Ik werd getipt door een vriend van mij: een webshop met gereedschappen tegen betaalbare prijzen. En het klopte. Een breed assortiment, voldoende keuze en inderdaad lagere kosten voor veel producten. Uiteindelijk een keuze uit al dat moois gemaakt en besteld. De volgende stappen waren bekend: vanuit de webshop een inlogaccount via e-mail. Een orderbevestiging, ook via de e-mail. Betaald via Ideal; daarna de factuur. Uiteraard via e-mail.
Direct werd de belofte van levering uit voorraad waargemaakt: een track & trace e-mail vanuit een wereldwijde pakketdienst. Wel bijzonder want deze e-mail had een zip bestand als bijlage waarin de gegevens zouden staan. Normaal wordt je argwanend maar in dit geval won mijn nieuwsgierigheid of misschien wel mijn gretigheid. Een ander argument is dat alles paste in de tijdslijn: bestellen, betalen en leveren.
Na het openen van het zip bestand kwam snel de teleurstelling: het bleek een verkeerd bestand. Mijn laptop voerde een spontane reboot uit en internettoegang werd tot één website beperkt. Tegen betaling was er software beschikbaar die het virus op je machine zou wegpoetsen. Ondertussen was er wel dataverkeer naar het internet dus er gebeurde een hoop onder water. Om een lang verhaal kort te maken: alles uitgezet en de volgende werkdag mijn laptop bij onze afdeling automatisering ingeleverd. Zij boden een resolute oplossing voor dit bekende probleem: herinstallatie.
Wij werken op een heldere manier: alles wat centraal is opgeslagen wordt meegenomen in een back-up. Alles wat lokaal wordt opgeslagen dus niet. Kortom: alle lokale data waren verloren. De belangrijkste data staan centraal maar heel veel data dus niet. Tussendocumenten, werk in uitvoering, resultaten uit metingen, bronbestanden et cetera. Veel van mijn werkzaamheden leveren heel veel gegevens op die wel in rapportages worden verwerkt maar niet in zijn totaliteit worden gebruikt.
Dus met het schaamrood op de kaken moet ik bekennen dat ik, werkzaam bij een bedrijf gespecialiseerd in databeveiliging, data kwijt ben. Door mijzelf, door een domme onzorgvuldige actie.
En toch, waar je altijd bang voor bent, blijkt reuze mee te vallen. De belangrijke informatie staat centaal en is geborgd. Al mijn data, persoonlijk geclassificeerd als erg handig om te bewaren, zijn verloren gegaan. Nu ben ik een aantal maanden verder en had verwacht dat ik veel zou missen. Dat blijkt dus niet het geval. Een aantal opdrachten herhaalt zich en daarvoor wordt eerdere rapportage gebruikt. Niet de deelinformatie. Alle details van eerdere onderzoeken worden niet gebruikt terwijl deze een veelvoud van de uiteindelijke rapportage zijn.
Interne documenten mis ik niet. Alle relevante informatie is op intranet en andere systemen terug te vinden. Het komt maar zelden voor dat ik op oude informatie wil terug grijpen. Ik weet dan wat ik nodig heb en kan het dus reproduceren. Mijn lokale dataverzameling zit dus niet op het kritische pad van onze organisatie. Immers, alle belangrijke data voor onze organisatie staan centraal en worden goed geborgd.
Ik kom eigenlijk tot een verrassende conclusie. Iets wat wij al langer adviseren bij organisaties: ruim op. Ik ben data kwijt en het schaadt mij en onze organisatie niet. Onze organisatie heeft hier geen schade van ondervonden met uitzondering van de tijd van het herinrichten van mijn laptop.
Wanneer ik dit doortrek naar een groter formaat, bewaren organisaties veel gegevens die misbaar zijn. Zeker in ongestructureerde fileomgevingen.Onze onderzoeken tonen aan dat fileomgevingen weinig hergebruik kennen. Oude data worden marginaal gebruikt. Maar wel alle dagen in de borging en het beheer meegenomen. Met alle bijbehorende kosten.
Dit terwijl je als organisatie weldegelijk grote hoeveelheden data kan en mag missen. Nu zijn er uiteraard wel dataonderdelen die van grootbelang zijn. Deze moet je identificeren en bewaken. Het andere deel kan weg. Dit scheelt in beheer en in kosten. Incidenteel ervaren organisaties wat het is om delen van data te missen. Zolang het geen cruciale data zijn, zijn de impact en het effect laag. Het nadeel van dataverlies door onvoorziene gebeurtenissen is dat je als organisatie geen grip hebt op wat verloren gaat en wat niet. Wanneer je van te voren bepaalt wat weg kan en wat niet, kun je daar op richten. Het beheer en de middelen nodig om cruciale data te beschermen, kunnen dan wat zwaarder zijn dan het beheer en de middelen voor de data die minder relevant zijn. Deze aanpak is beter dan een gemiddelde aanpak voor alle soorten data of de meest zware bescherming op alle soorten data toepassen.
