Alles wat openbaar mag worden kan in de cloud gezet worden, maar de rest niet. De vorm van data opslag verschilt per organisatie of dienst. “Het classificeren is lastig. Want heb je te laag ingezet, dan is het lastig te verhogen. Je gegevens liggen dan al op straat”, zegt Brenno de Winter, onderzoeksjournalist op het gebied van ICT en beveiliging.
Beveiligingsproblemen
Bij persoonsgegevens is het wettelijk verplicht dat er sprake is van veilige data opslag, ook als deze bij andere partijen zoals bewerkers staan. Ze mogen niet zonder meer het land uit. Elke overtreding betekent mogelijk een boete. “En als je andere data bewaart in een clouddienst die in Amerika staat, dan ben je helemaal niet zeker. Denk aan de onthullingen van Edward Snowden. De Amerikaanse overheid geeft ruime bevoegdheden om gegevens van derden te onderzoeken, zelfs zonder hun medeweten. Ook hackers kunnen dus hun slag slaan en gegevens stelen. Encryptie, of versleuteling, kan dan uitkomst bieden.”
De risico’s van data opslag inventariseren
Als een organisatie zelf data opslaat, zal het beveiligingsprobleem groter zijn. Het intern opslaan van vertrouwelijke stukken bijvoorbeeld betekent een investering in de beveiliging hiervan. Semipublieke data kunnen wel extern opgeslagen worden. Maar ook bij het verwerken van gegevens is het belangrijk niet de regie te verliezen. De Winter: “Wees je bewust van dreigingen en bescherm je gegevens. Stel bij uitbesteding van je data een goede overeenkomst op. Bijvoorbeeld een SLA met daarin wie, wat, waarvoor verantwoordelijk is. Goedkoop uitbesteden is niet altijd de beste oplossing. Mijn boodschap: borg het goed!”
En als het fout gaat, hoe zit het dan met de betrouwbaarheid? De toegang tot informatie moet altijd goed ingeregeld zijn, zoals welke gegevens wel of niet te zien zijn via mobiele devices. “Maak dus een goede risico-inventarisatie. Als je archivering uiteindelijk op orde is, is dat altijd fijn, ook voor als je zelf data zoekt”, aldus De Winter.
Dataverlies van datadragers
Frans Kolkman was destijds namens de forensische opsporingsdienst op zoek naar een methode van data opslag, dat die bij het terughalen honderd procent gelijk zijn aan het oorspronkelijke materiaal. Anders is het bewijs niet geldig. Het gaat hierbij om bij criminelen inbeslaggenomen usb-sticks, computers, harde schijven en andere datadragers. Bij bijna elke inval wordt wel een datadrager gevonden die veiliggesteld wordt, voor als er later vragen komen van de rechtbank of de advocaat van de ander. Kolkman: “We hebben jarenlang heel veel data verzameld. Maar harde schijven kunnen kapot gaan en dan is de politie haar gegevens kwijt.” Hierna werd een tijdlang naar tape gekopieerd. Dat heeft een goede foutcontrole, maar uiteindelijk verliest het magnetisch materiaal wel bitjes. Toen bij het onderzoek naar de moord op Pim Fortuyn informatie werd opgevraagd over de moord op een milieuambtenaar, kreeg Kolkman buikpijn. Want wat als de data van de back-up tape verloren waren gegaan?
Encryptie van archiefbestanden
Gelukkig was alles nog bruikbaar, maar hij is meteen op zoek gegaan naar een robuustere manier van archiveren. Daarbij wilde hij graag ‘parity’ toevoegen aan de archiefbestanden. Dat is het toevoegen van extra uitgerekende informatie over de bestanden heen. Een organisatie zoals het Filmarchief Hilversum kan data gerust in een ander format opslaan, maar bij bewijsmateriaal kan dat niet. Dat was de specifieke problematiek van de politie en daarom is er speciale software gemaakt voor politiemateriaal.
Kolkman: “Er kwam weerstand van de tape-aanbidders tegen de nieuwe methode, maar andere fabrikanten met grote archiefbestanden waren geen optie voor de politie. Politiemateriaal mag geen millimeter afwijken van het oorspronkelijke materiaal.” De archiefbestanden zijn voor de veiligheid versleuteld. Er kan dus, zonder de juiste sleutel, niemand bij. “Natuurlijk is het een probleem als je de sleutel ergens in de komende dertig jaar kwijtraakt, want de versleuteling is zo goed dat je er echt niet meer bij kan”, besluit Kolkman, die nog aangeeft dat zijn uitspraken op persoonlijke titel zijn en niet de mening van de Nederlandse politie hoeft te zijn.
No comments!
There are no comments yet, but you can be first to comment this article.