Jericho in een kokosnoot met uien
We hebben al geruime tijd (sinds de middeleeuwen) het kokosnoot model voor beveiliging. Daarbij hoort een harde buitenkant (kasteelmuur, stadswallen, firewall) met een zachte binnenkant. Zo worden de waardevolle zaken (het serverpark, de bedrijfsgegevens) met veel maatregelen afgeschermd van de buitenwereld (het Internet). In moderne organisaties kom je nog wel eens het uienmodel tegen, dat is een minder geslaagde vorm van gelaagde beveiliging – bij iedere laag die je afpelt gaan je ogen erger tranen. Zij hebben hun best gedaan, maar zonder goed na te denken over de correcte uitvoering van het geheel.
Het principe van gelaagde beveiliging – meerdere ongelijksoortige beveiligingslagen achter elkaar – is wel goed, maar op zichzelf tegenwoordig onvoldoende om schade door informatieverlies te voorkomen. Tot slot het Jericho-model, dat als uitgangspunt heeft dat alle verdedigingswerken kunnen worden geslecht: de IT omgeving wordt hybride, binnen wordt buiten en buiten komt binnen. Alleen de belangrijke gegevens worden beschermd: ‘protect the data’.
In mijn optiek wil je een combinatie van de drie modellen. Dat doe je door een robuuste gelaagde beveiliging op te bouwen, die niet eenvoudig is af te pellen. De gevoelige of vertrouwelijke informatie voorzie je van aanvullende beveiligingsmaatregelen. Zo beveilig je niet meer dan nodig en verminder je het risico op gegevensverlies of imagoschade aanzienlijk.
Het principe van dataclustering bestaat al een tijd, maar omdat het complex is om op te zetten gebeurt het maar zelden. Bij het Jericho-model gaat men uit van data-tagging. Dat wordt ook door het College Bescherming Persoonsgegevens aangewezen als een manier om vertrouwelijke informatie te herkennen.
Een gelijkwaardig resultaat met minder inspanning vanuit de organisatie kan worden bereikt door de servers of databases met vertrouwelijke informatie te clusteren. Door hier extra toegangscontrole op te zetten wordt hetzelfde resultaat bereikt – toegang tot vertrouwelijke informatie op ‘need to know’ basis. Voordeel van deze methode is dat het geen opdruk op de organisatie geeft (opvoeden van gebruikers voor het gebruik van tagging, beheer helpdesk, etc.).
Toezicht op EPD moeilijk?
Sinds de invoering van het Elektronisch Patiëntendossier (EPD) is er veel gedoe geweest rondom de borging van de privacy. Die leek namelijk op voorhand al niet gegarandeerd of waterdicht. Naar nu blijkt mogen er wel heel veel mensen kijken in het dossier, zolang de patiënt daar geen bezwaar tegen maakt. De standaard instelling is “iedereen mag kijken”. Hetgeen in in tegenstelling is tot een best-practice voor vertrouwelijke informatie, die normaal gesproken alleen op “need-to-know” basis toegankelijk is. Dit betreft niet alleen de directe zorgverleners , maar ook hun assistenten, en collega’s die gevraagd worden naar hun visie. Dat is nog wel verklaarbaar, maar ik het er meer moeite mee dat de secretariële ondersteuning, de functionele beheerders van het feitelijke dossier en de financiële afdeling ook inzage hebben in de patiëntendossiers. Dat kun je nauwelijks meer proportioneel noemen.
Aan deze ruimhartige toekenning van inkijkrechten is geen streng toezicht gekoppeld. In tegendeel, controle vindt alleen achteraf plaats. Maar omdat voor elke inzage in een dossier een registratieregel wordt geschreven levert dat onnoemelijk veel werk op. De mogelijke verantwoordelijke afdelingen van het ministerie van VWS (IGZ, NICTIZ) zijn, net als het CBP, te klein om deze taak naar behoren uit te kunnen voeren. De enige garantie tegen misbruik is het ethisch normbesef dat alle gebruikers moet het EPD moeten hebben. Wat je ook volgens het CBP niet erg goed kunt noemen.
