Onachtzaamheid
Opnieuw komt gevoelige informatie zomaar in het nieuws. We leggen de nadruk op ‘opnieuw’. Er gaat geen week voorbij of we horen over verlies of diefstal van gegevens, vaak met een privacy of veiligheidslabel. Voorbeelden zijn er voldoende; laten we er eens een paar noemen (in chronologische volgorde, en zeker niet volledig):
* 8 oktober 2004: Officier van Justitie Joost Tonino zet zijn defecte privé computer bij het grofvuil omdat deze het door een virus niet meer zou doen. Op de computer, door een taxichauffeur toegespeeld aan Peter R. de Vries, stond zeer gevoelige informatie over de relatie tussen de georganiseerde misdaad en de vastgoedsector, de beursgang van internetprovider WorldOnline, de effectenfraude van Cor Boonstra, de gewelddadigheden tussen twee Amsterdamse taxibedrijven en de verdachten in de Clickfondszaak;
* Februari, april en mei 2005: respectievelijk de Bank Of America, Ameritrade en Times Warner raken back-up tapes kwijt, met privacy-gevoelige gegevens van honderdduizenden klanten;
* 8 december 2005: kwijtraken van een aantal AIVD-diskettes met gegevens over lokale bestuurders, PvdA-coryfeeën, Pim Fortuyn, infiltraties in milieugroeperingen, radicaal linkse groeperingen e.d. De AIVD spreekt van ‘staatsgeheimen’, maar heeft de diskettes blijkbaar niet beveiligd;
* 28 december 2005: Marriott International Inc. raakt backup tapes kwijt met persoonlijke informatie van 206.000 klanten, eigenaars en partners. Adressen, creditcard nummers, SOFI-nummers liepen het risico openbaar te worden. Hetzelfde overkwam ABN AMRO ongeveer tegelijkertijd;
* 20 januari 2006: een memorystick met geheime en vertrouwelijke documenten daarop wordt door een medewerker van de MIVD verloren, achtergelaten of kwijt geraakt;
* Januari 2006: in 2005 zijn meer dan 10.000 notebooks, met allerlei informatie daarop achtergebleven in Londense taxi’s;
* 1 februari 2006: een kapitein van de landmacht laat een memorystick met geheime informatie over de Nederlandse militairen in Afghanistan in een huurauto liggen . De vinders hebben de stick inmiddels bij de eigenaar terugbezorgd, maar de gegevens eerst overgezet op hun eigen computer.
Het rijtje kan nog langer worden, maar de bedoeling ervan zal duidelijk zijn. Elke dag gaat door onachtzaamheid zeer veel informatie, die vertrouwelijk had moeten blijven, verloren. Hoe mobieler de opslagmedia worden, hoe groter de kans is dat ze verloren gaan. Want de gebruikers ervan gaan er niet mee om, alsof het een waardevol iets is, maar zo routinematig dat geen enkele regel of procedure bestand is tegen de onvoorzichtigheid die de gebruikers eigen is. Dat gebruikers niet voorzichtig zijn met gegevens heeft voor een klein deel te maken met het feit dat ze zich nauwelijks bewust zijn van de waarde die de gegevens die ze verliezen hebben voor derden.
Het heeft veel meer van doen met het feit dat zo’n mobiel apparaat een ‘commodity’ is, die voor een relatief laag bedrag kan worden vervangen. Wat echter veel onvergeeflijker is dat de organisaties waar deze mensen werken geen rekening houden met deze onachtzaamheid en met deze onvoorzichtigheid. In de meeste hierboven genoemde gevallen was geen enkele sprake van beveiliging. Er was geen sprake van encryptie. Er was geen sprake van hardwarebeveiliging. Er was zelfs geen sprake van identificatie: de mobiele sticks, laptops, CD’s die jaarlijks verloren gaan zijn veelal niet voorzien van identificatiegegevens van de eigenaar. Op die manier moet een vinder de informatie in om te zien van wie de betreffende gegevens zijn.
Mobiele opslagmedia zijn gevaarlijk daar waar het gaat om de veilige opslag, archivering en beschikbaarstelling van informatie. Het mag een ‘commodity’ geworden zijn, het ontslaat organisaties er niet van ze zodanig te beveiligen dat verlies van het apparaat geen verlies van gegevens betekent. Dat betekent encryptie zonder inbreng van de medewerker. Dat impliceert dat bij opslag op een opslagmedium altijd de informatie wordt beveiligd, zonder dat de gebruiker dit kan beïnvloeden. Het betekent dat er slechts mobiele opslagmedia mogen worden gebruikt die door de organisatie zelf ter beschikking worden gesteld. Het betekent ook dat het onmogelijk moet worden gemaakt om privé-USB-sticks op het werk te gebruiken. Het wordt tijd dat organisaties inzien dat beveiliging van informatie ook betekent dat de tot nu toe bestaande ‘encryptie-vrijheid’, zeker daar waar het mobiele gegevensdragers betreft, ten einde is.
Februari-maart 2006