4
Informatiebeveiliging - nummer 5 - 2012
VERGETEN GEGEVENSRISICO’S BEVEILIGINGSBEWUSTZIJN OVER GEVAREN HARDWAREVERPLAATSINGEN NODIG Drs. ing. Ronald Koorn RE. Partner bij KPMG IT Advisor en gericht op vraagstukken op gebied van informatiebeveiliging, privacy, ICT-beheersing en ICT-compliance.
[email protected] Drs. Jeroen van Kerkhof. Mede-eigenaar van Re5 Europe BV, specialist in dataveilige ITretourlogistiek. Daarvoor was hij verantwoordelijk voor de Europese retourdistributie van de asset managementtak van Hewlett Packard.
[email protected]
Op basis van recent onderzoek heeft De Nederlandsche Bank (DNB) vastgesteld dat slechts bij 15% van de onderzochte financiële ondernemingen informatiebeveiliging volledig op orde is. Met een circulaire wil DNB het onderwerp informatiebeveiliging in de financiële sector onder de aandacht brengen. Onderdeel van het toetsingkader is de bescherming van informatie bij het afstoten van gegevensdragers. Dit speelt natuurlijk evenzo voor gevoelige gegevens in andere sectoren, vandaar dat dit artikel relevant is voor alle organisaties die haar hardware veilig wil afvoeren of hergebruiken.
de meeste sectoren wordt tussen een kant geeft recent Europees onderzoek Organisaties lijken zich in toenederde tot meer dan de helft van het van dezelfde organisatie aan dat 68% mende mate te realiseren wat het van de Nederlandse managers beperk- verlies van informatie veroorzaakt door risico is wanneer er hardwaremutaties het verkeerd afvoeren of zijn, zoals vervanging of herinzet. Maar in deze In de meeste sectoren wordt tussen een derde tot meer dan verlies en diefstal van PC’s (figuur 1 en figuur 2). periode van ICT-uitbestede helft van het verlies van informatie veroorzaakt door Deze statistieken geven ding, cloud computing, het verkeerd afvoeren of verlies en diefstal van PC’s een abstract beeld, indivivirtualisatie en internetduele beveiligingsincidenbeveiliging lijkt informatiebeveiliging bij hardwaremutaties en te (financiële) risico’s ziet van onveilige ten maken het concreter. Ook al spreken de hackingincidenten in de landelijke gegevensverwijdering (NAID2012). -verplaatsingen toch nog steeds een media meer aan, in kader 1 is een aantal Dat gegevensverlies door foutieve ondergeschoven kindje te zijn. Uit voorgevallen en gepubliceerde incidenomgang met gegevensdragers niet Amerikaans onderzoek is gebleken ten met gegevensverlies opgenomen. louter een theoretisch maar praktisch dat 45% van de organisaties niet over Nalatigheid en lankmoedigheid blijken belangrijk onderwerp is blijkt uit beleid voor gegevensarchivering en daarbij belangrijke oorzaken. onderzoek van KPMG (KPMG2010); in -verwijdering beschikt. Aan de andere
Figuur 1: Oorzaken verlies van informatie
PvIB 05-12.indd 4
Figuur 2: Oorzaken verlies van informatie per sector
04-09-12 09:33
Informatiebeveiliging - nummer 5 - 2012
Kader 1: Incidenten Online inbraken krijgen de meeste persaandacht maar ook met achtergebleven gegevens vinden vele beveiligingsincidenten plaats. Een korte bloemlezing: • Amerikaanse bank verliest computertape met bankgegevens van 3,9 miljoen rekeninghouders • Computertapes met gegevens van 800.000 burgers van de Department of Child Support Services (DCCS) van de staat Californië is verloren tijdens oefening met IBM en Iron Mountain. De tape bevatte adresgegevens, Amerikaanse BSN-nummers, rijbewijs- of identificatienummers, zorgverzekering en informatie van de