Een open vraag over USB sticks

Frank Meeuwsen, 17 december 2009, 18 reacties, 2.445 views
Tags: beveiliging, data, rabobank, truecrypt, USB

Lost-dataVandaag is onder andere op Nu.nl te lezen dat er wederom een USB-stick met privé gegevens van Rabobank klanten op straat is beland. Een kwalijke situatie die de bank afdoet met “een excuusbrief aan de betrokkenen en een stevig gesprek met de medewerker”. Ik begrijp dat waar mensen werken, er fouten worden gemaakt. Ik snap dat je soms wel eens iets verliest. Maar toch zette dit bericht me aan het denken over een aantal zaken rondom thuiswerken, nieuwe werken, omgaan met regels en procedures. Ik heb geen alomvattend antwoord maar wellicht dat jullie, de lezers, ook een opbouwende en aanvullende mening hebben. De Rabobank is toch immers een bank met ideeën

Op Lifehacking spreken we vaak over het werken op andere plaatsen dan de kantoortuin, werken op tijden die jij wilt, data die in the cloud staat en het delen van informatie met anderen. Hierbij gaan we impliciet uit van het gezonde verstand van onze lezers dat dergelijke tips en inzichten niet altijd voor alle beroepsgroepen geldt. Juist voor een bank moeten duidelijke procedures zijn over het gebruik, opslag en transport van met name privé gegevens van klanten. Ik twijfel er niet aan dat de Rabobank die heeft, maar het gaat natuurlijk om de naleving van die regels. Dus wat ik me afvraag…

  • Waarom neemt iemand gegevens van 3.000 klanten mee op een USB stick? Thuiswerken? Data overdracht? Of een bewuste poging om gegevens buiten de bank te krijgen?
  • Waarom is de USB stick niet beveiligd met bijvoorbeeld TrueCrypt? Of is er een IronKey gebruikt?
  • Waarom is er een USB stick gebruikt als iemand die gegevens wil meenemen om bv thuis te werken? Er zijn toch ook VPN verbindingen of andere manieren?
  • Moeten USB poorten en CD Drives standaard worden afgesloten op werkplekken?
  • Maar wat ik me ook afvraag, waarom gaat de vinder er mee naar de krant? Waarom niet gewoon naar de Rabobank zelf? En hoe wist hij dat het gegevens van de Rabobank waren? Een logo van de bank op de USB stick? Of toch zelf even gekeken? En wat heeft de vinder dan met de gegevens gedaan voor hij naar de krant stapte?

Nogmaals, ik heb nergens een eensluidend antwoord op, maar dit zijn wel de ongelukken die er voor zorgen dat telewerken, thuiswerken, flexwerken weer in een ander daglicht komen.

De Rabobank heeft ongetwijfeld een stevig gesprek met de medewerker. Ik hoop ook dat ze nogmaals naar alle medewerkers (en misschien wel publiek) duidelijk maken hoe je met dergelijke informatie om gaat en welke mentaliteitsverandering er nodig is. Aangezien hun hoofdkantoor het toonbeeld van flexwerk en coworking moet worden kan een dergelijke voorhoedepositie ze erg veel geven op lange termijn!

Update: Bij RTL is een interview te zien met de directeur van de Rabobank (met dank aan dyn in de comments)

Frank Meeuwsen

Frank Meeuwsen
Frank Meeuwsen (1973) is een zelfstandig digitaal strateeg in zijn bedrijf The Incredible Adventure starts here... Hij was er vroeg bij met webloggen. Gestart in 2000 met zijn persoonlijke weblog, pionierend met Frank-ly, het corporate blog van Rhinofly sinds 2002 en van 2003 tot en met 2008 mede-verantwoordelijk voor de organisatie en publiciteit van de Dutch Bloggies, de jaarlijkse weblogawards. Frank gelooft sterk in Getting Things Done. Nu nog het in de praktijk zien te houden. Je kunt hem ook veel op Twitter vinden.

http://incredibleadventure.nl/

18
reacties op "Een open vraag over USB sticks"

    willem1 17 december 2009 om 17:19

  1. Mijn vraag is altijd of die USB stick wel echt is verloren. Bij de politie verloren ze ook altijd USB sticks (en vroeger floppy disks), en die werden dan bij Peter R. gebracht . . .
    Volgens mij is het meestal lekken van een medewerker en om zijn identiteit te beschermen wordt er gezegd dat de USB stick “gevonden” is.