Er is wel een manier om misbruik aan te tonen. Iedere burger heeft volgens de Wet bescherming persoonsgegevens het recht te weten wat er over hem is vastgelegd en wie zijn medische gegevens heeft geraadpleegd.
De bal ligt nu bij ons.
3 Setjes wachtwoorden
“Gebruik van wachtwoorden is ouderwets!”, stelt een Franse staatssecretaris. “Iedereen een certificaat! Dat is pas veilig!”. Deze ambtenaar werd onvolledig geïnformeerd, ook een certificaat moet je beschermen met een wachtwoord. Dat noemen we two-factor authentication. Certificaten kunnen wel veilig zijn, miets goed toegepast. Datzelfde geldt voor wachtwoorden. Uit onderzoek blijkt dat mensen hun wachtwoorden en gebruikersnaam van bijvoorbeeld internetbankieren hergebruiken voor allerlei andere (minder beveiligde) websites. Dat vormt een risico voor deze gebruikers, omdat een aanvaller die op de ene site de gegevens heeft achterhaald, deze op andere plaatsen kan hergebruiken.
Een betere manier om veilig met wachtwoorden om te gaan is er drie setjes op na te houden. De eerste combinatie van gebruikersnaam en wachtwoord gebruik je voor internetbankieren, de tweede combinatie voor je webmail en profielsites (hyves, linkedin) en de derde combinatie gebruik je voor al die onzinnige websites waar je toch moet inloggen om mee te kunnen kletsen op het forum.
Als je een certificaat van de overheid of je bank krijgt, kies dan een apart wachtwoord dat niet in je combinaties voorkomt.
Strooizout en calamiteitenkoffers
Iedereen die goed is ingevoerd in Business Continuity Management (BCM) kent het fenomeen van de calamiteitenkoffer. Voor de niet-ingewijden, dat is een voorraadje spullen die je nodig hebt om je werkzaamheden rond de bestrijding van de calamiteit te vergemakkelijken. Je kunt het wel vergelijken met de voorraad eikels van een eekhoorn.
Een typische BCM koffer bevat wat schrijfgerei, snoepjes, limonade, communicatiespullen zoals mobiele telefoons (met lader!) en andere onmisbare zaken. Een probleem waar je met het beheer van je BCM plan en -koffer tegenaan loopt, is de vraag hoe je moet omgaan met de beperkt houdbare zaken, zoals de etenswaar en limonade in je koffer. Je kunt het als een voorraad beschouwen die je aanvult als je iets (of alles) hebt verbruikt. Je neemt dan het risico dat je voorraad is uitgeput als zich een calamiteit voordoet.
Vergelijk het met het strooizout-tekort in de winter van 2009-2010, dat zich voordeed op verschillende plaatsen in Nederland. Daar is het voorraadje zout verbruikt en niet op tijd aangevuld. Er zijn vast wel goede redenen voor te verzinnen (te duur, wanneer sneeuwt het nu in Nederland?, de aarde warmt toch op?) maar het is wel een beetje dom.
Je BCM koffer vul je daarom beter eerst aan en daarna maak je gebruik van de artikelen waarvan de verbruiksdatum bijna is verstreken.
Misschien had de gemeente wel strooizout in zijn koffer moeten hebben.
Function creep
We klagen op internet over big brother Google en we gebruiken dan maar Bing (van Microsoft) als alternatieve zoekmachine. We gebruiken (ok, soms tegen wil en dank) de OV chipcard en we klagen op voorhand over de kilometerheffingen de autokastjes die dit moeten regelen. Alle gegevens worden echter verzameld met een specifieke doelstelling zoals marketing, advertenties verkopen of (OV)reiskilometers verkopen.
Er zijn ook voorbeelden te bedenken van gegevensverzamelingen die van overheidswege worden aangelegd, maar waar niets mee wordt gedaan. Bijvoorbeeld de bewakingscamera’s in de straat, waar geen bewaker achter zit. Veel van de camerabeelden worden alleen bekeken als daar aanleiding voor is, naderhand meestal. GSM gegevens (lokatiegegevens en gespreksinformatie van mobiele telefoons) hebben als doel de telecomprovider van informatie te voorzien waarop hij zijn facturen kan baseren. Internet service providers moeten ook gegevens vastleggen en dat is speciaal om boeven te vangen die te stom zijn om encryptie toe te passen. Dit zijn allemaal duidelijke onderbouwingen voor specifieke doelen waarvoor (persoons)gegevens worden verzameld.
