Op verzoek zal ik de belangrijkste punten uit die les hier uitleggen. De les is nadrukkelijk niet bedoeld om volledig, uitputtend en diepgaand te zijn, maar juist om een algemeen inzicht te geven in het hoe en waarom. Desondanks zijn tips, opmerkingen en aanvullingen uiteraard van harte welkom.
Wat is informatiebeveiliging
Hele pagina's zijn volgeschreven met definities van Informatiebeveiliging, maar om het herkenbaar voor archivarissen te maken vat ik het samen in drie punten:
- Wel toegang krijgen of geven tot informatie waar men wel recht op heeft
- Geen toegang krijgen of geven tot informatie waar men geen recht op heeft
- Zorgen dat informatie juist en volledig is.
- Zorgen voor procedures voor wanneer de eerste drie punten mislukken.
Deze punten gelden niet alleen voor de digitale wereld, maar zullen elke archivaris bekend voorkomen uit de papieren situatie. Eigenlijk geldt dat voor alles op het gebied van informatiebeveiliging, alleen in de digitale wereld is het nog makkelijker om ongemerkt fouten te maken. Dat wil zeggen: ongemerkt, totdat het fout is gegaan. Van informatie die je ooit digitaal beschikbaar hebt gemaakt verwachten mensen dat het 24x7 beschikbaar is (punt 1). Eenmaal op Internet belandde informatie die daar niet hoorde is er nauwelijks meer af te krijgen (punt 2), en door de snelheid waarmee online informatie gedeeld en overgenomen wordt, blijkt het heel moeilijk om foute of onvolledige informatie te rectificeren (punt 3).
Waarom informatiebeveiliging?
Het eerste punt, blijvend toegang geven tot informatie waar men recht op heeft, is iets waar de meeste medewerkers hopelijk nauwelijks iets mee te maken krijgen. Wanneer informatie digitaal beschikbaar was, maar om één of andere reden dat nu niet meer is, houdt voor de meeste archiefmedewerkers de verantwoordelijkheid op bij het melding maken.
Het tweede en derde punt zijn des te belangrijker: zorgen dat informatie alleen beschikbaar is voor de mensen die er recht op hebben, en dat informatie juist en volledig is. Omdat je het makkelijkst leert van fouten die anderen al gemaakt hebben, bestaat dit deel uit vier voorbeelden uit de afgelopen jaren die het nieuws hebben gehaald. Tijdens de les is steeds de vraag gesteld: Waarom ging het mis, en wat had de betrokken persoon dan wel moeten doen.
Voorbeeld 1: Officier van Justitie Tonino
In 2004 raakte de thuis-PC van Officier van Justitie Tonino besmet met een computervirus. Hij plaatste de PC aan de straatkant, waar een taxichauffeur hem oppikte en afleverde bij de misdaadverslaggever Peter R. de Vries. Na onderzoek bleek (volgens De Vries) dat de PC nog vol stond met gegevens over de onderzoeken waar Tonino bij betrokken was, en met dubieus pornografisch materiaal.
De fout (los van het feit dat je een PC niet aan de straatkant moet zetten maar moet inleveren bij een afvalverwerkingspunt): de harde schijf van de PC was niet verwijderd en de informatie erop was niet vernietigd. Een harde schijf met zoveel gevoelige informatie moet professioneel vernietigd worden, of moet in ieder geval professioneel ontdaan worden van de informatie.
Voorbeeld 2: USB-stick achtergelaten in een huurauto
Het tweede voorbeeld leidde tot verlegenheid bij het Ministerie van Buitenlandse Zaken: in 2007 vergat een medewerker van de Nederlandse ambassade in Polen een USB-stick met gevoelige informatie in het handschoenkastje van zijn huurauto. Toegangscodes, namen, adressen, foto's en serienummers van wapens waren onversleuteld opgeslagen op de stick, en dus voor de vinder zonder probleem leesbaar.
De fouten: de USB-stick is vergeten, en de informatie stond onversleuteld op de stick. De verplichting om de stick altijd bij je te houden kan het eerste deels oplossen, maar beschermd nog niet tegen verlies of diefstal. Wanneer een informatiedrager gebruikt wordt om gevoelige informatie te transporteren moet deze altijd versleuteld worden opgeslagen (bijvoorbeeld met TrueCrypt, ook thuis te gebruiken). Dat biedt weliswaar geen 100% garantie, maar mits het wachtwoord en de keyfile(s) lang en moeilijk genoeg zijn, maakt je het de vinder wel bijzonder moeilijk.
Voorbeeld 3: Identiteitsdiefstal
Voor zakenman Ron Kowsoleea begon in 1994 een nachtmerrie die nog altijd voortduurt: een crimineel gaf bij zijn aanhouding de identiteit van Kowsoleea op. Sindsdien zit Kowsoleea´s naam in het systeem en wordt hij meerdere malen aangehouden voor overtredingen en misdaden die niet door hem zijn gepleegd. Ondanks dat het bij Justitie bekend is dat Kowsoleea´s identiteit misbruikt wordt, en ondanks dat de crimineel de identiteisfraude heeft bekend, blijkt het niet mogelijk te zijn om Kowsoleea´s naam uit de verschillende gekoppelde computersystemen van Justitie te verwijderen. Met als gevolg dat zakendoen of zelfs maar gewoon reizen voor Kowsoleea onmogelijk is.