    2. dyn 17 december 2009 om 19:25

  2. Iemand van de directie van de Rabobank Oost-Betuwe heeft in RTL-Z nog kort uitgelegd wat er gaande was. Ze hebben de zaak in onderzoek. Hij kon al wel melden dat er bepaalde gegevens (een of ander bestandje) op de usb stick terecht is gekomen waarvan men niet wist dat het erop stond, ook de gebruiker zelf kennelijk niet. De stick is gebruikt om er een presentatie op te zetten (kennelijk heeft men niet gezien dat de andere bestanden vertrouwelijke info bevat wat op zich niet zo raar is, aan de buitenkant zie je dat soort dingen niet). Daarna is die stick meegenomen en kwijtgeraakt. Men kijkt nu hoe die vertrouwelijke gegevens op die stick zijn beland en wat er met die stick gebeurd kan zijn waarbij men overigens niet kon garanderen dat er geen kopieën zijn gemaakt. De man ging verder door over de gegevens die in dat vertrouwelijke bestand stonden. Er blijken wat gegevens over een paar duizend beleggers in te staan waarvan er bij 500 stuks dingen als naw-gegevens e.d. in staan. Hij verzekerde dat de informatie die erin stond niet gebruikt kan worden om geld buit te maken, er zijn geen financiële gevolgen voor de slachtoffers. Wel is er sprake van privacy gevoelige gegevens die op straat liggen waar de Rabobank niet bepaald blij mee is. Kijk vooral ook het filmpje bij RTL-Z: http://www.rtl.nl/components/f....._plain.xml

    Dit heeft dan ook niets met dingen als telewerken, thuiswerken, flexwerken of hoe je dat ook wil noemen te maken. Ik snap ook niet wat dat überhaupt in dit hele verhaal doet, het is losse informatie die er niets mee te maken heeft. Bij iets als thuiswerken en flexwerken worden dingen als usb sticks meestal niet gebruikt, men logt dan middels een vpn verbinding op kantoor in of gebruikt het interne netwerk; de informatie blijft dan ook binnen het eigen informatiesysteem en geraakt er niet buiten zoals dat bij een usb stick wel het geval is. Het probleem hier is dat Rabobank (en niet alleen Rabobank Oost-Betuwe) een nieuwe smet oogst na het hele gedoe in de financiële sector omdat nu blijkt dat ze niet goed met vertrouwelijke gegevens om lijken te gaan (aka imagoschade). Daarnaast zwengelt dit weer de discussie over usb sticks aan waarvan dit artikel een voorbeeld is. In dit artikel lijkt meer de essentie van het verhaal centraal te staan, namelijk hoe ga je met vertrouwelijke gegevens om, hoe wissel je ze uit? Een usb stick is 1 ding maar er wordt veel meer gebruik gemaakt van e-mail waarbij mensen zaken naar zichzelf of een ander mailen. Dat vormt dan ook een veel groter risico omdat je niet iemand z’n mail kunt uitzetten of met whitelists kunt werken (de hoeveelheid wijzigingen die nodig zijn houden de boel op en mensen worden er knettergek van).

    3. karel 17 december 2009 om 20:22

  3. Eigenlijk is het niet zo interessant wat hier precies gebeurd is. Het is een erg mooie illustratie waarom allerlei (al dan niet centrale) dataopslag nooit waterdicht is: de mens is de zwakke schakel hier.
    Hoort u mij, minister Klink? Geen centraal patiëntendossier, dus.
    Hoort u mij, mevrouw Ter Horst/ heer Hirsch Ballin: geen centrale opslag van vingerafdrukken.
    Hoort u mij, meneer Eurlings? Geen GPS spionnagekastjes in de auto.
    (moet ik nog even doorgaan?)

    4. Ron Wessels 17 december 2009 om 21:12

  4. Door de technische ontwikkelingen die o.a. Het Nieuwe Werken (of flexwerken, een thuisdagje of hoe je het ook wilt noemen) steeds beter mogelijk maken kom je steeds meer van dit soort incidenten tegen. Bedrijven als Rabobank zouden haar medewerkers veel beter hierin moeten begeleiden en faciliteren en dus ook een beleid rond informatiebeveiliging moeten formuleren eb actief moeten begeleiden en stimuleren.

    Nieuwe generaties medewerkers willen straks niet meer met de standaard bedrijfsapplicaties werken, maar bv met Smartphone en hun vertrouwde web 2.0 applicaties. Wil je deze groep in de toekomst aan je bedrijf binden, dan zul je nu al moeten starten (of flink moeten gaan brainstormen) over hoe je dat gaat regelen. Er zijn genoeg bedrijven die oplossingen bieden om informatie al dan niet versleuteld te beschermen. Hoewel er misschien (nog) geen waterdichte oplossing is, maak je het kwaadwillenden een stuk moeilijker. En zeg nou zelf: als bedrijf ben je het toch aan je klanten verplicht om hun persoonlijke info goed te beschermen. En dan heb ik het nog niet eens over imagoschade!