Het wordt een beetje bijzonder met de camerabeelden van particulieren. Denk hierbij aan de beelden van Yolante en Wesley in de parkeergarage. Hier was geen overheid verantwoordelijk voor de camera, de beelden en het gebruik ervan. En als er wat wat overheid aan te pas kwam dan was de uitvoering van het beleid ver beneden peil.
Bij de OVchipcard wordt op voorhand al aangegeven dat bij zwaarwegende noodzaak inzage in de database wordt gegeven voor andere doeleinden dan de primaire. Een van de discussies over het taxkastje in de auto bij de kilometerheffing gaat over de verzameling van gegevens. Het is nog niet bekend wát er allemaal wordt vastgelegd in het kastje.
De ondertoon in deze discussie is het gebrekkige vertrouwen in de minister (of de regering) die de kilometerheffing wil. Want dit kabinet kan wel mooi zeggen dat niemand zomaar inzage krijgt in de gegevens. Maar als er morgen of volgend jaar een nieuw kabinet is, wat zeggen die dan? Daarnaast zijn de gegevens wél voorradig. Dan is de invoering van een noodwetje of reparatiewet voldoende om het gebruik van deze grote database uit te breiden met nieuwe doeleinden. Dat heet function creep.
Maar ik vind het creepy.
Meldplicht voor gegevenslekken?
BOF stelt een uitbreiding van de Wet bescherming persoonsgegevens (Wbp) voor. Bewerkers van verzamelingen persoonsgegevens moeten het publiekelijk bekend maken als zij gegevens hebben gelekt. Ik vraag mij af wat hier de toegevoegde waarde van is. Behalve de onrust die een dergelijke melding zal of kan veroorzaken, en het daarbij behorende (terechte, begrijp mij niet verkeerd) ongemak van deze bewerker, levert het verder niets op. Bewerkers gaan door met het verzamelen en bewerken van persoonsgegevens. En als het meezit hebben ze de beveiliging een beetje (goed) op orde. Tegen een inside-job is geen organisatie bestand, net zoals stommiteiten ook in de strengst dichtgeregelde situaties voor kunnen komen.
Laten we ons eens buigen over de vraag waarom er zo paniekerig wordt gereageerd op verloren of gestolen persoonsgegevens. Primair is dat omdat ze veel waarde hebben. De gegevens hebben die waarde omdat ze eenvoudig te verhandelen zijn en daarna – met de juiste middelen – eenvoudig gebruikt kunnen worden. Bij veel aanhoudingen in bijvoorbeeld Amsterdam wordt geconstateerd dat de arrestant valse persoonsgegevens opgaf. Kennelijk is het met de goede informatie eenvoudig om je een andere identiteit aan te meten.
Het zwaartepunt van de bescherming van persoonsgegevens zou bij de voorkoming van illegaal hergebruik moeten liggen. Natuurlijk horen de gegevens met passende maatregelen te worden omgeven en beschermd te worden naar de actuele stand der techniek Maar vooral moet het veel moeilijker worden de gestolen gegevens opnieuw te gebruiken.
En dat melden dan? Dat moet wel worden gedaan. Je hebt tenslotte je persoonsgegevens afgegeven in goed vertrouwen van het beheer. Dan is het wel zo netjes om te melden dat je gegevens kwijt zijn geraakt.
Als sleutels breken
Laatst was het in het nieuws dat de RSA 768 bits encryptie is gebroken. Ooit als lang beschouwde sleutels, met een lange verwachte levensduur, worden voor het verstrijken van die verwachte levensduur al gekraakt. De sleutel van RSA is gebaseerd op een 232 cijferig priemgetal. Naar verwachting zal de eerstvolgende lange sleutel van RSA, met een lengte van 1024 bits, binnen 10 jaar gekraakt zijn. Maar gebruik na 2010 van een dergelijke ‘korte’ sleutel wordt al afgeraden. Respect voor de krakers, maar nu terug naar de business.
