Bedrijven slaan data straks versleuteld op

IDC kijkt een paar jaar vooruit met de voorspelling dat in het jaar 2007 vier van de vijf bedrijven uit de Fortune-1000 lijst hun interne gegevens versleuteld zullen opslaan. Dat is de manier bij uitstek om te voorkomen dat een derde met de gegevens aan de haal gaat. Maar zover is het nog niet. Momenteel is de meeste beveiliging van gegevens en systemen gericht op het voorkomen van inbraak, het van buitenaf binnendringen van systemen. Joanna Shields: "Dat is een benadering van buiten naar binnen, indachtig de aloude militaire traditie dat de perimeter van je bivak ondoordringbaar moet zijn. Wat men met die benadering echter wel vergeet, is dat de meeste diefstallen van gegevens worden gepleegd van binnenuit. Vaak blijkt, dat de weg van binnen naar buiten zo open is als het maar zijn kan." Smokkelen De situatie wordt trouwens steeds gevaarlijker, omdat de stand van de techniek het mogelijk maakt om met gigabytes tegelijk gegevens naar buiten te smokkelen. Een kleine harde schijf kan eenvoudig en vrijwel onopgemerkt worden gevuld met gevoelige gegevens van een bedrijf en mee naar buiten worden genomen. Shields: "En dan heb ik het nog alleen maar over gegevens die ‘ergens’ op een computersysteem zijn geparkeerd. Maar wat gebeurt er wanneer de computers in een bedrijf allemaal zijn gekoppeld aan een storage netwerk? Hoe zit het dan met de beveiliging?" Om gegevens veilig te bewaren hebben veel bedrijven een backup-service. De data wordt weggeschreven op een ander medium, bijvoorbeeld magneetband, en vervolgens veilig opgeborgen. Maar hoe veilig is veilig? Er komt vrijdagmiddag een bestelwagen voorrijden en de bestuurder laat aan de receptie weten dat hij ‘de tapes voor backup komt ophalen’. Een doodnormale situatie, maar wat als die man nou eens niet degene is voor wie hij zich uitgeeft? "In zo’n geval loopt hij wel met ettelijke gigabytes of nog meer gegevens de deur uit en dan weet je absoluut niet wie er allemaal naar kijkt", zegt Shields. Meestal kunnen veel meer mensen binnen een bedrijf gevoelige gegevens bekijken dan over het algemeen wordt aangenomen. Shields: "Bij elke multinational zijn er minstens, let wel minstens, 500 mensen die toegang hebben tot de gevoelige bedrijfsgegevens. Als een van die mensen zich benadeeld voelt en kwaad wil, is de ellende niet te overzien." Diefstal Denkbeeldig is zo’n situatie allang niet meer, er is een groeiende trend van dergelijke onregelmatigheden. Shields: "In januari van dit jaar werd de database van MTS, de grootste aanbieder van mobiele telefonie in Rusland gestolen. Binnen een paar dagen lagen schijfjes met de informatie op de markt, voor een bedrag van - schrik niet - 8 euro. Het mobiele nummer van Poetin stond erin, samen met zijn betalingsgegevens. Ook de VS ontkwam niet aan ellende. In februari en maart werd de ICT-wereld opgeschrikt door diefstal van broncode. Microsoft en Cisco waren daarvan het slachtoffer. In mei was het weer raak, de persoonlijke gegevens van alle studenten die ooit op de University of California in Los Angeles hadden gezeten, lagen op straat. Bij elkaar de gegevens van 380.000 mensen. Je zou als argument kunnen aanvoeren dat het hier om situaties ging met een lage beveiliging. Dat mag zo zijn, maar wat dan te denken van het wegraken van twee harde schijven met uiterst geheime informatie bij het Los Alamos National Lab, in juli van dit jaar? En zoiets was nota bene twee jaar geleden ook al eens gebeurd." Het samenvoegen van diverse servers kan het probleem van de beveiliging kleiner maken. "Je kunt het ook anders brengen: koop je voor ieder van je applicaties een eigen server dan spreid je niet alleen het risico, je vergroot ook de kans dat gegevens bij mensen terecht komen waar ze niets te zoeken hebben", zegt Fred Moore, storage-deskundige en directeur van onderzoeksbureau Horison uit de VS. Het is in de visie van Moore op het eerste gezicht wel verleidelijk om per applicatie een server te kopen, want de prijs per server is nog steeds aan het dalen. "Maar je betaalt dan wel voor een hoop overcapaciteit. Wat heb je er aan, als een applicatie maar 15 procent van een server in beslag neemt? Hoe goedkoop die server ook is, je betaalt wel voor de 85 procent die je niet gebruikt."