Dus naast alle onderzoeken en adviezen kan ik nu uit eigen ervaring meegeven dat dataverlies geen bezwaar is, mits de belangrijkste data goed geborgd zijn. Op voorhand selecteren heeft dus zin!
En uiteraard bij de webshop bestel ik nog regelmatig. De e-mail met track & trace bijlage kwam niet van deze webshop vandaan en was puur toeval dat deze na de bestelling aankwam. Je wordt iedere keer wat wijzer. Ook door schade en schande.
Fijn voor de auteur dat het uiteindelijk allemaal met een sisser is afgelopen, maar ik mis nog een ander aspect van beveiliging in dit verhaal:
De auteur gebruikt (althans zo lees ik het, dus excuses als het niet zo is) zijn zakelijke laptop ook voor privé-doeleinden, in dit geval met alle vervelende gevolgen van dien.
Maar het had dus ook anders kunnen lopen. Stel, een groot deel van de bedrijfsgevoelige data stond wel op de laptop, en door het betreffende virus/script of wat dan ook werd alles gekopieerd naar kwaadwillenden….
Als gebruiker, maar ook als bedrijf, moet je misschien toch eens goed nadenken over scheiding van privé- en zakelijk gebruik
Hetzelfde overkomt velen op een andere manier:
Een crash van de harddisk. Dat is zelden erg, mits er van de belangrijke data maar een backup is. Recovery van een HD is wel mogelijk, maar ook vrij kostbaar. Zelfs privé backups online kan je tegenwoordig gemakkelijk volautomatisch maken; dropbox bijv.
Ik ben geïnteresseerd in de internet security toepassing van [de email provider van] JvY die dit ZIP bestand over het hoofd heeft gezien, en/of de reden daarvan. Ook is te hopen dat het virus daadwerkelijk niet naar de bedrijfsservers of backups is doorgewandeld. De IS oplossing kon hem immers niet zien…
Ik ben het met PaVaKe eens, dat dit heel wat kostbaarder had kunnen worden. Wie weet? JvY heeft nog niet opgehelderd gekregen wat er ‘onder water’ aan data vanuit zijn laptop verzonden is. Krijgen zijn e-mail contacten binnenkort ook ZIP bestanden vanuit een zombieserver toegestuurd?
Wat was de naam van dit ZIP virus eigenlijk? Welke ZIP applicatie is gebruikt? Welk OS (laat me raden)?
@PaVaKe, het scheiden van privé en zakelijk gebruik is niet meer te doen vandaag de dag. Doordat wij ook niet meer van 9.00 tot 17.00 uur werken, maar ook ’s avonds, weekenden en zelfs ’s nachts, is privé en zakelijk nauw verbonden. Dit uit zich natuurlijk ook in het gebruik van de hulpmiddelen als laptops, auto’s en smartphone’s. Werkgevers zouden zich dus bewust moeten zijn van deze manier van werken anno 2011. Jezelf hiertegen beschermen loont meer de moeite dan het proberen te scheiden van dit soort data en middelen.
@Peter Ambagtsheer, Dropbox is natuurlijk niet de secure oplossing waar een werkgever op zit te wachten. Uiteraard reuze handig voor de gebruiker, maar rampzalig voor de werkgever. Waar gaat de data heen? Welke Cloud gebruikt Dropbox. Regel als werkgever liever een goed platform voor je gebruikers met functionaliteiten als dropbox, webmail, fileshare etc, dan andere zaken te verbieden.
Gebruikers daarentegen dienen zich bewust te zijn dat zij met gevoelige data werken die van grote waarde zijn voor het bedrijf. Deze cultuur kun je alleen maar creëren als de werkgever hierin het goede voorbeeld laat zien. Helaas is de laptop van menig directielid volledig voorzien van gevoelige data, want ja………op het netwerk zouden er zo maar onbevoegde werknemers naar kunnen kijken……………
Die resolute oplossing van de afdeling automatisering is niet echt gebruiksvriendelijk te noemen. Wel goedkoop. Ik mag hopen dat ze, wanneer het om echt waardevolle gegevens gaat, ook een oplossing kunnen bieden waarbij die gegevens gered worden.
@Frans Walet: ben ik het niet met je eens. Privé en zakelijk scheiden is niet een kwestie van kunnen, maar vooral een kwestie van willen!
In sommige gevallen brengt het wat overhead met zich mee (bijv. 2 telefoons; 1 zakelijk, 1 privé), maar van de andere kant ook een stuk rust (de zakelijke telefoon laat je op de zaak als je op vakantie gaat).
Ook het PC gebruik kun je, zeker met de hedendaagse technieken, goed scheiden in privé en zakelijk. Op mijn werk heb ik een werkstation staan. Werk ik vanuit huis, dan kan ik inloggen in een citrix omgeving op het werk, vanwaar uit ik evt. weer kan inloggen op mijn eigen desktop. Werkt goed, en privé en zakelijk blijven netjes gescheiden.