werkgever. • Officier van Justitie Tonino zet zijn PC met gevoelige privébestanden en vertrouwelijke Justitie-gegevens op straat, welke vervolgens in handen komt van Peter R. de Vries • T-Mobile verliest CD met gegevens van 17 miljoen klanten • Een Amerikaanse universiteit verliest persoonsgegevens van 600 alumni door het kwijtraken van twee laptops met onversleutelde gegevens. • Server met medische gegevens van 55.000 patiënten was door een opruimingsbedrijf niet gewist of vernietigd. Door een overstroming was het opruimingsbedrijf gevraagd het laboratorium leeg te ruimen en de apparatuur af te voeren. • Een man formatteert meerdere malen zijn laptop en bedenkt niet dat er belangrijke gegevens op staan, die vervolgens uitlekken • De harde schijf van een geleast kopieerapparaat bevatten persoonsgegevens van meer dan 400.000 medewerkers, tot aan identiteits- en medische gegevens aan toe. • Een harde schijf die veiligheids- en visagegevens van artsen bevatte is via een veiling verkocht. Door het ontbreken van een hardwareregistratie werd het gemis van deze gegevensdrager pas ontdekt toen het in de pers werd gemeld. • Motorola vergat de gegevens van de vorige eigenaar van circa 100 Xoom-tablets te wissen alvorens ze werden doorverkocht aan nieuwe eigenaren.
Waar liggen de gegevensrisico’s? We kunnen stellen dat er een gegevensrisico ontstaat zodra hardware in beheer of eigendom wordt overgedragen. Want dan kunnen vertrouwelijke gegevens samen met de gegevensdragers verdwijnen. De maatregelen om dit te voorkomen zijn vaak ontoereikend. De manier waarop de gegevensdragers rouleren of de organisatie verlaten is verschillend en is vaak afhankelijk van het organisatiebeleid en/of de wijze waarop de hardware is gefinancierd (figuur 3). Interne gegevensrisico’s De mate waarin gegevens vertrouwelijk zijn kan per onderdeel van een organisatie verschillen. Zo worden persoons- en bedrijfsgevoelige gegevens zoals in gebruik op een HR-afdeling of bij de directie vaak als vertrouwelijker geclassificeerd dan gegevens op andere afdelingen. (Zie voor rubricering van persoonsgegevens en de
PvIB 05-12.indd 5
beveiliging daarvan o.a. in publicatie van College Bescherming Persoonsgegevens [CBP2001].) Het is dus raadzaam om te kijken of met het herinzetten van hardware geen informatie ‘verhuist’ naar vestigingen,
5
afdelingen of derde partijen waarvoor deze informatie (te) vertrouwelijk is. Daarnaast is Bring Your Own Device (BYOD) in Nederland geen trend meer, maar realiteit: 85 procent van de Nederlandse werknemers gebruikt inmiddels een privéapparaat voor werkdoeleinden ([Cisco2012]). Weliswaar worden toegangsprotocollen geschreven om veilig met privéapparaten in een bedrijfsnetwerk te kunnen werken, maar bestanden kunnen over het algemeen gewoon lokaal worden opgeslagen. Daarom dienen gegevensdragers die formeel dus buiten de eigen organisatie vallen meegenomen te worden in de scope van informatiebeveiliging bij hardwaremutaties. Want wat gebeurt er met de opgeslagen informatie als de eigen ‘device’ vervangen wordt of als de betreffende medewerker de organisatie verlaat? Externe gegevensrisico’s Bij de meeste mutaties in hardware speelt een externe dienstverlener een rol. Transporteurs worden meestal alleen ingeschakeld voor het vervoer en dus niet voor de gegevensverwijdering. Andere partijen nemen in het proces wel de verantwoordelijkheid voor de verwijdering en – indien van toepassing – ook voor de doorverkoop of afvoer van apparatuur. In alle gevallen geldt het risico dat hardware met vertrouwelijke informatie verloren gaat gedurende het transport door onzorgvuldigheid of diefstal. Daarnaast is er