    5. Henri Koppen 18 december 2009 om 9:51

  5. Dit is altijd een geliefd onderwerp. Gezond verstand is goed verdeeld in de wereld, iedereen denkt er genoeg van te hebben.

    Valide artikel, valide reacties naar mijn mening. Ik heb me er ook wel eens over opgewonden.

    Ja, mensen moeten cursus krijgen over hoe gegevens worden meegenomen (standaard versleuteld, ook als is het een powerpoint presentatie). Ik kom maar zelden bedrijven tegen waarin deze kennis gedeeld wordt. En zeg nu zelf, hoe vaak heb jij zelf gezondigd?

    Wat ik frappant vind is dat praktisch 100% van de e-mail onversleutelt verstuurd wordt! Dan mag het de attachement wel versleuteld zijn, de mail is dat eigenlijk nooit! Dit betekend dat *niemand* weet wie de mail potentieel gelezen heeft.

    Er schijnt een project Echelon te bestaan die als primaire doel heeft alle data verkeer (incl. sateliet communicatie) te monitoren. Of het een broodje aap is, of niet, qua techniek lijkt het me mogelijk en qua e-mail is het zelfs waarschijnlijk omdat het toch echt een makkelijke bron is die getapt kan worden.

    Dan is er nog iets: Privacy.

    Karel lijkt zich er druk om te maken. Feit is dat de burger een traceerbare mobiele telefoon heeft (en bij zich draagt), een auto rijdt waarvan de kentekens al meer dan tien keer geregistreerd wordt als je van Zoetermeer naar centrum Den Haag rijdt (ooit afgevraagd hoe ze aan kunnen geven hoeveel minuten het kost van een wijk in Zoetermeer naar Prins Claus plein te rijden?). Vecozo biedt een webservice aan zorginstellingen waarin je van elke Nederland op kunt vragen hoe deze verzekerd is en waar deze woont. Er zijn meer dan 100.000 mensen die deze service kunnen raadplegen.

    Gebruik je Google en zoek je naar fetisj onderwerpen? Het is geregistreerd en terug te voeren op jou.

    Dan heb je computer systemen in bedrijven, deze worden ontwikkeld en onderhouden door beheerders en developers. Die hebben bijna per definitie toegang tot alle data (ondanks dat er procedures zijn die zeggen dat data gedepersonaliseerd moet worden in testomgeving). Hoe weet jij hoe Hyves/LinkedIn/Google etc. met je gegevens omgaan?

    Mijn punt is: We hebben nagenoeg geen privacy.

    Die USB stick is gewoon een incident die kwalijk is, maar verbleekt bij de gaten en mogelijkheden die ik zonet beschreven heb. Zorg ervoor dat je zelf geen kwalijke geheimen hebt of krijgt en waak om zelf diegene te zijn die een incident veroorzaakt zoals het verliezen van bepaalde gegevens. En voor het overige deel zeg ik: Zorg voor een goede verzekering en betaal alles met credit card (= verzekering). Gelukkig heeft mijn gezond verstand me er voor behoed. Het is maar goed dat iedereen daar genoeg van heeft :-)

    6. Frank Meeuwsen (auteur) 18 december 2009 om 10:32

  6. Allen, dank voor de waardevolle reacties. Het is inderdaad een probleem wat je niet zo even oplost. Dyn, dank voor de link naar de video, ik heb hem in het artikel toegevoegd. Dit specifieke geval gaat niet over telewerken etc, maar je opmerking dat daarvoor VPN’s zijn uitgevonden…ik ken voorbeelden waar dat simpelweg nog geen optie is en waar dus via email of USB gewoon bestanden over en weer worden getransporteerd. Ron en Henri, het is inderdaad zo dat kennisoverdracht, cursus, procedures maar vooral mentaliteitsverandering belangrijk is in dit soort zaken.
    Ik hou me in deze discussie even verre van het privacy-onderwerp. Niet dat het mijn interesse niet heeft, maar dat is zó’n enorm terrein, daar kunnen we een aparte blog over beginnen!

    7. Saskia 18 december 2009 om 14:59

  7. Naar mijn mening bestaat er in de huidige samenleving geen “privacy” meer. Mooi woord, maar volledig hol. Als iemand echt achter informatie wil komen, lukt dat.

