Terug naar blogoverzicht

Blog: Zwitserse bank of een touwtje uit de voordeur?

 

Auteur: Martin Zantingh, Product Manager

De rol van data in organisaties en bedrijven neemt de afgelopen jaren sterk toe. De waarde van deze informatie neemt daardoor vanzelfsprekend ook toe. Maar hoe zit het met de beveiliging van jouw data? Is die ook meegegroeid? In dit blog lees je meer over de mogelijkheden om waardevolle data goed te beveiligen tegen kwaadwillenden.

Leefbaarheid en vertrouwen

Eind 2016 hield Jan Terlouw een pleidooi dat velen in het hart raakte. Hij riep op tot een leefbare wereld, waarin we zorgen voor de aarde en vertrouwen hebben in elkaar. Er is natuurlijk geen zinnig mens ter wereld die dat niet zou willen, en meer en meer komt het besef dat we inderdaad moeten zorgen voor de aarde. Doen we dat niet, dan neemt de leefbaarheid van onze wereld in rap tempo af. De wetenschap is het daar voor het grootste deel wel over eens en ik denk dat wij daarin ook op ons gezonde verstand kunnen vertrouwen.

Wanneer het op vertrouwen in elkaar aankomt, wordt het lastiger. Dat vertrouwen is in de loop der jaren namelijk steeds geringer geworden. Het touwtje uit de voordeur, waar Jan Terlouw zo naar terugverlangt, is vrijwel overal verdwenen. Ik kan me herinneren dat wij thuis iets dergelijks hadden, waarmee iedereen – ook zonder sleutel – zich op ieder moment toegang tot mijn ouderlijk huis kon verschaffen. Blijkbaar kon dat rond 1980 nog, het is voor zover ik weet nooit fout gegaan. En het was niet eens op het platteland.

De “Zwitserse methode”

Ik las enige tijd geleden een column in een regionaal medium, waarin beschreven werd dat op het Zwitserse platteland het nog steeds gebruikelijk is deuren niet af te sluiten. Niet overdag, wanneer men op het werk is, en ook niet in de vakanties. De deuren blijven daar naar het schijnt altijd open. Helaas, dat vertrouwen past niet meer in onze samenleving; het zou waarschijnlijk zeer snel beschaamd worden.

Ook in Zwitserland werkt dit niet overal zo. Wie het heeft over Zwitserland denkt vermoedelijk aan de prachtige natuur, de bergen, maar ook aan banken. De “Zwitserse bankrekening” is bijzonder lang een zeer veilige plek voor tegoeden geweest. Daar is er natuurlijk ook sprake van vertrouwen in elkaar, maar dat vertrouwen komt niet vanzelf. Niet iedereen die wil heeft toegang tot gegevens over of tegoeden op de rekening; men moet aantoonbaar geautoriseerd zijn. Daarnaast zijn de gegevens en tegoeden zwaar fysiek beveiligd in een kluis opgeslagen; men kan er niet zomaar even binnenlopen.

Hoe ga jij om met je bezittingen?

Hoe zit dat eigenlijk met je eigen bezittingen? Mag iedereen daar zomaar bij komen en mag iedereen zomaar rondneuzen? Waarschijnlijk is dat niet de bedoeling. Vermoedelijk heb je, net als ik, geen touwtje uit de voordeur hangen. Je wil graag zelf bepalen met wie je welke informatie deelt – of het nu vertrouwelijk is of niet.

Binnen een bedrijf geldt hetzelfde principe. Toegang tot fysieke bezittingen is vaak al geregeld. Er is een toegangscontrole ingericht. Middels processen en procedures wordt geregistreerd hoe goederen het bedrijf zijn binnengekomen en hoe ze het bedrijf weer verlaten. Veelal wordt daarbij ook vastgelegd wie verantwoordelijk dan wel uitvoerend betrokken is geweest bij een transactie. Er zijn echter bezittingen waarvoor dat waarschijnlijk nog niet geregeld is. Het gaat in principe niet om tastbare bezittingen. De waarde die erin schuilt is echter groot en neemt alleen maar toe. Ik doel hier uiteraard op de informatie die elektronisch in het bedrijf aanwezig is, de data.