Figuur 3: Gegevensrisico’s bij hardwarewisselingen
04-09-12 09:33
6
Informatiebeveiliging - nummer 5 - 2012
vens een afwijkende informatiebeveilidie leiden tot aanzienlijke reputatiehet risico dat informatie niet, niet volledig gingsprocedure te hanteren ten opzichte schade, schikkingen of sanctiemaatreof niet volgens de juiste richtlijnen wordt van gegevensdragers met publieke gelen door toezichthouders. Zoals in verwijderd. En vervolgens onbedoeld ter gegevens. Bovendien kan de ernst van [Ponemon2010] is vermeld zijn de kosten beschikking aan derden kan komen. een eventueel incident beter worden bij gegevensverlies wederom gestegen, Verder bestaat het risico van diefstal vanaf getaxeerd en kunnen proportionele ditmaal naar circa 95 euro per verloren de locatie van de externe dienstverlener maatregelen worden getroffen. gegaan record. en het moedwillig verzamelen van verDaarnaast is het essentieel om een comtrouwelijke informatie door (een medeHet College Bescherming Persoonsgegeplete, sluitende registratie te hebben van werker van) de externe dienstverlener vens (CBP) maakt zich net als haar Britse alle aanwezige gegevensdragers. Alleen met als doel deze evenknie (ICO) sterk Sancties kunnen oplopen tot maar dan kan worden gegarandeerd dat de te gelde te maken. voor forsere boetes informatie ook daadwerkelijk van elke De marketingwaarde liefst 2% van de wereldwijde omzet en bijvoorbeeld een gegevensdrager wordt verwijderd. publicatieplicht voor per record bij verEen initiële inventarisatie lijkt op zich beveiligingsincidenten in alle sectoren. koop levert interessante opbrengsten op. nog eenvoudig te realiseren op basis Daarmee kan ook de reputatieschade ernHet merendeel van de huidige informavan bijvoorbeeld merk, omschrijving en stige proporties aannemen. De opvolger tiebeveiligingsmaatregelen richt zich serienummer. Maar het gevaar schuilt van de huidige Europese privacyrichtlijn echter op de ‘gegevens in ruste’, dus goed in gegevensdragers die niet als zodanig is een verordening die overheden in staat afgeschermde systemen, databases, stelt om aanzienlijke financiële sancties op geïdentificeerd worden. Dan gaat het platformen of fysiek afgesloten rekenbijvoorbeeld over losse server disks, printe leggen. Ze kunnen oplopen tot maar centra. Met uitzondering van de veelal ters met geheugen, smartphones, extra liefst 2% van de wereldwijde omzet (bijgoed beveiligde interfaces met andere harde schijven in desktops (al dan niet voorbeeld Shell zou een boete van meer organisatie/systemen, is er in mindere aangesloten) en externe harde schijven dan 7 miljard euro kunnen oplopen!). mate aandacht voor ‘gegevens in transit’, voor back-ups. (Middel)grote organisaties vooral als het niet-reguliere verplaatsingen hebben al moeite met de registratie van en buiten gebruikstelling van hardware, Aandachtspunten softwarelicenties, laat staan van gegetapes, devices, e.d. met onversleutelde Al met al genoeg redenen om bewust te vensdragers en de inhoud daarvan. gegevens betreft. Als de gehele informazijn van de risico´s bij hardwaremutaties. tielevenscyclus wordt beschouwd ligt het Kernpunten van de richtlijnen op het Ook is het belangrijk om in dit stadium accent van informatiebeveiliging op de