Vorige week in het nieuws: Russische hackers zijn uit op geheime Nederlandse overheidsdocumenten. Misschien wel om de verkiezingen te beïnvloeden. Maar er zijn natuurlijk talrijke documenten bij de overheid die interessant kunnen zijn voor de Russen. Of de Chinese overheid of wie dan ook.

Ook buiten de overheid zijn gegevens niet veilig. Industriële spionage is groter dan het bespioneren van de overheid. Ook documenten van bedrijven zijn aantrekkelijk, zeker wanneer bedrijven internationaal concurreren, zelf aan onderzoek en ontwikkeling doen of wat nog meer. De gedachte dat een organisatie geen geheimen heeft die het stelen waard zijn, is naïef. Je hebt de verplichting om niet alleen de eigen gegevens geheim te houden, maar ook de gegevens van anderen die in de eigen systemen worden bewaard. Bijvoorbeeld externe offertes of documentatie. En dan praat ik nog niet eens over persoonlijke gegevens...

Auditing op documenten

Het is toch wel verontrustend dat veel bedrijven hun documentopslag niet op orde hebben. Veel wordt nog gewoon opgeslagen op bestandssystemen en netwerkservers. Of gewoon bij medewerkers thuis, op laptops of in slecht beveiligde opslag in de cloud. Eenmaal binnen kan de hacker eenvoudig rondneuzen. De beveiliging van de mappen en documenten op een bestandssysteem staat meestal open. En auditing op documenten vindt al helemaal niet plaats.

Je kunt natuurlijk, en dat moet ook, een muur om de organisatie heen bouwen en ervoor zorgen dat alleen geautoriseerde personen erin mogen komen. Misschien hebben de datasystemen en ECM-systeem een extra beveiligingslaag voor extra beveiliging, maar hebben de fileservers die ook?

Ook hier blijkt dat de menselijke factor de zwakste schakel. Zo blijkt uit onderzoek van het World Economic Forum dat 72 procent van alle beveiligingsincidenten als oorzaak organisatorische, procesmatige of menselijke fouten hebben. 28 procent wordt veroorzaakt door inadequate beveiligingstechnologie. Hackers gebruiken allerlei trucs om mensen toegangscodes te ontfutselen. Hebben hackers die eenmaal in bezit, kunnen ze zo bij de documenten en e-mails die overal en nergens zijn opgeslagen. Dan zijn al die beveiligings­maatregelen zo lek als een mandje. Welk beveiligingssysteem je ook hebt, er kan op worden ingebroken.

Weg = weg

De beste manier om veiligheidsrisico’s te voorkomen is om de gegevens, die u niet meer nodig heeft, te verwijderen. Wat er niet is, kan niet worden gestolen. Zoals Michel van Eeten, hoogleraar internetveiligheid in Delft, zegt in NRC Handelsblad: “Mijn tip: ga te werk als de maffia Zorg ervoor dat je alle informatie wegdoet die tegen je gebruikt kan worden. Mensen bewaren hun e-mails vaak jarenlang, en er is altijd wel iets pijnlijks in te vinden, zoals bleek bij de Democraten in de VS. Als je die mails wilt houden, schrijf ze dan weg op een harde schijf en leg die in een kast.”

Maar wat gebeurt vaak? We weten niet waar alle documenten en e-mails opgeslagen zijn, wat er in staat of van wie ze zijn. Daarom wordt alles maar bewaard. De groei van documenten en e-mails kan alleen als een opslagprobleem worden gezien en het toevoegen van schijfruimte als de oplossing. En voor sommige mensen is dit het eigenlijke verhaal. Waarom? Omdat opslag goedkoop is en het verwijderen of vernietigen van gegevens ingewikkeld. Want je weet niet wanneer je oude documenten misschien weer nodig hebt. Als je wilt vernietigen, heb je inzicht in de retentieschema’s, gegevensmodellen, het daadwerkelijke gebruik van de documenten, mogelijke juridische bepalingen, de waarde van de documentinhoud en een hele hoop andere dingen, nodig. Maar reken er wel op dat heel veel documenten en e-mails geen bedrijfsmatige waarde meer hebben, wel interessant zijn voor hackers.

Maar al deze documenten, waar je de waarde niet van kan bepalen, vormen dus wel een veiligheidsrisico. Ook documenten waar al jaren niet naar is omgekeken kunnen tegen je worden gebruikt. Documenten die nog wel gebruikt kunnen worden als belastend materiaal. Met het oog op deze risico’s, is het opruimen van documenten en e-mails eigenlijk plicht.