Bij het Ministerie van Defensie heeft men afgelopen vrijdag aangifte gedaan van de vermissing van een memorystick. Op het geheugenschijfje stond vertrouwelijke informatie van de Militaire Inlichtingen- en Veiligheidsdienst MIVD. De woordvoerder meldde dat het onduidelijk is of er sprake is van vermissing of van diefstal. Het is verder onduidelijk of de informatie op de stick versleuteld is.
“Met de aangifte van de 'verloren' USB-stick brengt Defensie in ieder geval de kwetsbaarheid van informatie voor het voetlicht,” laat Reinier van der Drift, directeur van Bio XS weten. “Gebruikers gaan over het algemeen erg lichtzinnig met (bedrijfs)informatie om. Wanneer je als organisatie geen afdoende beveiligingsmaatregelen neemt om je verlies te beperken, dan loop je grote risico’s."
"Een moderne USB stick heeft op zijn minst biometrische toegang en gebruikt AES 256Bit encryptie. De gebruiksvriendelijkheid en de beveiliging van deze sticks is hoog. Het is natuurlijk wel duurder, maar goed wat zijn bedrijfsgeheimen waard?”, vraagt Van der Drift.
Het komt regelmatig voor dat overheidsfunctionarissen laptops, geheugensticks en andere informatiedragers kwijtraken. Vroeger was het mogelijke excuus om geen encryptie te gebruiken dat het de gebruikssnelheid ernstig aantastte. De huidige technologie is dermate snel dat dit inmiddels een drogreden genoemd mag worden.
Los van het feit of encryptie nodig is, is het natuurlijk de vraag of dergelijke vertrouwelijke of geheime informatie zomaar mee het pand uit mag.
Systeembeheerders wordt op het hart gedrukt dat ze met vertrouwelijke informatie zeer zorgvuldig om moeten gaan, en terecht.
Zij hebben een geheimhoudingsplicht en wat al niet meer.
Hoe wil je de data beschermen als de eerste de beste deze data zo mee kan (mag) nemen.
En de smoes dat er thuis nog doorgewerkt moet worden gaat allang niet meer op sinds we gemakkelijk via een beveiligde verbinding vanaf de thuiswerkplek kunnen werken, en de data dus kunnen laten waar hij thuishoort.
Ik vind dit een zeer erbarmelijke zaak. Wat beweegt zo een malloot met dergelijke informatie op zak te lopen? Mijns inziens gewoon op staande voet ontslag met een zeer zware boete er bovenop.
Dit is niet meer normaal, en gebeurt de laatste tijd veel te veel. Moest dit vroeger bij mijn baas uithalen. Hoefde ik niet weer te komen,en zou ook nergens anders meer aan het werk gekomen zijn.
Maar ja, dit soort kopstukken wordt toch de hand boven het hoofd gehouden.
Denk dat er met mij veel mensen hetzelfde zullen denken.
Natuurlijk is het eenvoudig om te roepen om Biometrie en geheugensticks die beveiligd zijn. Maar dit is weer een duidelijke theoretische benadering. Het gaat om goed doorgevoerde informatiebeveiliging zodat als een medewerker een prive usb stick mee neemt, de informatie nog altijd goed beveiligd is. Of als een medewerker de informatie e-maild naar zijn prive adres de informatie ook is encrypt. Of als er anderzijds informatie wordt uitgewisseld met derden. De te gebruiken software is dan slechts een gedeeltelijke invulling van het geheel. Met betrekking tot de Encryptie software die dit dan ook nog kan realiseren zijn eigenlijk alleen maar WinMagic en SafeBoot. Waarbij SafeBoot nog niet goed kan samenwerken met Biometrie en WinMagic hiervoor wel een pasklare oplossing heeft.
Dit bewijst niet de noodzaak van encryptie (want die kenden we al) maar het onvermogen van de AIVD in de toepassing van encryptie.
Het kopiëren van en slepen met informatie is een geheel verouderd concept, dat door encryptie nog ingewikkelder en (fraude)gevoeliger wordt.
Het is veel simpeler alle data uniek en “in de bron” te houden. Dan kun je ook niets verliezen. De truc zit hem dan in een selectieve toegang tot data. Met natuurlijk state-of-the-art controle en beveiligde verbindingen.
En inderdaad is encryptie hiervoor een noodzaak (maar zo was het in bovenstaand artikel niet bedoeld).
Uiteraard kan gebruik gemaakt worden van USB sticks met encryptie.
Echter, ook “gewone” USB sticks zijn goed te beveiligen: de meest eenvoudige manier is het gebruik van het microsoft EFS: Via AD is sleutelbeheer centraal te regelen. (wel eerst de USB stick formatteren met NTFS ipv. FAT).
Daarnaast zijn er diverse anderem methoden: voor file encryptie zijn er diverse encryptie pakketten te koop. Ook de nieuwe PKZIP heeft AES encryptie (niet de oude encryptie gebruiken, is te breken).
Ook zijn er pakketten te koop op file system niveau, zoals bijvoorbeeld PGPdisk.
Een gratis oplossing is bijvoorbeeld het open source(!) pakket Truecrypt. Dit is naast Windows. ook verkrijgbaar voor Linux
Lambert
de mivd stick is versleuteld.
Bij geheime diensten weet je toch nooit precies hoe het zit en ze zullen je het zeker niet vertellen. Vertrouwelijk informatie van de BVD komt bij Peter R. de Vries terecht en het lijkt erop dat er in sommige gevallen bewust wordt gelekt om bepaalde zaken te beinvloeden. Het verhaal van deze memorystick vind ik uiterst merkwaardig. Ze zouden toch beter moeten weten…. wellicht staat er wel infomatie over de uitzending naar Afghanistan op die het kabinet niet ter inzage wil geven aan de kamerleden. Ach misschien lees ik wel teveel thrillers….