gebied van gegevensmanagement zijn geen onderscheid te maken in wie de reguliere verwerkingsstappen, maar zou een sluitende registratie van de aanwedaadwerkelijke eigenaar van de hardhet bewustzijn van de risico’s aan het eind zige gegevensdragers en het definitief ware is. Voor geleaste of gehuurde van de levenscyclus van gegevens sterker verwijderen van gegevens wanneer een producten gelden immers dezelfde gegemogen. gegevensdrager elders opnieuw wordt invensrisico’s als voor producten in eigengezet of wordt afgevoerd. Afgezien van de dom. Bij elk van de financieringsvormen primaire gegevensdragers is het natuuris het dus van belang dat de administratie Wat is de mogelijke impact? lijk ook van belang dat ook alle andere van de apparatuur sluitend is. Het in ongewenste handen komen van bedrijfs- of privacygevoelige informatie kan kopieën, zoals gerepliceerde gegevens Cruciaal is ook dat elke mutatie wordt (i.g.v. dubbel rekencentrum), back-ups, natuurlijk verregaande financiële consevastgelegd en vooral dat voor elke gearchiveerde gegevens en dergelijke quenties hebben. gegevensdrager wordt gecontroleerd en worden gewist. Allereerst hoeft het gegevensverlies niet geadministreerd dat informatie definitief Maar hoe pak je een altijd opgemerkt te worden. Dat maakt verwijderd is volWaar ‘vernietiging’ wordt vereist goed beheer van het lastig om de exacte financiële consegens door de organigegevensdragers quenties vast te stellen. Maar bedrijfsgeblijkt gedegen ‘wissen’ ook te mogen satie goedgekeurde in de praktijk aan? voelige gegevens zoals over overnamekanrichtlijnen. Dit alles Het toetsingskader informatiebeveiliging didaten en de profijtelijkheid van klanten vergt heldere procesomschrijvingen, voor DNB themaonderzoek [DNB2012] zijn van onschatbare waarde, juist als ze in veel discipline in de uitvoering en een geeft bijvoorbeeld houvast. Hierna volgt handen komen van bijvoorbeeld concurgoede samenwerking met een eventuele een aantal aandachtspunten. renten. externe dienstverlener. Voor het wel vastgestelde verlies van Registratie informatie kan de schade vaak wat beter Fysieke vernietiging worden geschat. Allereerst is het verstandig om gegevensVoor het eigenlijk verwijderen van classificatie toe te passen – minimaal op informatie zijn er meerdere alternatieven. Sowieso zijn daar de kosten voor de inDaarbij is er grofweg de keuze tussen het terne afhandeling van de schadegevallen. hoofdlijnen. Dat biedt de mogelijkheid om bijvoorbeeld voor gevoelige gegefysiek vernietigen van de gegevensdraMaar kostbaarder nog zijn de incidenten
PvIB 05-12.indd 6
04-09-12 09:33
Informatiebeveiliging - nummer 5 - 2012
ger en een softwarematige verwijdering van informatie. Wat onbekend is is dat veelal beide vormen zijn toegestaan (zie ook kader 2). Waar ‘vernietiging’ wordt vereist blijkt gedegen ‘wissen’ ook te mo-
gen (de definitie van vernietiging in ISO 15489 luidt namelijk: “Het proces van verwijderen of wissen van archiefbescheiden zonder dat zij weer gereconstrueerd kunnen worden”).
Kader 2: Overheidseisen aan gegevensverwijdering Naast de DNB-eisen voor de financiële sector kent ook de publieke sector een aantal richtlijnen rond bewaartermijnen en – in mindere mate – gegevensverwijdering, deze betreffen:
dragers van staatsgeheimen binnen de eigen organisatie worden hergebruikt. Deze gegevensdragers dienen eerst te zijn gewist. Hergebruik buiten de eigen organisatie is dan niet toegestaan.