Op de vraag wat hier fout ging en wat hij had moeten doen, is het antwoord niet te geven. Maar dit voorbeeld toont wel het belang van juiste en volledige informatie, zeker wanneer de informatie in een uitgebreid netwerk van gekoppelde databases terechtkomt.
Voorbeeld 4: Too Much Information
Nog te vaak zijn mensen zich niet bewust van de eenvoud waarmee online geplaatste (privé-)informatie gebruikt kan worden door mensen voor wie het niet bedoeld was. Een mooi voorbeeld hiervan is een twitterberichtje van een sollicitant van het Amerikaanse bedrijf Cisco. In het berichtje gaf hij aan dat Cisco hem een aanbieding had gedaan voor een baan, en dat hij voor zichzelf nu de afweging ging maken: het hoge salaris van de baan, tegen het feit dat hij lang moest reizen en het werk zou haten. Helaas voor hem lazen de recruiters van Cisco ook twitter en duurde het niet lang voor Cisco hem liet weten dat een dergelijke werkhouding niet op prijs werd gesteld.
De fout: voor je informatie online plaatst, moet je je realiseren dat het door iedereen kan worden gelezen. Pas wanneer je ervan overtuigd bent dat iedereen het zou mogen lezen is het veilig om het te publiceren. Bekijk ook eens de Postbus 51 campagne Veilig internetten.
Informatiebeveiliging voor archieven
De hierboven beschreven voorbeelden geven een algemeen beeld van de noodzaak om veilig met informatie om te gaan. Archiefinstellingen lopen op 2 punten risico. Zoals elk bedrijf en instituut hebben ze informatie die alleen voor intern gebruik bedoeld is, en net als elk bedrijf en instituut lopen ze het risico dat bedrijfsinformatie per ongeluk of met opzet in verkeerde handen komt. Daarnaast bewaren archiefinstellingen informatie van archiefvormers. Deze informatie kan om verschillende redenen (bijvoorbeeld privacy of staatsveiligheid) geclassificeerd zijn als beperkt- of niet-openbaar.
Die informatie kan staan op USB-sticks, CD’s, DVD’s, de website, in (web)mail of op laptops. Medewerkers mailen, schrijven blogs, twitteren, hebben Hyves of Facebook of nemen deel aan forums. Uit de genoemde voorbeelden blijkt hopelijk waarom ook wij als archiefmedewerkers bewust met informatie moeten omgaan: weet goed welke informatie je waar plaatst of meeneemt, zorg dat je geclassificeerde informatie veilig transporteert en zorg voor volledige en juiste informatie.
Mooie post, Jeroen.
BeantwoordenVerwijderenIk snap dat je het voornamelijk gericht hebt op digitale informatie, maar ik zie tijdens inspecties zo vaak dat bij informatiebeveiliging de analoge informatie 'vergeten' wordt. Het mooiste vind ik nog altijd de gemeente waar ze heel trots vertelden dat ze binnenkort een audit op 17799 gingen laten doen en dat ze er alle vertrouwen in handen.
Totdat tijdens mijn wandelingetje door het gebouw bleek dat de archiefruimte op de begane grond lag, in het deel dat voor het publiek toegankelijk was en dat de deur ervan de hele dag openstond!
Ik zeg adviseer dus altijd dat er een integraal 'beleid' moet zijn (van maximaal een pagina of 4-5) dat daarna in verschillende deelplannen uitgewerkt (digitaal, analoog, toegankelijkheid gebouw etc) moet worden.
Helemaal mee eens. Ook voor bijvoorbeeld het calamiteitenplan geldt dat je met één toe kan. Het maakt immers niet uit hoe de informatie tot een calamiteit heeft geleid, het gaat er om wat te doen wanneer het calamiteit heeft plaatsgevonden en wie daarbij wat doet en waarvoor verantwoordelijk is.
BeantwoordenVerwijderenMaar dat ging allemaal wat te ver voor een anderhalf uur introductielesje Informatiebeveiliging als onderdeel van de cursus eContext.
Dank voor de post, Jeroen. Je stipt allerlei zaken aan die stuk voor stuk een eigen cursus verdienen. De laatste tijd merk ik dat dit thema informatiebeveiliging ook steeds meer besproken wordt.
BeantwoordenVerwijderen@Christian Ook weer helemaal mee eens, alhoewel dat natuurlijk niet de inzet van deze korte cursusles was. Misschien iets om een keer op Archief 2.0 uit te werken?
BeantwoordenVerwijderenGoede post Jeroen. Lijkt me een duidelijk verhaal waar geen speld tussen te krijgen is. Goede voorbeelden ook.
BeantwoordenVerwijderenMooi stuk, Jeroen.
BeantwoordenVerwijderenEen aardige aanvulling zou declassificatie kunnen zijn, zeker voor archiefmedewerkers die te maken krijgen met overbrenging, acquisitie en relatiebeheer. Dus wanneer kan er wel en wanneer niet gedeclassificeerd worden en in welke mate. Zeker bij het Nationaal Archief zal dat wel voorkomen. En geeft meteen een praktische invulling aan punt 1 van je lijstje.
@Jeroen: Je bent welkom om de uitwerking van een dergelijke cursus/studiemiddag of wat dan ook te 'trekken'! ;-)
BeantwoordenVerwijderen