Bijna alle bedrijfsdata wordt elektronisch opgeslagen en gearchiveerd. Meer dan de helft van de bedrijven treft echter geen goede maatregelen om zich te beschermen tegen misbruik van data die op afgeschreven en ‘schoongemaakte' computerschijven achterblijft. Beveiligingsspecialist Henrik Andersen belicht in deze opinie niet alleen het belang van het toepassen van een gedegen 'data wiping' functionaliteit, maar geeft hij ook aan welke eigenschappen deze functie moet bezitten om werkelijk effectief te zijn.
Het is geen schokkend nieuws dat vandaag de dag in het bedrijfsleven bijna 98 procent van de bedrijfsdata elektronisch opgeslagen wordt. Miljoenen euro's worden gespendeerd aan onder andere it-infrastructuur, opslagbeleid, netwerkbeveiliging en data privacy. Het is echter verbazingwekkend dat meer dan de helft van deze bedrijven niet beschikt over een fatsoenlijk systeem om zich te beschermen tegen het omgekeerde: wat gebeurt er als de informatie die zij niet meer nodig hebben na verwijdering van het systeem in verkeerde handen belandt?
Vaak denken mensen nog dat met een simpele druk op de delete-knop het betreffende bestand voorgoed verdwenen is. Helaas is dit niet het geval, en kan iemand met een beetje verstand van computers de informatie in een mum van tijd weer tevoorschijn halen. Als bedrijf moet je er natuurlijk niet aan denken wat er kan gebeuren wanneer geheime bedrijfsgegevens op straat komen te liggen.
Niets geleerd
Schandalen en scherpere regels leiden niet tot betere bescherming van data. Te weinig Nederlandse organisaties beschikken over een gedegen systeem om vertrouwelijke informatie permanent van computers te wissen voor deze bij het grofvuil worden gezet. Bedrijven brengen zichzelf daarmee in een kwetsbare positie. Wanneer vertrouwelijke data onbedoeld openbaar wordt of in verkeerde handen belandt, kunnen ondernemers hun geloofwaardigheid, klantvertrouwen en zelfs omzet verliezen.
Ook consumenten maken zich zorgen over (de bescherming van) hun privacy. Eind februari nog wees D66-leider Alexander Pechtold de Nederlandse burger op de onzorgvuldige behandeling van persoonlijke gegevens door bedrijven en overheden. Hij stelde zelfs een burgerrechtenbeweging voor, waarbij mensen inspraak krijgen bij het tot stand komen van privacywetten.
De zaak Tonino staat bij veel mensen nog vers in het geheugen. De oud-officier van justitie raakte in 2004 in opspraak toen er gevoelige, zakelijke en persoonlijke informatie op straat kwam te liggen nadat hij zijn computer aan straat had gezet. Nieuwssite Nu.nl wond er destijds geen doekjes om: "De computer had eigenlijk met mokerslagen door het Openbaar Ministerie moeten worden vernietigd."
Deze beruchte zaak staat niet op zichzelf. Met de regelmaat van de klok horen we over klantgegevens die op straat zijn beland, hoe vertrouwelijke bedrijfsinformatie in verkeerde handen terecht is gekomen en hoe mensen of bedrijven in ernstige verlegenheid zijn gebracht door onbedoeld publiek geworden geheimen. Recentelijk nog dook er een compact disc vol met vertrouwelijke gegevens van het Britse Ministerie van Binnenlandse Zaken op, nadat hij per toeval werd ontdekt toen een laptop ter reparatie werd binnengebracht bij een computerwinkel.
Voorkomen
Het aan gruzelementen slaan van de computer is een manier om dit soort leed te voorkomen. Er bestaan echter ook professionelere en minder drastische middelen om informatie definitief van een apparaat te wissen. Sterker nog, met de aangescherpte regelgeving op het gebied van informatiebeveiliging zouden deze methoden al lang deel uit moeten maken van databeveiligingssystemen van Nederlandse organisaties.
Industriële normen, voorschriften en overheidsbepalingen zoals SOX, HIPPA, PCI, FACTO en ISO dwingen bedrijven meer aandacht te besteden aan de betrouwbaarheid van de externe verslaggevingen én hun data en die van hun klanten te beschermen. Gedegen programma's om data te wissen bij het lozen van apparatuur kunnen een sterke bijdrage leveren aan het compliance-beleid van organisaties.
Een professionele data-wisfunctie overschrijft, zonder hamerslagen, alle toegankelijke locaties op de harde schijf, waardoor de gewiste informatie zelfs door de beste professional niet meer terug te halen is. Door samenwerking met een bedrijf dat gespecialiseerd is in datavernietiging krijgen ondernemingen een stuk meer gemoedsrust. Vertrouwelijke bedrijfsinformatie blijft waar het hoort: binnen de organisatie.