Archiefwet 1995: Deze wet bevat algemene richtlijnen voor archivering en vernietiging, waarbij er sterk de nadruk ligt op papieren archieven. Met vernietigingslijsten per overheidsorgaan of -sector wordt specifiek aangegeven welke gegevens moeten worden vernietigd. De wijze van vernietiging is niet bepaald. Voorschrift Informatiebeveiliging Rijksoverheid (en daarbinnen de Code voor Informatiebeveiliging – ISO 27001/2) De eisen aan verwijdering, vernietiging of wissen van gegevens bij de eis “Veilig afvoeren en hergebruiken van apparatuur” zijn relatief algemeen van aard; er wordt niet aangegeven of gegevens(dragers) hardwarematig danwel softwarematig moeten worden verwijderd. Ook niet voor hogere gevoeligheidsklassen.
Wet bescherming persoonsgegevens & gerelateerde CBP-richtlijn Achtergrondstudies en Verkenningen 23: Beveiliging van persoonsgegevens (§ 4.12): Verwijdering van persoonsgegevens (incl. gevoelige gegevens) mag fysiek of softwarematig gebeuren. Er dient een vernietigingsprotocol, ondertekende geheimhoudingsverklaring van 3e partijen en toestemming van de verantwoordelijke te zijn, alsmede te worden vastgelegd welke functionaris, op welk tijdstip, welke gegevens heeft vernietigd en wie daartoe opdracht heeft gegeven. Gegevensdragers mogen de organisatie alleen verlaten als de persoonsgegevens erop zijn vernietigd. Onder toezicht van de verantwoordelijke mag de vernietiging van de persoonsgegevens elders plaatsvinden.
VIR-BI (VIR Bijzondere Informatie voor gerubriceerde overheidsgegevens): Bij het onderwerp “Gegevensdragers veilig afstoten” staat vermeld dat alleen bij het niveau ‘Staatsgeheim Zeer Geheim’ gegevensdragers fysiek moeten worden vernietigd. Alle andere gegevensdragers moeten worden gewist met een door de Beveiligingsambtenaar voor de desbetreffende rubricering goedgekeurde methode. Veelal wordt van vernietiging van ‘Staatsgeheim Geheim’ of hoger gerubriceerde gegevens een proces-verbaal opgemaakt. Met uitzondering van gegevensdragers van ‘Staatsgeheim Zeer Geheim’ gegevens kunnen gegevens-
PvIB 05-12.indd 7
Verder worden in de Wet Politiegegevens en de NEN7510 specifieke eisen in de politie- resp. zorgsector vereist. In de NEN7510 staat in § 9.2.6 Veilig verwijderen of hergebruiken van apparatuur aangegeven: Pas voor het wissen van opslagmedia met gevoelige (medische) gegevens, in plaats van standaardmethoden, fysieke vernietiging toe. Of vernietig, verwijder of overschrijf de informatie met technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen. Zie ook data sanitation standards, bijvoorbeeld van het National Institute of Standard and Technology (NIST) (zie schema 9).
7
Fysieke vernietiging gebeurt door een gegevensdrager te beschadigen met bijvoorbeeld een moker, machinaal te vernietigen (‘shredderen’) of te ‘degaussen’. Bij die laatste optie wordt de gegevensdrager onbruikbaar gemaakt door de moleculaire structuur door middel van sterke magnetische velden te veranderen (vergelijkbaar met de magnetische ‘stip’ bij winkelkassa’s die een bankpas onbruikbaar kan maken). Bij het shredderen zijn er volgens de European Association for Data Media Security (EADMS) verschillende veiligheidsklassen te onderscheiden. De klasse-indeling is gebaseerd op de mate waarin versnipperd wordt, waarbij categorie E volgens deze standaard het veiligst is (zie kader 3). Softwarematige verwijdering Een alternatief voor fysieke vernietiging is de softwarematige gegevensverwijdering. Dat is in elk geval niet het formatteren van een gegevensdrager of het herinstalleren van de besturingssoftware. Want dat biedt geen garantie dat gegevens definitief zijn verwijderd. Er zijn daarentegen vele softwaretools specifiek voor het wissen van gegevens beschikbaar. Hierbij wordt eigenlijk altijd de oorspronkelijke gegevens volgens
Kader 3: Normeringen fysieke vernietiging EADMS 2008 (European Association for Data Media Security) Beschrijft 5 fysieke destructie methodes gebaseerd op 5 risicoclassificeringen, van A t/m E. Het laagste niveau A (doorboren) wordt aangeraden voor particulieren en kleine bedrijven. Niveau E (versnipperen tot 10mm2) voor de meest vertrouwelijke informatie, zoals zeer geheime overheidsinformatie. NIST 800-88 (National Institute of Standards and Technology) ‘Degaussing’ voor gegevens met een minder hoge beveiligingsclassificatie volstaat . ‘Shredderen’ van een medium wordt aangeraden voor de hoogste beveiligingsclassificatie van de gegevens.