Daarnaast ben ik van mening dat je de it-afdeling niet op kunt laten draaien voor hetgeen jij privé met die laptop wenst te doen. We hebben hier een collega gehad die allerlei privé dingen op zijn werk-laptop had geïnstalleerd, inclusief wat “zware” games. Na allerhande installaties en de-installaties deed de laptop zakelijk niet meer wat deze moest doen. De it-afdeling heeft uiteindelijk de hele laptop maar opnieuw geïnstalleerd, maar de persoon in kwestie heeft ook een stevige reprimande gekregen dat de laptop van de zaak niet bedoeld is om mee te gamen etc.
@Frans Walet: Ik dacht dat ik duidelijk genoeg had opgeschreven, dropbox voor (de meeste) privé bestanden als een mogelijke oplossing te zien. Niet voor zakelijke of vertrouwelijke bestanden dus. Ten overvloede: Ik ben het geheel met je eens.
Beste Pascal, Frans, Jos en Peter,
Dank voor de heldere reacties. Leuk om te lezen dat een bijdrage op de Computable reacties losmaakt.
In mijn opiniebijdrage laat ik een groot deel van onze informatiebeveiligingaanpak achter wegen. Dit is bewust gedaan omdat het een opiniebijdrage betreft in de topic storage.
De essentie van mijn bijdrage is dat in organisaties veel data bewaren. Deze data heeft geen verdere toegevoegde waarde. Ik gebruik een eigen ervaring om te duiden dat het verwijderen van data geen beperking hoeft te zijn. Begrijp mij goed: rücksichtslos weggooien van data is niet wat ik bedoel. Aangegeven is de heldere aanpak: wat belangrijk is, staat centraal. Dat is geborgd, dat gaat niet verloren.
Als je het opinietopic security en/of beleid zoekt zal je daar opiniebijdragen vinden die op beveiliging en het spanningsveld met het nieuwe werken zijn gericht.
Mijn persoonlijke ervaring heb ik verwerkt in relatie tot een regelmatig gegeven advies: ruim data op. Dat spaart een hoop kosten en een berg moeite. Ik ben erg benieuwd naar jullie ervaringen of meningen op dit vlak.
@Jeroen
Data wel of niet opruimen … dit hangt sterk af van het soort data en de sector waarin je werkt, maar ook van het reden waarom je het al dan niet wil bewaren.
Een projectplan, core-team verslagen, presentatie van de kickoff meeting van je project; dit soort documenten zijn na verloop van tijd niet meer interessant.
Maar bijvoorbeeld data die gebruikt wordt als historische data of metrieken (bijv. effort-schattingen, defect-density) zijn juist weer heel interessant om te bewaren.
Ook afspraken over bijvoorbeeld lange termijn onderhoudsverplichtingen kunnen interessant zijn om te bewaren, zeker als je product een lange levenscyclus kent.
Naast projectdata is er ook nog productdata. Dit kan bestaan uit designdocumentatie en testplannen, maar bijvoorbeeld ook uit hardware specificaties, bouwtekeningen, bedradingsschema’s, testrapporten en vrijgavebewijslast en dergelijke. Vooral in de embedded sector spelen dit soort documenten een belangrijke rol.
Zit je daarnaast nog in de medische sector, dan gelden er nog een heleboel aanvullende regels. Kort samengevat komt het er op neer dat je van al je producten die je in het veld hebt staan alle productdocumentatie moet kunnen overleggen. Mocht een patiënt op, middels of door één van jouw apparaten letsel oplopen, is het aan de fabrikant om aan te tonen dat dit indertijd goed getest is.
Neem daarbij in sommige landen een wettelijke onderhoudsverplichting van 10 tot 15 jaar nadat de productie gestopt is, dan kun je op je klompen aanvoelen dat je behoorlijk wat documenten te bewaren hebt.
Voor kleine apparaten, zoals bijvoorbeeld een mobiele telefoon of tomtom is het rendabel om na een paar jaar geen ondersteuning meer te bieden, en in plaats daarvan bij een defect apparaat een nieuw toestel aan te bieden.
Maar bij de grote complexe apparaten, zoals elektronenmicroscopen, wafer steppers, mri-scanners etc. is de prijs dusdanig hoog (een NXT:1950i van ASML kost rond de 45 M€) dat het al snel rendabel is de documenten wat langer te bewaren om onderhoud te kunnen blijven doen hierop.
@PaVaKe
Dat is toch juist de strekking van het verhaal? Er staat letterlijk ‘…nu zijn er uiteraard wel dataonderdelen die van groot belang zijn. Deze moet je identificeren en bewaken…’. Dat betekent dus dat elke organisatie voor zichzelf moet bekijken wat belangrijke en dus te bewaren data zijn, al het interne/externe beleid en eventuele wet- en regelgeving in acht nemend.
Overigens is het wel of niet prive gebruik mogen maken van bedrijfslaptops e.d. een beleidsafspraak die een organisatie stelt en zal dus in de werkprocessen moeten worden vastgelegd. Als een organisatie het toelaat dat een werknemer prive gebruik maakt van zijn of haar werklaptop, zullen er maatregelen genomen moeten worden om eventuele gevoelige/belangrijke/bedrijfskritische data niet verloren te laten gaan bij een probleem als dit. Maar wederom: dat is een beleidsafspraak en volgens mij niet aan de orde in dit artikel.