer uit een algoritme bestaat kan je niet zomaar 1234567 gebruiken. Wij adviseren ook niet je eigen BSN nummer te gebruiken om te testen. Via http://www.testnummers.nl/ kan je een test BSN nummer opvragen.

Cloud App Security

Met Cloud App Security is het mogelijk meer acties uit te voeren nadat er een bestand gedetecteerd is. Ik zal hier in een volgende blog meer over vertellen. Voor Cloud App Security is een EM+S E5 licentie vereist.

Hoe maak je een aangepaste Sensitive Information label aan.

https://support.office.com/en-us/article/create-a-custom-sensitive-information-type-82c382a5-b6db-44fd-995d-b333b3c7fc30

Netherlands Citizen’s Service (BSN) Number

Format8-9 digits containing optional spaces
Pattern8-9 digits:

Three digits
A space (optional)
Three digits
A space (optional)
2-3 digits
ChecksumYES
DefinitionA DLP policy is 85% confident that it's detected this type of sensitive information if, within a proximity of 300 characters:

The function Func_netherlands_bsn finds content that matches the pattern.
A keyword from Keyword_netherlands_bsn is found.
The function Func_eu_date finds a date in the right date format.
The checksum passes.

A DLP policy is 65% confident that it's detected this type of sensitive information if, within a proximity of 300 characters:

The function Func_netherlands_bsn finds content that matches the pattern.
The checksum passes.


KeywordsCitizen service number
BSN
Burgerservicenummer
Sofinummer
Persoonsgebonden nummer
Persoonsnummer

One Reply to “BSN nummers detecteren met Data Loss Prevention”

Leave a Reply

Your email address will not be published. Required fields are marked *