Genezen
Vandaag de dag is er een scala aan commerciële en gratis datawisprogramma's beschikbaar. Welk product een bedrijf ook kiest, de belangrijkste functies van een wisprogramma zijn het beperken van veiligheidsproblemen, het voldoen aan data-privacy of databeveiligingsbeleid en het beschermen van het merk of de reputatie.
Om er zeker van te zijn dat het meest geschikte product gekozen wordt, moet een bedrijf bij de aanschaf van een datawisprogramma zoeken naar een product dat ten eerste de data werkelijk wist. De enige manier om er zeker van te zijn dat data echt verdwijnt, is door het te overschrijven. Door alleen de toegang naar de data te verwijderen zal de gemiddelde computergebruiker het betreffende bestand niet meer terug kunnen vinden. Een professional echter zal gegevens die alleen gedelete of geformatteerd zijn probleemloos weer op weten te halen.
Verder moeten álle gegevens gewist worden. Er zijn op het moment producten beschikbaar waarmee klanten alleen geselecteerde bestanden, mappen en schijfruimte kunnen wissen. Een product met een dergelijke ‘gedeeltelijke' wisfunctie geeft organisaties niet de zekerheid dat bepaalde informatie niet alsnog in verkeerde handen belandt.
Gecertificeerd
Een minimale eis is ook dat het wisprogramma gecertificeerd is. Het product moet door autoriteiten getest zijn en voldoen aan de gestelde eisen. De meeste van de momenteel beschikbare wisfuncties zijn niet gecertificeerd. Daardoor bestaat de kans dat het product niet doet wat het moet doen. Hierdoor kunnen er na gebruik alsnog sporen van informatie achterblijven.
De oplossing moet daarnaast flexibel zijn. Weinig bedrijven hebben zin om hun complete it-infrastructuur te veranderen voor een datawisprogramma. Zoek daarom een product dat in elk systeem past.
Rapportages die bevestigen of verifiëren dat wat moest gebeuren ook werkelijk gedaan is, zijn ook een must. In de rapportages moet precies vermeld worden wat er precies gewist is. Een goed rapportagesysteem geeft een exact overzicht van wat er gedaan is, zodat een ondernemer altijd naar het rapport kan verwijzen.
Tot slot moet de software voldoen aan de veiligheidseisen. Kies een product met een officiële autorisatie, zodat alleen bepaalde personen binnen de organisatie de applicatie kunnen gebruiken.
In het huidige elektronische informatietijdperk, waarbij apparatuur sneller dan ooit veroudert, zijn instrumenten om data te wissen geen luxeproduct of leuk ‘hebbedingetje'. Wisprogramma's zijn binnen zowel grote als kleine organisaties cruciaal, omdat ze hun helpen tegemoet te komen aan de regelgeving in het huidige bedrijfsleven. Datawisfuncties moeten deel uitmaken van het gehele databeveiligingssysteem en de bedrijfsplannen. Wanneer een organisatie gewapend is met de juiste informatie en het juiste product, is het veilig weggooien van informatie en apparatuur helemaal niet zo ingewikkeld als het lijkt. En slaan we met de hamer enkel nog spijkers in de muur.
Henrik Andersen, Kroll Ontrack
Onmisbaar
Om er zeker van te zijn dat gevoelige informatie niet in verkeerde handen kan belanden, zijn gedegen datawisvoorzieningen onmisbaar. Volgens een onderzoek dat de PGP Corporatie samen met het Ponemon Instituut gehouden heeft onder 35 organisaties in diverse branches, kost een datalek een bedrijf gemiddeld 4,8 miljoen dollar. Samen met de in het artikel genoemde andere mogelijke nare consequenties zou dit feit organisaties de ogen toch moeten openen.
Goed artikel! Als bedrijf zijnde kan je wel alles met dure firewalls dichtgooien, maar vaak is er een andere simpele manier om achter deze gegevens te komen. Om data terug te halen.
Consumenten worden ook steeds het doelwit van criminele organisaties. Niemand waarschuwd hun. Er moet een standaardpakket komen van beveiliging van consumenten en niet alleen commerciele niet werkende spyware of antivirusproducten. Ik heb mijn netwerk (3 pc’s) laten beveiligen door specialist, http://www.tallwall.nl. Nu kan ik rustig slapen 🙂
elektronische informatietijdperk is lang begonnen.. maar niet denk aan de gevaren.