Start today, secure tomorrow.

Waarismijndata.nl

By Barry Oct 07, 2013

Afgelopen maanden heeft de krant bol gestaan van de zogenaamde PRISM affaire. Hierbij is veel bekend geworden over geheime diensten: ze lijken misbruik te maken van technologie om hun werk te doen. NRC Next heeft in samenwerking met de hackerspace Randomdata onderzoek gedaan naar welke Nederlandse bedrijven en instellingen hier last van zouden kunnen hebben op het gebied van email. Denk hierbij aan het gebruik van email cloud diensten als Office 365, Google mail en vergelijkbare diensten waar persoonlijk en gevoelige informatie van Nederland wordt verwerkt.

Het risico tweezijdig:

  • Informatie (en de bijbehorende systemen waarop e.e.a. zich bevindt) die door een Amerikaanse partij verwerkt wordt, kan onder druk van Amerikaanse wetten gevorderd worden.
  • Informatie verstuurd langs Amerikaanse “internet snelwegen” kan onderschept worden: hier is een groot vermoeden dat deze communicatie paden in de gaten worden gehouden.

Inmiddels heeft NRC Next aangetoond  dat er genoeg Nederlandse partijen zijn die (gevoelige) informatie verwerken met deze risico’s via deze cloud diensten. Dit onderzoek is gefocust op email, maar vergeet niet dat diensten als Dropbox, MS Office 365, Asure, Skydrive, etc.
Veelal is er geen bewustzijn bij de onderzochte partijen en de risico’s worden onderschat, ook ondanks maatregelen als de Wet Bescherming Persoonsgegevens.

De juiste vragen worden door (nog) niet gesteld door de klanten van deze bedrijven, omdat er speciale kennis voor vereist is.
Toch is het verstandig om als bedrijf vooraf hierover na te denken. Als Security Officer zou je vragen moeten stellen als:

  • Wat voor informatie verwerken we?
  • Onder welke wet(ten) valt de de informatie die wij verwerken?
  • Waar wordt onze informatie verwerkt en opgeslagen?
  • Wat gebeurt er als er informatie gelekt wordt?
  • Zou ik mijn eigen persoonlijke geheimen onder willen brengen bij onze organisatie?

Om de laatste vraag deels te beantwoorden heeft Randomdata een programma gemaakt om snel te kunnen zien waar de email op het internet naar toe gestuurd wordt. Door middel van GEO-IP koppeling is het mogelijk om te zien waar deze servers zouden moeten staan. Onderaan dit bericht kan jezelf controleren waar jouw eigen mailserver staat.

Natuurlijk zijn er ook oplossingen voor dit probleem, zowel technisch als functioneel.
Echter het stellen van de juiste vragen bij en het beoordelen van een cloud dienst blijft een ‘must’:

  • Cloud, cloud of cloud? Voor welke variant ga je? Natuurlijk is het mooi om al je mail onder te brengen in een cloud van bijv. Microsoft of Google. Er zijn vele redenen voor te verzinnen, maar is het een sprookje of is het ook echt waar wat er verkocht wordt? En wat zijn de consequenties?
  • Een Private Cloud: het intern hosten van informatie garandeert dat er geen fysieke bemoeienis van buitenaf is: als je er niet bij kunt, dan kan informatie ook niet lekken, toch? Maar: hoe zit het met de toegangs paden naar de informatie in je organisatie? Zouden die ook niet stiekem bewandeld kunnen worden door een geheime dienst (zoals bij Belgacom afgelopen weken aan het licht is gekomen)?
  • Een andere manier is het ‘versleutelen’ (encrypten) van je data, maar vraag jezelf hierbij wel af of dit op een goede manier gebeurt (wordt de veiligheid bijvoorbeeld lang genoeg gewaarborgd?)
  • Moet bepaalde informatie daadwerkelijk wel verwerkt worden? Of kan je ook prima af zonder deze informatie?

Zoals je ziet, veel vragen en veel flexibiliteit aan alle kanten. De oplossing? Vragen stellen… aan je leveranciers en aan jezelf.

Vraag bijvoorbeeld eens waar je informatie wordt opgeslagen?
En of er Amerikaanse partijen betrokken zijn het beheer van de diensten?
Welke informatie wordt er allemaal opgeslagen en hoelang?
Het zijn slechts enkele vragen en de antwoorden kunnen technisch van aard zijn, vraag dan door om uiteindelijk je antwoord te krijgen wat duidelijkheid creëert.
Mochten de antwoord “vaag” en onduidelijk zijn, dan kan er ook natuurlijk worden gekozen om een onafhankelijk partij het te laten onderzoeken, zoals The S-Unit

Maar begin eerst hieronder maar eens met het controleren waar je email staat

Security