04-09-12 09:33
8
Informatiebeveiliging - nummer 5 - 2012
durende het gehele proces van afvoer of overdracht. Hierbij is een onderverdeling te maken in een administratieve compoUS Department of Defense – Sanitizing (DoD) nent en het transport. Standaard van het Amerikaanse Ministerie van Defensie voor de gehele beVoor wat betreft de administratie kan op veiliging van de overheid. Gegevensverwijdering was hier een onderdeel van. basis van de eerder genoemde registratie worden vastgelegd welke hardware HMG Infosec Standard No 5 precies wordt gestuurd naar welke partij. Beveiligingsstandaard voor overheidscomputersystemen in het Verenigd KoDat zal over het algemeen een opkoper, ninkrijk. Kent twee variaties voor gegevensverwijdering: de ‘baseline standard’ een lease/verhuurmaatschappij of vernie(enkele overschrijving) en de ‘enhanced standard’ (drie overschrijvingen). tigingsbedrijf zijn. Van deze partijen kan worden verlangd dat zij na verwerking een BSI (Bundesamt für Sicherheit in der Informationstechnik) rapportage van verwerkte producten en Is een raamwerk voor computerbeveiliging van de Duitse overheid. Stelt dat een vernietigde gegevens verschaffen. Dit is te enkele overschrijving met vaste of willekeurige patronen voldoende is voor normavergelijken met de verstuurde producten, le eisen ten aanzien van bescherming, omdat forensisch laboratorium onderzoek zodat na een verschillenanalyse de regisaangetoond heeft dat dan geen gegevens meer gereconstrueerd kan worden. tratie vervolgens definitief kan worden bijgewerkt. NIST 800-88/ATA secure erase Met betrekking tot het transport zijn er Beveiligingsstandaard van het National Institute of Standards and Technology verschillende soorten van beveiliging te (USA). Praktische handleiding voor hoe om te gaan met gegevensverwijdeonderscheiden. Of een ‘tracking & tracing’ring. Schrijft enkelvoudige overschrijving voor, wat op basis van studies (…) systeem ook echt een betere beveiliging als voldoende genoemd wordt. inhoudt mag worden betwijfeld, maar het zorgt er in elk geval voor dat het transport zelf al dan niet ‘real-time’ gevolgd kan bepaalde patronen overschreven. De vraag is echter of fysieke vernietiging worden. Het aanbod loopt uiteen van eenvoudig te in de toekomst nog acceptabel is. Het is Dan is het in de logistieke wereld zeker downloaden freeware (o.a. Killdisk, Dban) vaak duurder, onder andere doordat wegeen uitzondering om (delen van) het tot en met professionele software voor derverkoopwaarde verloren gaat. Maar gegevensverwijdering (o.a. Blancco). het conflicteert in toenemende mate met transport uit te besteden aan collegavervoerders. Het is belangrijk om software te gebruiken het groeiFysieke vernietiging conflicteert in toenemende Om dit te die veilige gegevensverwijdering garanende belang deert. Diverse internationale instanties van Maatmate met het groeiende belang van Maatschappelijk voorkomen is gebruik hebben normen gedefinieerd om dit te schappelijk Verantwoord Ondernemen (MVO) te maken toetsen (zie kader 4). Deze normen worVerantwoord van een ‘deur tot deur’-service, met de den inmiddels ook volop gehanteerd door Ondernemen (MVO). In de meeste gevalafspraak dat het gehele transport door andere organisaties en helpen om een len wordt de levensduur door fysieke de opdrachtnemer zelf wordt uitgevoerd. goede software te selecteren. vernietiging immers bewust verkort, met