Wat moet ik beschermen?<\/b><\/span><\/p>\n Het is onmogelijk – zeker kostentechnisch – alle data van een organisatie op eenzelfde hoog beschermingsniveau te brengen. Dat betekent dat er beleid moet zijn welke data op welk niveau beveiligd moet worden. Vanuit dat beleid wordt kwalificatie, structuur en methodiek bepaald om de beveiliging van alle verschillende datatypen ordentelijk vorm te geven. Probleem is dat het onpraktisch is om elke set informatie het beschermingsniveau te geven dat nodig is om slechts een kleine subset van gevoelige gegevens te ondersteunen. Bij een routineuze bestelling hoeft bijvoorbeeld slechts het creditcardnummer goed afgeschermd te zijn, terwijl de rest van de data minder interessant en dus minder veilig hoeft te zijn.<\/span>\u00a0Splitsen<\/span> van inhoud en betaling wordt dan bijvoorbeeld een logische aanpak.<\/span><\/span><\/p>\n In eerdere blogs zoals \u2018zonder bodem geen pizza<\/a>\u2019 besprak ik het principe van dataclassificatie: welke data heeft welke klasse wat betreft opslag, beheer en beveiliging nodig. Kan ik data bij het ontstaan of binnenkomst bij de organisatie direct de juiste classificatie geven? Procesgerichte kwaliteitsborging begint op het moment dat personen, materialen en dus ook data een bedrijf binnenkomen. Op het gebied van \u2018zichtbare\u2019 personen en goederen is het heel begrijpelijk. Explosieven worden anders behandeld en opgeslagen dan eenvoudige constructiematerialen. Hoog geclassificeerde medewerkers hebben andere werkplekken en worden anders beveiligd dan algemene medewerkers. Voor data is het niet anders.\u00a0<\/span><\/span><\/p>\n Kritische data\u00a0 <\/span><\/b>\u00a0<\/span><\/span><\/p>\n Dataclassificatie is niet nieuw. Het is een goed en wel gedefineerd proces dat op heel veel plaatsen gebeurt. Hoe hoger de classificatie hoe beperkter de toegang en hoe hoger het beveiligingsniveau. Als data al direct bij binnenkomst \u2018hoog geclassificeerd<\/i>\u2019 is, dan heeft het proces een makkelijke start. Maar we zien de ontwikkeling van data onder de noemer van Controlled Unclassified Information (CUI): data die tijdens een proces zo waardevol wordt dat zij eigenlijk een geclassificeerde status moet krijgen. Bijvoorbeeld door een groeiende vertrouwelijkheid tijdens het proces en daardoor hogere wettelijke bescherming en de daarbij vereiste verspreidingscontrole.\u00a0<\/span><\/span><\/p>\n Het lekken van data die tijdens het proces kritisch is geworden, kan directe gevolgen hebben op de veiligheid en continu\u00efteit van een organisatie. Het is alsof eenvoudige grondstoffen tijdens het proces dusdanig worden samengevoegd dat zij vanaf een zeker moment een explosief of giftig middel worden. En vanaf dat moment dus een veel hogere bescherming behoren te krijgen. Dat organiseren voor ‘groeiende’ informatieproducten is best lastig. Wanneer wordt een informatieproduct, in welke samenstelling en met welke toegevoegde data \u2018opeens\u2019 een hoger geclassificeerd informatieproduct? Kan een ander met kunstmatige intelligentie uit dat samengestelde product wellicht alle kritische en gevoelige data destilleren?\u00a0<\/span><\/span><\/p>\n Een beveiligde informatieproces.