    We zien de afgelopen tijd dat de beveiliging rond persoonlijke gegevens keer op keer faalt. (met name de RFID chip is hier een uitmuntend voorbeeld van) De vraag is dan niet waarom mensen deze gegevens verliezen of expres achter laten. de vraag is waarom deze gegevens zo goed bereikbaar zijn. En waarom proberen we iedereen zo krampachtig te laten geloven dat de gegevens veilig zijn? Dat zijn ze niet, en wat mij betreft mag iedereen dat weten.

    8. Keimpe Bleeker 18 december 2009 om 15:12

  8. Er is geen enkele reden meer te bedenken waarom informatie uit gesloten bedrijfssystemen op losse dragers moeten kunnen worden meegenomen. Telewerken behoort over degelijke (VPN) verbindingen te gaan waarbij je simpelweg niets decentraal op hoeft te slaan. Telewerken gebeurt ook alleen met daarvoor ingerichte bedrijfsmiddelen die je thuis (of elders) mag gebruiken.

    Het idee dat de jonge generatie straks ‘moet’ telewerken op ‘hun eigen smartphone’ is van de zotte. Generatie Einstein: ja absoluut! Bedrijfsgegevens op- of via je eigen apparatuur: nimmer!

    Ook presentaties kun je op locatie prima benaderen via een VPN over een mobiele verbinding. Kan dat om welke reden niet, regel dan dat je (per vestiging) een paar presentatie netbooks à € 300,= beschikbaar hebt. Beheer kan daar de juiste presentatie op wegschrijven met een linkje op het buroblad. Er is dan geen enkele reden meer om op bedrijfsmiddelen toegang naar externe media te kunnen gebruiken. Ja, dan blijft beheer over als de zwakste schakel. Maar dat is gemakkelijker in de hand te houden dan CD-rommen en USB-stickjes waar de hele bedrijfspopulatie mee rondloopt.

    9. Frans Reitsma 18 december 2009 om 15:19

  9. De problematiek hier staat los van de usb stick volgens mij. Die kan alleen de schuld krijgen van het feit dat hij zo klein is waardoor je hem gemakkelijker kwijtraakt dan laten we zeggen een koffertje met daarin documenten met klantgegevens. Uiteindelijk gaat het toch om het gezonde verstand van de medewerker die ooit die cruciale data op die USB stick heeft gezet en ze niet verwijderd…

    Ik ben ook realist en snap dat het moeilijk is voor een grote organisatie om in te spelen op dit soort zaken. Ook weet ik dat een mentaliteitsverandering bij mensen moeilijk kan zijn omdat je zelf moet willen veranderen (of een goede motivator moeten hebben waarom ze zouden veranderen).

    In dat laatste zit volgens mij wel de kans. Er zijn tegenwoordig zoveel mooie en gemakkelijk oplossingen waarmee je op een veilige manier data kunt benaderen. Het moet voor een organisatie als de Rabobank toch mogelijk zijn om haar medewerkers op een goede manier te ondersteunen daarin ?

    Ik gebruikte altijd USB sticks tot ik dropbox en syncplicity ontdekte. Ik wil hiermee beslist niet zeggen dat medewerkers van de banken hun gegevens op die manier moeten uitwisselen. Ik haal dit voorbeeld alleen aan om te laten zien dat je gedragsverandering gemakkelijk tot stand kunt brengen door iemands werk gemakkelijker te maken. Sinds ik die diensten gebruik peins ik er (voor de meeste bestanden) niet meer over om een usb te gebruiken.

    Als je als organisatie goede tools beschikbaar stelt voor je mensen om beter, gemakkelijker en productiever hun taak uit te voeren dan zullen ze die gebruiken, daarvan ben ik overtuigd. Daarmee neem je als organisatie meteen weer het heft in handen, je moet/kunt dan zelf zorgen voor waterdichte systemen.

    10. vanWilgenburgh 18 december 2009 om 16:22

  10. zolang we de ‘beveiliging’ blijven koppelen aan de lokatie van informatie zal het probleem voortbestaan, en alleen maar groter worden omdat er meer dragers en devices komen waar mensen gebruik van zullen (willen) maken

    Beveiliging dient op de informatie zelf te zitten, gekoppeld aan een centraal rechtensysteem voor authenticatie en autorisatie. Dit garandeert tevens dat rechten vanuit het verleden geen garantie zijn voor rechten in de toekomst.

