Mijmeringen: 'Datalekken'
'Mijmeringen' is een wekelijkse column van Dongenaar Rinus Krijnen
Datalekken
Vaak lees je dat hackers ingebroken hebben in software van bedrijven en daar privacygevoelige gegevens hebben buitgemaakt. Nu heb ik mijn halve leven met IT- processen gewerkt en het was destijds al snel duidelijk dat data goud was, waarop je zuinig moest zijn. In de begintijd was er nog geen internet en bleef de data intern.
Met de unieke interne infrastructuur werd de data nooit buiten het eigen domein gebruikt. Output was papier in de vorm van een overeenkomst of lijsten, vaak kettingformulieren. Een hedendaagse hacker zou er niets mee kunnen. De beveiliging was erg fysiek. De datacentra waren gebouwen met hekken eromheen en een complexe toegangsprocedure. Data was nog nergens aan gekoppeld en ook nog niet versleuteld. Als je via de terminals de data bekeek, keek je letterlijk op de data. Versleuteling was onmogelijk, omdat het scherm waarmee je keek geen vertaling kon maken. Het waren immers domme terminals. Maar omdat de data de deur niet uitging waren interne procedures afdoende om datalekken te voorkomen.
Toch was het een ramp als het datacentrum niet bereikbaar bleek door storing of zelfs vernietiging. Beveiliging van data werd toen al stevig ingezet om dit te voorkomen. Grootste probleem was als er een probleem met het datacentrum ontstond, dat het bedrijf stil lag en je niet meer bij de data kon. De eerste vorm van delen van data was dan ook vooral gericht om uitwijk van de digitale processen te organiseren. Dit werd een hele business. Om dit te organiseren werden aanvankelijk zogenaamde ‘dieselnetwerken’ opgezet. Busjes gevuld met schijven, banden of datastroken werden ingezet om de data op een fysiek andere plek op te slaan. In zo’n situatie was het terug in business komen na een calamiteit een hele toer en duurde een eeuwigheid.
De tweede stap van uitwijk was dat er een netwerk werd opgezet tussen het bedrijf en het uitwijkcentrum. Niet alleen de data maar ook de software om de data te gebruiken werden gekopieerd zodat het proces snel kon worden omgeschakeld naar de uitwijklocatie. Ik kan me herinneren dat hiermee werd geoefend met onaangekondigde calamiteiten met bijvoorbeeld de mededeling dat er een vliegtuig was neergestort op het datacentrum. De ‘operatie’ werd verplaatst naar het uitwijkcentrum. Vaak ging het dan wel om een schaduwadministratie, om te voorkomen dat klanten er last van zouden krijgen. Achteraf werd er volop geëvalueerd wat er allemaal was misgegaan en vaak was dat best wel een hele lijst.
Doordat de data met die uitwijk ook buiten de eigen organisatie ging, werd men zich er ook van bewust dat de data zelf ook diefstalgevoelig zou kunnen zijn. Met de komst van slimme computers in plaats van domme terminals kon men via zogenaamde client-server concepten de logica om data te bewerken en te beveiligen decentraal houden in een zogenaamde ‘cliënt’ en alleen de data via een netwerk met een server uitwisselen. Ook werden er toen al encryptietechnieken toegepast om data te versleutelen. Mocht je de data onderweg kunnen onderscheppen dan had je er niets aan omdat de logica ontbrak om de data te lezen. Totdat de klant aan het digitale stuur kwam was dit een betrekkelijk veilige manier van communiceren tussen partijen, omdat je aan beide kanten van het netwerk met dezelfde protocollen moest werken om data uit te wisselen. Ook hier kleefde weer nadelen aan. Het synchroniseren van data en interpreteren van protocollen was vaak erg complex.
Vaak waren de databasesystemen veel ouder dan de software om ze te bewerken. Een platte database converteren naar een moderne relationele variant is complex vanwege de historie en het brengt bovendien niets op, want je moet veel kosten maken – die niet zijn begroot- en je krijgt in het beste geval hetzelfde ervoor terug. De oude data werden vaak in een blob (binary large object) ingebracht in de nieuwe omgeving. Gevolg was dat deze data niet werd geüpdatet naar de nieuwste veiligheidsprotocollen.
Met de opkomst van internet, selfservice door de klant en mobiel werken waren cliënt-servertoepassingen veel te kostbaar geworden en was men weer op het idee gekomen om data en de logica centraal te gaan beheren en ditmaal in cloudoplossingen waarmee je met behulp van een generieke browser via het internet kan werken. Om te voorkomen dat iedereen zomaar de data kan bereiken worden zaken als tweefactor authenticatie toegepast. Dit is een methode waarmee je naast iets weten, ook een apparaat moet hebben om bij je data te kunnen. Denk aan de bankpaslezers of smartphones met software om vast te stellen dat jij het ook werkelijk bent die op dat moment bij jouw data wil komen.
Voor jou is het een hele toer om bij je eigen data te komen, maar voor hackers is ondanks de slimme encryptietechnieken het toch mogelijk om zomaar bruikbare data te stelen. Dat voelt toch raar. Of is men blind geworden voor de bedreigingen en vindt men gebruiksgemak veel belangrijker dan beveiliging of zijn de encryptietechnieken ook gehackt? Gezien de mondiale spanningen is beveiliging belangrijker dan ooit. Moeten we deze ellende voorblijven dan zullen we nog veel meer moeten en blijvend moeten investeren in dataveiligheid. Gebruik je software op je computer, tablet of smartphone waar je data achterlaat, dan hoop je te kunnen vertrouwen dat men de veiligheid op orde heeft. Maar garanties heb je niet. Gebruik van data is toch zoiets als van de hoge duikplank springen zonder te weten of het zwembad diep genoeg is gevuld met water. Wie kan jou het vertrouwen geven dat jouw data in goede handen is. Dat blijft een gok.