Wat voor gevolgen heeft dit voor de opslag van met deze sleutels beveiligd materiaal? Dat is afhankelijk van het belang van de data die je beschermt (broncode, patenten, geheimen, recepten, wat-dan-ook). Als jegeheim ná het verstrijken van de geadviseerde levensduur van de sleutels (of de toegepaste versleuteling) nog steeds geheim moet blijven, kun je twee dingen doen. Het originele bestand opnieuw versleutelen met een cryptografische methode of sleutel die aan de huidige en toekomstige eisen voldoen. Nadeel hiervan is dat het geheim kwetsbaar is op het moment dat het is gedecodeerd en opnieuw versleuteld moet worden. Dit is natuurlijk een zeer tijdelijke situatie.
Of je kunt je versleutelde geheim nog een keer versleutelen met de nieuwe methode. Nadeel hiervan is dat je twee sleutels moet beheren en beide decryptietechnieken beschikbaar moet houden, totdat de geheimhoudingsdatum is verstreken.
Aangezien Johnsons’ wet stelt dat Murphy een optimist was, gaat mijn uitgesproken voorkeur uit naar de eerste optie.
Big brother en Evil brother
Goudvis
Routeplanners zijn een uitvinding voor types zoals ik met het richtingsgevoel van een analfabete goudvis. Ze wijzen ons vriendelijk doch dwingend de weg op soms onnavolgbare wijze naar het einddoel, om uiteindelijk te melden dat we zijn aangekomen (3 kilo). De eenvoudige routeplanners zijn ingebouwd in een mobiele telefoon. Verder zijn er wat luxer uitvoeringen die je bij de lokale elektronicawinkel koopt. Deze gidsen maken soms gebruik van het internet om updates te halen, maar kunnen verder prima zelfstandig werken. Wel is het een nadeel dat ze niets weten van files, omleidingen of de openingstijden van restaurants en winkels in je omgeving. Routeplanners heten passief te zijn, ze bepalen de positie aan de hand van een aantal satellieten maar zenden zelf geen signaal uit. Je privacy als gebruiker van een routeplanner is hiermee redelijk gewaarborgd.[1]
De luxueuze modellen hebben nog steeds het kaartmateriaal bij zich, maar maken verbinding met een server om regelmatig updates over snelheidscontroles en verkeerscongestie op te halen. Nu al komt de privacy van de gebruiker in het geding. Afhankelijk van de implementatie door de leverancier kunnen er locatiegegevens (anoniem) worden doorgestuurd, waardoor bijvoorbeeld de plaats van de navigatieapparatuur en daarmee de persoonsgegevens van de licentie-eigenaar bekend zijn.
Het kan erger
Google heeft een gratis routeplanner in ontwikkeling wat bijna een garantie is voor een grote marktpenetratie. Veel mensen (heel veel mensen) maken al gebruik van gmail, de gratis e-maildienst van Google. De routeplanner software van Google heeft geen kaarten op de telefoon, maar haalt zijn kaartmateriaal van Internet. Dat heeft allerlei voordelen, je ziet meteen welke restaurants er bij je in de buurt zijn en je kunt zelfs Google streetview inschakelen. Het heeft ook nadelen. Big Brother Google weet al heel veel van je, omdat je gmail gebruikt, een android telefoon (by Google) gebruikt en je in deze papierloze maatschappij googledocs vaker toepast dan je gewone office applicaties. Met deze handige aanvulling in het dienstenpakket weet één partij steeds waar je uithangt en waar je mee bezig bent.