    11. renato 18 december 2009 om 20:38

  11. Beste Frank,

    “Ik twijfel er niet aan dat de Rabobank die niet heeft, maar het gaat natuurlijk om de naleving van die regels.”

    Volgens mij staat hier een dubbele ontkenning, wat dus betekent dat het tegendeel waar is van wat je bedoelt te zeggen. Of lees ik het niet goed?

    Groet,

    12. Frank Meeuwsen (auteur) 18 december 2009 om 22:27

  12. Renato, je hebt gelijk! Aangepast!

    13. Karin Spaink 20 december 2009 om 8:11

  13. De reden dat de vinder met de stick naar de krant is gegaan in plaats van ‘m terug te bezorgen bij de Rabobank is – dunkt me – dat de vinder wilde bereiken dat de kwestie in het nieuws kwam. Du moment dat je zo’n ding terugbezorgt, is er geen enkele garantie dat het probleem van rondslingerende data serieus wordt opgenomen en tot herevaluatie van het beleid en/of de procedures leidt. Publiciteit kan dat effect wél veroorzaken, en daarom vind ik het een verstandige keus van de vinder. Hij of zij weet nu zeker dat-ie de aandacht van het management heeft getrokken.

    Nederland heeft nog amper oog voor kwesties rond datalekkerij en datehygiëne, terwijl we steeds vaker grote hoeveelheden gevoelige data verzamelen en rondpompen. Het is absoluut tijd dat daar beter over wordt nagedacht.

    Overigens houd ik al sinds november 2007 een lijst bij van alle gevallen van dataverlies die in de pers zijn beland, zie http://www.spaink.net/dutch-data-breaches/ . Er zijn goede redenen m aan te nemen dat de meeste gevallen niet in de publiciteit komen.

    14. Frank Meeuwsen (auteur) 20 december 2009 om 9:43

  14. Karin, dank voor je reactie en link naar je lijst. Ik kan me inderdaad voorstellen dat dit nog maar het topje van de ijsberg is. Maar wat zou er volgens jou moeten gebeuren om mensen meer bewust te maken van dit soort problemen? Meer publiciteit, rol van de overheid, mentaliteitsverandering? Kunnen/moeten blogs en andere media daar een leidende rol in spelen?

    15. Karin Spaink 21 december 2009 om 2:17

  15. Frank: een meldplicht is het overwegen waard. bedrijven en instanties die data hebben verloren, data per ongeluk openstellen voor buitenstaanders, of data anderwijs laten zwerven, zouden misschien moeten worden verplicht daarvan melding te doen bij een toezichthouder en/of de betreffende klanten/burgers/etc op de hoogte te stellen.

    Het belangrijkste is denk ik dat er een goed concept van datahygiëne wordt ontwikkeld. Net zoals iedereen op vanzelfsprekende wijze medische hygiëne aangeleerd krijgt – van handen wassen na toiletbezoek wn snuiten in een zakdoek tot wonden afschermen en medische instrumenten steriliseren – zouden we dat rondom data moeten doen. Voor een deel betekent dat dat je procedures moet ontwikkelen, voor een deel heb je wellicht ook wetgeving nodig.

    Publiciteit helpt daarbij, vermoed ik. Engeland is sinds een aantal grote lekken in de pers is verschenen een stuk gevoeliger geworden voor het probleem. In NL staan artikelen over dataverlies zelden in de gewone krant, alleen een aantal technologiesites publiceren er wel ‘s over.

    16. Harald de Jong 22 december 2009 om 10:28

  16. Je stelt zinnige vragen. Toch denk ik dat het nooit helemaal te voorkomen is. Het lijkt misschien een domme actie van de Rabo-medewerker, maar we zijn allemaal wel eens wat belangrijks verloren. Of het nou een usb-stick is, of een foto-camera met enkele unieke foto’s. Misschien zit het wel in de menselijke aard om onachtzaam te zijn met dingen die we belangrijk vinden.

    17. Frank Meeuwsen (auteur) 23 december 2009 om 21:55

  17. Karin Spaink heeft op haar blog een uitgebreider stuk geschreven over datahygiëne naar aanleiding van het voorval bij de Rabobank. Zeer lezenswaardig, inclusief de reacties: http://www.spaink.net/2009/12/.....r-hygiene/

    18. uberVU - social comments 24 februari 2010 om 3:43

  18. Social comments and analytics for this post…

    This post was mentioned on Twitter by Allare: Een open vraag over USB sticks http://bit.ly/5ihnNl...

Plaats je reactie, of plaats een trackback van je eigen website. Op de hoogte blijven van deze reacties doe je via RSS