Blog Dennis Baaten: gebruik opslagmedia niet zonder risico

  1. 14 mrt 2016
  2. 0 reacties
Dennis-Baaten

In de praktijk zie ik nog steeds dat apparaten zoals USB-sticks en portable harddisks veel worden gebruikt voor het (tijdelijk) opslaan van gegevens. Ook draagbare media zoals telefoons en geheugenkaartjes zie ik wel eens voorbij komen als opslagmedium, maar in kantooromgevingen is het vooral de USB-stick die wordt gebruikt voor het uitwisselen en opslaan van gegevens. Het gebruik ervan is echter niet zonder risico’s.

In de eerste plaats omdat bijvoorbeeld USB-sticks nog te vaak worden gebruikt als permanent opslagmedium, en ook regelmatig stuk gaan. Ik adviseer mensen dan ook altijd om het alleen te gebruiken als tijdelijk opslagmedium, en altijd te zorgen dat er een back-up beschikbaar is. Ten tweede omdat het gebruiken van (draagbare) media ook vraagt om verantwoord gedrag van de gebruikers en/of beheerder. Hoofdstuk 8.3 van de ISO 27002:2013 beschrijft welke regels in acht dienen te worden genomen om te voorkomen dat informatie op dergelijke media onbedoeld gewijzigd, verwijderd, vernietigd of openbaar worden gemaakt.

Beheer van verwijderbare media

Hierboven had ik het met name over USB-sticks, maar er zijn uiteraard meer soorten verwijderbare media. Denk bijvoorbeeld maar eens aan harddisks, cd/dvd/bluray, en tapes. In lijn met mijn blog van de vorige keer is het belangrijk om te zorgen dat opslagmedia, maar ook fysieke documenten, zijn geclassificeerd en gelabeld. Van belangrijke gegevens worden back-ups gemaakt, en wordt rekening gehouden met de (wettelijke) toegestane of vereiste bewaartermijn. Zorg dat de omgeving waarbinnen de media worden opgeslagen voldoet aan conditioneringseisen en voorzien is van passende fysieke toegangsbeveiliging.

Wanneer de vertrouwelijkheid of gewenste integriteit van de gegevens hier aanleiding toe geven, worden goede versleutelingsmechanismen toegepast voor extra bescherming. In bepaalde situaties kan het handig zijn om een registratie van media bij te houden. Wanneer media worden getransporteerd naar het buitenland, houd er dan rekening mee dat het niet altijd is toegestaan om cryptografie te gebruiken of cryptografische producten mee te nemen. Meer hierover lees je in een factsheet van het NCSC.

Verwijderen van media

Opslagmedia die niet meer nodig zijn, kapot zijn, of niet meer worden gebruikt, worden centraal ingeleverd en gescheiden van het overige afval. Hiermee wordt voorkomen dat onbevoegden toegang hebben tot deze media met daarop mogelijk vertrouwelijke informatie.

De media worden op een veilige manier worden gewist of vernietigd, of op een veilige wijze afgevoerd en vernietigd. Van het wissen en vernietigen van media wordt een administratie bijgehouden. Opslagmedia worden voorgaand aan de overdracht aan een externe partij (bijvoorbeeld voor vernietiging) opgeschoond door overschrijving met willekeurige data. In tegenstelling tot wat vaak wordt gedacht, is een enkele overschrijving van het opslagmedia met willekeurige data (single pass) is voldoende. In het document Overwriting Hard Drive Data: The Great Wiping Controversy van Wright, Kleiman en Sundhar staat beschreven waarom dit zo is.

Fysieke vernietiging vindt altijd plaats volgens minimaal veiligheidsklasse C zoals gedefinieerd binnen de EA DMS 2008 standaard voor vernietiging van digitale dragers, door gecertificeerde bedrijven. Afhankelijk van de risicobereidheid van de organisatie kan er ook voor een andere veiligheidsklasse worden gekozen.

Media fysiek overdragen

Wanneer gegevensdragers worden vervoerd, wordt er gebruik gemaakt van betrouwbare transport- of koeriersdiensten waarbij de vervoerders zich dienen te identificeren alvorens de gegevensdragers worden meegegeven. De verpakking en labeling dient voldoende bescherming te bieden tegen schade en verlies, en alle ontvangen en verzonden media worden geregistreerd. Ook bij transport worden versleutelingsmechanismen toegepast om de vertrouwelijkheid en/of integriteit te kunnen garanderen.

Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging