Bijna iedere week in het nieuws: geheime en vertrouwelijke gegevens worden gestolen door hackers. Of die nu van de overheid, het bedrijfsleven of NGO's zijn. Het houden van documenten en e-mails in een eindeloze opslag lijkt een gemakkelijke oplossing. Maar het eindigt met een stapel documenten en e-mails die alleen maar geld kosten. Wat wordt bewaard, zal moeten worden beveiligd tegen diefstal. Wat weggegooid is, kan niet worden gestolen.
Vorige week in het nieuws: Russische hackers zijn uit op geheime Nederlandse overheidsdocumenten. Misschien wel om de verkiezingen te beïnvloeden. Maar er zijn natuurlijk talrijke documenten bij de overheid die interessant kunnen zijn voor de Russen. Of de Chinese overheid of wie dan ook.
Ook buiten de overheid zijn gegevens niet veilig. Industriële spionage is groter dan het bespioneren van de overheid. Ook documenten van bedrijven zijn aantrekkelijk, zeker wanneer bedrijven internationaal concurreren, zelf aan onderzoek en ontwikkeling doen of wat nog meer. De gedachte dat een organisatie geen geheimen heeft die het stelen waard zijn, is naïef. Je hebt de verplichting om niet alleen de eigen gegevens geheim te houden, maar ook de gegevens van anderen die in de eigen systemen worden bewaard. Bijvoorbeeld externe offertes of documentatie. En dan praat ik nog niet eens over persoonlijke gegevens…
Auditing op documenten
Het is toch wel verontrustend dat veel bedrijven hun documentopslag niet op orde hebben. Veel wordt nog gewoon opgeslagen op bestandssystemen en netwerkservers. Of gewoon bij medewerkers thuis, op laptops of in slecht beveiligde opslag in de cloud. Eenmaal binnen kan de hacker eenvoudig rondneuzen. De beveiliging van de mappen en documenten op een bestandssysteem staat meestal open. En auditing op documenten vindt al helemaal niet plaats.
Je kunt natuurlijk, en dat moet ook, een muur om de organisatie heen bouwen en ervoor zorgen dat alleen geautoriseerde personen erin mogen komen. Misschien hebben de datasystemen en ECM-systeem een extra beveiligingslaag voor extra beveiliging, maar hebben de fileservers die ook?
Ook hier blijkt dat de menselijke factor de zwakste schakel. Zo blijkt uit onderzoek van het World Economic Forum dat 72 procent van alle beveiligingsincidenten als oorzaak organisatorische, procesmatige of menselijke fouten hebben. 28 procent wordt veroorzaakt door inadequate beveiligingstechnologie. Hackers gebruiken allerlei trucs om mensen toegangscodes te ontfutselen. Hebben hackers die eenmaal in bezit, kunnen ze zo bij de documenten en e-mails die overal en nergens zijn opgeslagen. Dan zijn al die beveiligingsmaatregelen zo lek als een mandje. Welk beveiligingssysteem je ook hebt, er kan op worden ingebroken.
Weg = weg
De beste manier om veiligheidsrisico’s te voorkomen is om de gegevens, die u niet meer nodig heeft, te verwijderen. Wat er niet is, kan niet worden gestolen. Zoals Michel van Eeten, hoogleraar internetveiligheid in Delft, zegt in NRC Handelsblad: ‘Mijn tip: ga te werk als de maffia. Zorg ervoor dat je alle informatie wegdoet die tegen je gebruikt kan worden. Mensen bewaren hun e-mails vaak jarenlang, en er is altijd wel iets pijnlijks in te vinden, zoals bleek bij de Democraten in de VS. Als je die mails wilt houden, schrijf ze dan weg op een harde schijf en leg die in een kast.’
Maar wat gebeurt vaak? We weten niet waar alle documenten en e-mails opgeslagen zijn, wat er in staat of van wie ze zijn. Daarom wordt alles maar bewaard. De groei van documenten en e-mails kan alleen als een opslagprobleem worden gezien en het toevoegen van schijfruimte als de oplossing. En voor sommige mensen is dit het eigenlijke verhaal. Waarom? Omdat opslag goedkoop is en het verwijderen of vernietigen van gegevens ingewikkeld. Want je weet niet wanneer je oude documenten misschien weer nodig hebt. Als je wilt vernietigen, heb je inzicht in de retentieschema’s, gegevensmodellen, het daadwerkelijke gebruik van de documenten, mogelijke juridische bepalingen, de waarde van de documentinhoud en een hele hoop andere dingen, nodig. Maar reken er wel op dat heel veel documenten en e-mails geen bedrijfsmatige waarde meer hebben, wel interessant zijn voor hackers.