\u00a0<\/span><\/b><\/span><\/p>\n Eerder was ik werkzaam in de beveiligingsindustrie en was het omgaan met projectinformatie strikt gereguleerd. Naast basisprincipes van separate ‘afgesloten ruimtes’, \u2018clean desk\u2019 en \u2018vier ogen\u2019 aanpak, was vooral de decentrale opslag van verschillende informatie goed uitgedacht. De toen fysieke tekeningen hadden betekenisloze nummers als identificatie en geen informatie over systeem, klant of lokatie. Lokatie-informatie, ontwerp-data, systeem tekeningen, bedradingsschema\u2019s en klantinformatie werden op verschillende fysieke plaatsen bewaard en opgeborgen. Via aparte tabellen kon de combinatie van de betekenisloze tekeningnummers uiteindelijk de projectdata leveren van een veiligheidssysteem van een klant op een bepaalde lokatie.\u00a0<\/span><\/span><\/p>\n Het was een papieren proces dat volgens een strikte en gedisciplineerde werkwijze regelmatig werd ge-audit om als security-bedrijf je hoog geclassificeerde status te mogen en kunnen behouden. Ook in de ontwerpen van de veiligheidssystemen zelf, was dezelfde methodiek zichtbaar: locaties, gegevens en beveiliging werden gecompartimenteerd. Nooit was het mogelijk binnen het systeem op alle plaatsen tegelijk te komen. Het ene compartiment was niet toegankelijk als de andere of vorige niet goed en veilig was achtergelaten en afgesloten. Op die manier kon – in principe – nooit een ketenkwetsbaarheid ontstaan. Het principe van de slotgracht met daarin een ‘gecontroleerd toegangseiland<\/em>‘ met twee bruggen die nooit tegelijkertijd dicht kunnen zijn.\u00a0<\/span><\/span><\/p>\n De digitale uitdaging<\/b><\/span><\/p>\n Het hierboven beschreven proces was arbeidsintensief en vroeg van alle medewerkers een hoge discipline. Iedereen wist dat men met hoog gekwalificeerde informatie bezig was, waarbij zelfs bij noodsituaties zoals brand, aparte procedures waren om op die momenten toch eerst de veiligheid van die informatie te garanderen, al was het maar gestructureerde vernietiging. Dat betekende ook dat de omgeving waar deze werkzaamheden werden uitgevoerd extra tegen fysieke noodomstandigheden waren beveiligd, opdat men de tijd had een noodprocedure – zoals versneld gecontroleerd opbergen of vernietigen – tijdig en veilig uit te voeren.\u00a0<\/span><\/span><\/p>\n Eigenlijk is dit principe voor digitale data niet anders. Mijn oude werkgever EMC leverde aan defensie data-opslagapparatuur die voorzien was van zowel digitale vernietiging – diverse malen disks wissen tot ze gegarandeerd \u2018leeg\u2019 waren – maar ook fysieke vernietiging met explosieven. Als de vijand onvoorzien snel arriveerde, kon met ingebouwde explosieven de inhoud van een storage-box worden omgezet in onbruikbaar gruis. Dat vernietigde niet alleen de data – zoals bij gecontroleerd wissen – maar natuurlijk ook het fysieke systeem zelf dat immers onbruikbaar was geworden. Maar data viel niet in verkeerde handen en daar ging het om.\u00a0<\/span><\/span><\/p>\n Het denken in compartimenten en enclaves<\/b><\/span><\/p>\n Veiligheidsdenken begint met het systematisch benoemen van alle voorziene en liefst ook \u2018onvoorziene\u2019 gevaren en met het denken in compartimenten en enclaves. Welke zaken mogen wel en niet tegelijkertijd bij elkaar komen? Waar mogen nooit kopie\u00ebn van worden gemaakt en welke masterdata moet uniek blijven? Hoe kan ik informatie onherkenbaar maken en onderdelen daarvan op een onlogische manier<\/a> verspreiden? Moet ik sommige informatie wellicht zelfs nooit digitaal maken, maar alleen fysiek laten bestaan? Denk aan geheime recepten, of de seed phrase van je digitale wallet. Fysiek genoteerd en verspreid over verschillende plaatsen, eventueel zelfs onder het vier ogen principe.\u00a0<\/span><\/span><\/p>\n