Dat houdt de lijnen ook qua aanspraeen vervroegde en potentieel omvangkelijkheid helder. Bij ‘dedicated’ vervoer rijke afvalstroom tot gevolg. Bij een De keuze van gegevensverwijdering wordt een transport exclusief voor een softwarematige verwijdering kan de Welke wijze van gegevensvernietiging het opdrachtgever uitgevoerd, waarbij er dus hardware worden hergebruikt, wat over beste is, zal per organisatie verschillen. geen verwisseling van zendingen van het algemeen Qua betrouwDe overtreffende trap van veilig transport beter past bij de andere verladers kan plaatsvinden. Door baarheid hoeft er voertuigen vervolgens te verzegelen kan MVO-doelstelin elk geval geen is een gegevensvrij transport de veiligheid gedurende transport verder lingen. Zeker verschil te zitten verhoogd worden. als een combinatie wordt gemaakt in softwarematige en fysieke vernietiging. Maar de overtreffende trap van veilig met het opzetten van bijvoorbeeld een Voor veel organisaties speelt mee dat er transport is een gegevensvrij transport. In donatieprogramma aan goede doelen in gevoelsmatig behoefte is om te kunnen dat geval zijn de gegeven dus al verwijNederland of ontwikkelingslanden. zien dat een gegevensdrager vernietigd is. derd voordat producten worden vervoerd. Waardoor vaak gekozen wordt voor ‘shredBijkomende voordelen zijn dat de impact deren’. Bij een softwarematige verwijdeOverdracht van hardware van een eventueel incident veel kleiner is ring is dit bewijs veel minder duidelijk, Volgens het DNB-toetsingskader dient de en dat de controle op de beveiligingsproal worden ook wel garantiecertificaten organisatie ervan overtuigd te zijn dat er cedures hierdoor eenvoudiger wordt. afgegeven. geen gegevens verloren kunnen gaan geKader 4: Normeringen softwarematige verwijdering
PvIB 05-12.indd 8
04-09-12 09:33
Informatiebeveiliging - nummer 5 - 2012
nagementniveau toenemen. Onder andere als gevolg van groter wordende financiële en PR-consequenties van incidenten, wordt wel veel aandacht wordt besteed aan het beveiligen van gegevens(dragers) binnen de organisatie. Het risico is dat gegevensdragers met gevoelige informatie ongewenst in handen komen van derden wanneer ze heringezet of afgestoten worden. Om dit te voorkomen heeft het correct registreren en up-to-date houden van alle gegevensdragers en type gegevens daarop de hoogste prioriteit. Dit geldt ook voor gegevensdragers buiten servers, storagenetwerken en werkplekapparatuur, zoals printers en privédevices. En ongeacht de wijze waarop de betreffende hardware is gefinancierd of door welke partij de apparatuur wordt Aansprakelijkheid beheerd. Organisaties moeten dus In veel gevallen zullen er externe zowel de registratie van hun hardware dienstverleners ingezet worden in de als van de (gevoelige) gegevens daarop operationele uitvoering van een over– eindelijk eens – op orde brengen. drachtsproces. Naast duidelijke afspraken De beste wijze van gegevensvernietiover dat proces is het belangrijk om ook ging verschilt per organisatie, softwarede aansprakelijkheid onderwerp in het matige gegevensverwijdering kan even gesprek over de leveringsvoorwaarden te betrouwbaar zijn als het vernietigen maken. Zoals we eerder gezien hebben van gegevensdragers zelf. Waar ‘verniekan de schade bij een incident behoorlijk tiging’ in richtlijnen wordt vereist blijkt in de papieren lopen en dan is het goed grondig ‘wissen’ ook te