Met de toename van de hoeveelheid gegevens die beschikbaar is en komt in een bedrijf, neemt ook de waarde toe. Je bent vast bekend met Big Data en met de waarde die daarin schuilt. En net zoals je nadenkt over de beveiliging van fysieke bezittingen, moet je ook nadenken over de beveiliging van de digitale bezittingen van een organisatie. Gebruik je de gegevens niet als bedrijfsmiddel, maar wordt wel vertrouwelijke informatie vastgelegd? Ook dan moet je beveiligen.

Toegangsbeveiliging

Het beveiligen van de toegang tot de gegevens is een goede eerste stap. Binnen een bedrijf mogen vast alleen geselecteerde gebruikers toegang hebben tot bepaalde gegevens. Hoe wordt dat gecontroleerd? Op welke niveaus wordt dat geregeld? Als iemand eenmaal toegang heeft tot het (interne) netwerk, is er daarmee dan ook toegang tot alle gegevens? Het antwoord is meestal dat dit niet zo is. Maar hoe zeker ben je daarvan? Kan aangetoond worden wie op welk moment toegang heeft gehad tot een data(base)? Het bijhouden van een zogenaamde audit-trail kan daarbij helpen. Voor een betrouwbaar beeld moet natuurlijk wel gezorgd worden dat die audit-trail altijd gemaakt wordt en dat deze niet gemanipuleerd kan worden.

Data at rest

En wat nu als de gegevens uit de database – al dan niet bedoeld – gekopieerd worden? Er wordt bijvoorbeeld een back-up gemaakt die in handen valt van kwaadwillenden. Er zijn voorbeelden genoeg waarbij dat gebeurd is. Wist je dat deze bestanden vrij eenvoudig te lezen zijn en dat daarvoor geen hele speciale gereedschappen nodig zijn? Wil je de gegevens echt beveiligen, dan moet deze “data at rest” versleuteld worden. Je stopt de gegevens daarmee als het ware in een virtuele kluis. Zonder de juiste sleutels is er geen toegang tot de inhoud van de kluis – precies wat nodig is om goed om te gaan met vertrouwelijke en waardevolle gegevens.

Hoe kom ik aan een kluis?

Data wordt natuurlijk via de binnen het bedrijf gebruikte applicaties in databases vastgelegd. Wat is nu de beste plek en de beste strategie om de gegevens te versleutelen en te ontsleutelen? Moet alles ineens gedaan worden, met lange doorlooptijden en flinke belasting van de systemen tot gevolg? Doet de applicatie die gebruik maakt van de data het werk? Of kan de database het voor je regelen? Eén antwoord is niet mogelijk. Het hangt af van de omvang en de aard van de gegevens, en van de gebruikte software. Diverse database-systemen kunnen de versleuteling zelf uitvoeren. Er wordt dan vaak gesproken over Transparent Data Encryption. Het is transparant omdat de gebruiker van de gegevens er niets van merkt en niets voor hoeft te doen. Ook voor het bijhouden van een betrouwbaar logboek (de ‘audit-trail’) zijn verschillende oplossingen beschikbaar.

Simpelweg vertrouwen: het kan niet meer

Hoe graag we ook zouden willen, we komen niet meer weg met het simpelweg vertrouwen hebben in elkaar wanneer het gaat om de toegang tot onze vertrouwelijke en waardevolle informatie. Maar alleen het afschermen van de gegevens is niet voldoende. Versleuteling helpt bij het voorkomen van gegevenslekken of ongeoorloofde toegang van ‘data at rest’. Een goede audit-trail zorgt voor registratie van ongeoorloofde toegang op andere momenten en biedt de mogelijkheid dat ook te detecteren. Met de combinatie van beide wordt de (digitale) deur goed afgesloten.

Artikelen per onderwerp
Powered by