Laatst was het weer zover: opnieuw werd een usb memory stick met vertrouwelijke gegevens in een auto gevonden. Dit keer was het toevallig nieuws omdat de stick van Defensie was, maar meestal betreft het ‘geheugenverlies’ minder gevoelige informatie en slapen we rustig door.
Er zijn natuurlijk ook duizend en één manieren om een memory stick te verliezen. Elke keer ontdekken we weer een nieuwe manier, en vervolgens bedenken we hoe we dit in de toekomst kunnen voorkomen. Als het kalf verdronken is, dempen we rustig de put, maar de put ernaast staat nog gewoon open. Symptoombestrijding heet dat. Nog steeds neemt de gemiddelde burger pas een alarmsysteem nadat er is ingebroken en nemen de meeste bedrijven pas maatregelen nadat bedrijfsinformatie op straat ligt.
De memory stick is niet het enige wat we verliezen. Ook diskettes, cd’s, harde schijven, notebooks, pc’s, papieren dossiers en zelfs complete archiefdozen slingeren rond. Het belangrijkste verlies is echter vertrouwen! De schuldvraag is vaak van politieke aard en een ondergeschikte kan vervolgens zijn biezen pakken. Jammer genoeg wordt in de meeste gevallen de werkelijke oorzaak van de problemen niet eens aangepakt. Hierdoor krijgt het vertrouwen een tweede deuk.
Er zijn genoeg mogelijkheden om gebruik van gegevens op memory sticks te beschermen. Dat is voor onze markt natuurlijk heel mooi. Eerst verkopen we iedereen (het gemak van) de memory stick, en vervolgens verkopen we daar extra beveiliging bij. Prima businessmodel, maar er ontbreekt er nog wel iets. Techniek maakt alleen een echte kans in combinatie met een helder beleid, goede communicatie met de gebruikers en duidelijke sancties.
Beveiligingsmaatregelen worden meestal door engineers gekozen zonder dat bijbehorende procedures en functiescheiding in acht worden genomen. En helaas: a fool with a tool is still a fool. En technische beveiliging zonder consequent beleid biedt slechts schijnveiligheid, waardoor we straks nog van huis zijn.
Ook dit blad ligt over enige tijd waarschijnlijk weer bij het oud papier, wellicht samen met vertrouwelijke informatie die eigenlijk in de papiervernietiger thuishoort. Het vinden van vertrouwelijke informatie in een berg papier is echter niet zo eenvoudig, terwijl usb-sticks prachtige presenteerblaadjes zijn, waarbij van tevoren al bijna vaststaat dat er wel iets van waarde op te vinden is. Encryptie helpt natuurlijk. Maar als een goede encryptie als neveneffect heeft dat iedereen nog nonchalanter met zijn geheugen omspringt dan nu al het geval is, verliezen we meer dan een geheugen of vertrouwen. Dan verliezen we ons verstand.
Marnix van Meer, director Sophos Benelux