Evil Brother
Verdedigers van Google zullen stellen dat het beschermen van de privacy deel uit maakt van het business model van het bedrijf. Ze zullen veel klanten verliezen als ze zelf niet voorzichtig omspringen met de verzamelde persoonsgegevens en informatie over hun gebruikers. Een overheidsinstantie kan echter een dwingend beroep doen op Google om gegevens op te leveren. Google is niet altijd consequent in het weigeren van overheidsaanvragen, zo zijn er gmailaccounts afgesloten en worden zoekmachine resultaten gefilterd als een regering daar voldoende druk op zet. Zodra Google voldoet aan de vraag om positiegegevens van een of meer personen op een bepaald tijdstip levert dit een schat aan gegevens op. Overheden staan er niet om bekend dat zij eenmaal verworven vrijheden gemakkelijk prijsgeven (denk aan het kwartje van Kok). Door het bundelen van technieken komt er steeds meer informatie online over individuen beschikbaar, waar men zichzelf niet van bewust is.
Privacy is iets dat je alleen maar kunt kwijtraken. Gelukkig is deze routeplanner voorlopig slechts verkrijgbaar in Amerika.
[1] Mobiele telefoons worden gebruikt als indicatiemiddel voor verkeersdrukte. Tenzij het een anoniem toestel betreft waarvan de gebruiker zich niet heeft geregistreerd, is men niet per definitie anoniem in de file. Trouwens, het kenteken van een voertuig is ook gewoon aan de buitenkant af te lezen…
Gegevens veilig wissen
Computers hebben harde schijven. Dat zijn mechanische apparaten met de vervelende eigenschap dat ze stuk kunnen gaan. Meestal doen ze dat op een heel erg ongeschikt moment (bijvoorbeeld vlak voordat je bank de betaalgegevens wil hebben). Je richt je processen daarom zo in dat je na een dergelijk rampje snel weer door kunt gaan met je werk. Dat is het proces business continuity. Pas in een later stadium maak je je druk over wat je moet doen met de defecte harde schijf. Want dat hij niet meer draait wil niet automatisch zeggen dat er geen vertrouwelijke bedrijfsgegevens meer op staan. En dat jíj hem niet meer kunt lezen wil niet automatisch zeggen dat een specialist dat ook niet meer kan. Daarom is het verstandig om goed na te denken over het vernietigen van data.
Als je een enkele defecte harde schijf hebt, kun je met een hamer en een stalen beitel veel schade aanrichten, zodanig dat de magnetische schijf inderdaad niet meer gelezen kan worden zonder kostbare laboratoriumapparatuur. Maar als je een hele serie harde schijven (of pc’s met harde schijven) zo moet behandelen, wordt het een langdurige kwestie. Dan kun je beter automatiseren. Zo zijn er gespecialiseerde bedrijven die met een hydraulische pers harde schijven in stroken knippen.
Je kunt ook te maken krijgen met pc’s (of servers) die je wilt afstorten omdat ze te oud zijn. Tweedehands pc’s zonder harde schijf zijn slecht te verkopen. Door gebruik te maken van speciale professionele programmatuur (Blancco, Killdisk) of gratis tools (eraser) kun je je schijven meerdere malen overschrijven met verschillende datapatronen. Het is wel van belang dat je voor meervoudig overschrijven kiest. Een magneetkop in een harddisk slingert een beetje, waardoor magnetische informatie ook naast het dataspoor terecht komt. Door meerdere malen te overschrijven wordt deze residu-data eveneens gewist.
En je dacht uit de problemen te zijn in de papierloze maatschappij?
Hoax
Het was al weer een tijdje rustig op het hoax-front, zeker nu de Nigerianen door hun eigen landgenoten worden opgepakt. Gelukkig is Kassa van de Vara niet te beroerd om als bron voor de ‘Postcard From Hallmark‘ hoax te dienen. De waarschuwing voldoet aan alle kenmerken van een valse melding:
- NEEM HET VOLGENDE VOORAL ZEER SERIEUS
- Het virus (welk virus?) richt grote schade aan in je computer
- Verspreiding moet door de mens worden gedaan
- Het verwijst naar vage ‘officiële’ bronnen (CNN, Microsoft, McAfee)
- Het meest vernietigende virus ooit
- Geen reparatiemogelijkheden
- Geen datum vermeld waarop het virus herkend werd
- Geen naam van het bestand zelf
- Geen virusnaam bekend
- Geen verwijzing naar betrouwbare bronnen waar een en ander te verifiëren is
Hoaxes, als je die doorstuurt ben je zelf de verspreider van het virus.