Maar al deze documenten, waar je de waarde niet van kan bepalen, vormen dus wel een veiligheidsrisico. Ook documenten waar al jaren niet naar is omgekeken kunnen tegen je worden gebruikt. Documenten die nog wel gebruikt kunnen worden als belastend materiaal. Met het oog op deze risico’s, is het opruimen van documenten en e-mails eigenlijk plicht.
Bij overheden is er een bijkomend probleem, dat heet archiveren.
Ook vragen, antwoorden en opmerkingen die b.v. gemaakt zijn via twitter, facebook e.d. moeten worden bewaard.
Dit geldt natuurlijk ook voor emails, gewone post, fax, enz.
Het lijkt allemaal simpel, dat is het dus niet ……………..
Want als je iets ‘delete’ is het ook echt gelijk weg! Of wacht…
Een zinnig ‘awareness’ publicatie. Tenslotte begint het natuurlijk bij het besef dat we in een tijdperk leven waarin alles overal en nergen gedigitaliseerd ligt vastgelegd. Ik gruwel nog steeds van een Piet Hein Donner die ooit eens zat te vertellen voor de camera welke maatregeln ‘hij’ had genomen tegen een IT calamiteit eerder op zijn departement. Daar tegenover staat dat hij in een interview twee weken eerder stelde,’ ….. ik heb niet zoveel met die IT frivoliteiten. Geef mij maar ambachtelijk pen en papier….’ Waarvan akte. Zo zien we de politiek debacles ook weer terug in de commissie Elias waaruit weer een dom politieke gruwel voort kwam.
Wat er niet is …..
Waarheid als een koe en tegelijk een open deur. Als we weten dat 75% van de IT dienstverlener klaarblijkelijk het niet in zich heeft hun klant op te voeden met een eenvoudig en eenduidig security protocol, ‘Hoe om te gaan met data opslag en conserveren….’ Dan krijg je iets waar ik inmiddels tien jaar geleden al voor waarschuwde.
Toenemend aantal IT ICT incidenten met steeds grotere impact.
De gevaren van data lekken en misbruik? Die zijn eenvoudig te benoemen,
– Sociale media
– Big Data
– Niet onderkennen dat zakelijke/private data niet meer integer is
– Niet onderkennen dat zakelijke/private data vrijwel door iedereen toegankelijk is
Technisch is het redelijk eenvoudig. Zorg dat er fysiek geen verbinding bestaat tussen opgeslagen data, opslag medium en de buitenwereld. Voorkom gebruik van mobiele datadragers. Formatteer gebruikte maar overbodig geworden data dragers op een fysieke manier en vernbietig die daarna.
uiteraard begint ook dit verhaal met het onderkennen hoe hopeloos inadeqauaat (IT) professionals blijken waar het gaat om data en de manier van hier daar mee om te gaan. De incidenten en discussies blijven groeiend.
Tja René;
Het apparaat kan op internet, dus sluiten we het aan op internet.
Makkelijk is nu eenmaal iets anders dan veilig 🙂
Je hebt dus gelijk…
@Ron Bakker: Je hebt gelijk wat betreft overheidsdocumenten. Nu bestaat de neiging alle documenten en e-mail te bewaren omdat men als de dood is dat er iets te veel wordt weggegooid. Denk aan de bonnetjesaffaire. Maar dat betekent impliciet dat er ook documenten bewaard worden die geen archiefwaarde hebben maar wel interessant zijn voor hackers. Voeg daarbij de gebrekkige “dossierdiscipline” van het ambtelijk apparaat.
Ik ben ervan overtuigd dat we de komende jaren dit onderwerp, de diefstal van documenten, heel vaak in het nieuws zullen zien. Helaas, omdat er natuurlijk wel wat aan te doen is om het beveiligingsrisico te verkleinen.
Ik kan het nodige zeggen over documentair informatiebeleid bij de overheid.
In plaats daarvan verwijs ik graag naar http://www.breednetwerk.nl/
Zéér aanbevolen.