mogen. Het om vantevoren te weten in welke gevallen en voor welke bedragen een externe partij hergebruik van hardware is tenslotte te prefereren vanuit het oogpunt van aansprakelijk gesteld kan worden. efficiëntie en Maatschappelijk VerantDaarbij is het goed om te weten dat een woord transHet correct registreren en up-to-date houden Onderporteur nemen. normaal van alle gegevensdragers en type gegevens Ook al gesproken daarop heeft de hoogste prioriteit maken onder de alle mobiele apparatuur en BYOD het er Nederlandse Algemene Vervoers Condiniet eenvoudiger op, het is te allen tijde ties (AVC) of de Europese CMR-condities belangrijk om controle te hebben over werkt. Daarin wordt de aansprakelijkheid de bewegingen van uw hardware en de gemaximeerd tot een bedrag afhankelijk gehele levenscyclus van gegevensdravan het daadwerkelijk gewicht van een gers en (gevoelige) gegevens. Daarvoor zending. Een additionele transportverzijn heldere afspraken met externe zekering geeft dekking op basis van de dienstverleners essentieel. Denk hierbij waarde van de producten. De schade als gevolg van gegevensverlies is meestal niet aan het vraagstuk van aansprakelijkheid bij incidenten, een zorgvuldige gedekt. registratie van hardware die vertrekt (inclusief correcte transportdocumenConclusie ten) en controle van de rapportages Het bewustzijn van gegevensrisico’s over de verwerking. aan het eind van de levenscyclus van Ons advies: niet(s) vergeten! gegevens of hardware moet op maDocumenten Het proces van afvoer of overdracht kan eigenlijk pas waterdicht zijn als ook de overdrachtsdocumenten op een juiste wijze zijn opgesteld. Bij transport kan in principe alleen met een vrachtbrief formeel worden geregeld wat de inhoud van een zending is. Aangeven van alleen het palletaantal is dan niet voldoende. Om disputen en daarmee afwijkingen in de registratie te voorkomen, is het cruciaal om precies te omschrijven welke gegevensdragers overgedragen worden aan een transporteur. Daarmee kan ook formeel worden vastgelegd over welke producten na verwerking precies teruggerapporteerd moeten worden.
PvIB 05-12.indd 9
9
Referenties [CBP2001] CBP: Achtergrondstudies en Verkenningen 23: Beveiliging van persoonsgegevens http://www.cbpweb.nl/ downloads_av/av23.pdf [Cisco2012] http://www.cisco.com/ web/NL/news/berichten2012/news_ persberichten_031312.html [DNB2012] Toetsingskader Informatiebeveiliging voor DNB thema-onderzoek 2012, met download “Toetsingskader Security Management 2012”: www.toezicht.dnb.nl/3/50-203304.jsp [ISO2001] ISO 15489: Informatie en documentatie - Informatie- en Archiefmanagement http://www.nen.nl/ web/Actueel/NENISO-1548912001-nl.htm; gerelateerd daaraan: • ISO 19005: Document management – Electronic document file format for long-term preservation • NEN 2082:2008 – Eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur [KPMG2010] Data loss barometer (www.datalossbarometer.com), November 2010 [NAID2012] Data disposal attitudes and practices (2010 – 2011) (http://www.naidonline.org/forms/ whitepaper/417_NAID-Europe_Research_ Summary.pdf , National Association for Information Destruction (NAID) Europe, Februari 2012 [Ponemon12] 2011 Cost of data breach study (UK), Ponemon Institute, maart 2012
Links www.blancco.com www.cpbweb.nl www.datalossdb.org www.eadms.org www.logistiek.nl www.mvonederland.nl www.security.nl www.sva.nl www.toezicht.dnb.nl
04-09-12 09:33
