INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TIJDPERK

Post on 21-Jun-2015

194 views 0 download

description

Deze presentatie gaat in op de praktische uitdagingen voor bibliotheken en archieven op het vlak van informatiebeveiliging. De uitdagingen zijn veelvuldig: van de valkuilen bij het digitaliseren van traditionele documenten om ze voor de toekomst te preserveren over vaak enorme volumes aan data tot het op een veilige manier online ontsluiten van deze collecties. Een paar dingen om rekening mee te houden bij digitale archieven.

Transcript of INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TIJDPERK

INFORUMVEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF

IN HET DIGITALE TIJDPERK

Albertinabibliotheek - 5 juni 2014Jan Guldentops ( j@ba.be )BA N.V. ( http://www.ba.be )

Wie ben ik ? Jan Guldentops (°1973)

Dit jaar bouw ik 19 jaar server en netwerk infrastructuren

Oprichter Better Access (°1996) en BA (°2003) Open Source Fundamentalist (na mijn uren) Sterke praktische achtergrond op het vlak van ICT

beveiliging Breng veel tijd in het testlab door

R&D (vooral security) → journalistiek Online te volgen via twitter (JanGuldentops), Linkedin,

Slideshare

2015 ben ik 20 jaar afgestudeerd

● Wereld en vooral mijn vakgebied is in die 2 decenia totaal veranderd...

Wet van Mo(o)re

● “Het aantal transistoren geïntegreerd in een enkele chip verdubbelt zich elke 18 maanden” (1965 Gordon Moore)

● Van toepassing op alles wat ICT aanbelangt...● Performantie verdubbelt, prijs van de vorige

generatie halveert. ● Harddisks● CPU● Connectiviteit

Wet van Mo(o)re - CPU

Google werd pas 3 jaar later opgericht !

Explosie van het internet

● Bv 1994 129 .be, nu 1.466.215 .be

Wat is security ?

Het garanderen van CIA

(+ Accountability, Non-repudiation, Authenticity, Reliability)

Moeilijk evenwicht

● Balans tussen : ● Veiligheid ● Functionaliteit ● Gebruikersgemak

Veel blabla, weinig boemboem

● Als het gaat over (ICT) beveiliging is er vaak een groot verschil tussen de theorie, de praktijk en de marketing / sales.

● Security is vaak passe partout om je een “doosje” te verkopen dat al je problemen oplost. #not

● De lijst met gigantische securityproblemen is enorm en er wordt zeer laks mee omgesprongen

Je digitale veiligheid is belangrijk

● Te belangrijk om het over te laten aan : ● Politici

– Er is een doorgedreven non-beleid op vlan van informatieveiligheid in dit land.

● ICT'ers – Parralel universum – Moeilijkheden om te communiceren

● Dus: zorg dat je zelf controle hebt over dit verhaal !● Iedereen is een doelwit en er valt bij u iets te halen...

Wat is het belangrijkste security product ?

GEZOND VERSTAND !

Common Sense is so rare these days it

should be classified as a Super Power...

Hoe hou ik mijn data confidentieel?

● Classificieer je gegevens ● Niet alle data is even belangrijk ● Als alles geheim is, is niks geheim

● Duidelijk eenvoudig rechten en rollensysteem ● KISS● Geef nooit rechten à la tête du clientèle

Gebruikersauthenticatie

● Traditioneel userid/wachtwoord● MAAR:

– Geen triviale wachtwoorden– Alle 3 maanden veranderen– Gebruik letters, cijfers en tekens liefs > 8 tekens– Gebruik niet voor elke applicatie hetzelfde wachtwoord– Gebruik desnoods een kluisje zoals Keeppass

● Beter is tokens – Eid, onetimetokens, biometrie, etc.– Maar het probleem van complexiteit ( readers, middleware, etc.)

● Zorg voor één user en rechtensysteem voor alle applicaties

Gebruik encrytie

● Om je verbindingen te beveiligen● bv. https● Ook op je intern netwerk

● Om je data in rust te versleutelen ● Zeker als het over hoog-confidentiële data gaat.● Backups

● Ook al je devices best versleutelen● Maar gebruik encryptie ook op een correcte manier.

Andere elementen

● Je hoeft niet alles online te bewaren of op het internet te zetten.

● Gebruik een goeie antivirus● Bugs in software● De menselijke factor :

● social engineering ● amateurisme / domheid

De menselijke factor

Integriteit

● Moeilijk technisch probleem : ● Hoe kan ik aantonen dat een bestand is wat het zou moeten

zijn (was)? – Hashes ( bv md5sum )– Digitaal ondertekenen van bestanden

● Hoe kan ik aantonen dat data in een database nog in zijn originele / correcte toestand is?– Door gebruik te maken van een audittrail

● Hoe kan ik aantonen dat mijn server niet gehackt is ? – Door gebruik te maken van hostbased Intrusion Detection System

Beschikbaarheid

● Belangrijke vraag naar je infrastructuur toe : ● Recovery Time Objective (RTO)

– Bij een zware crash, hoe lang mag de service onbeschikbaar zijn ?

● Recover Point Objective (RPO)– Bij een zware crash, hoeveel data mag ik kwijt zijn ?

● Belangrijke vraag want deze bepaalt wat en hoe je dit gaat opbouwen

● Overbelasting / schaalbaarheid / DoS

Backuppen / archiveren

● Enorme hoeveelheden data ( tientallen TB)● Wordt zeer moeilijk om te backuppen● Concept : warme data / koude data

● Warme data – wijzigt nog ● Koude data – wijzigt (nooit) niet meer

– -> Archiveren

Preservatie

ICT denkt in periodes van 5 jaar, hoe zorg je ervoor dat je na decenia of voor de eeuwigheid je

data kan bewaren ?

Onbetrouwbare digitale opslag

● Data rot ● Onbetrouwbare media

Floppy drive3-5 jaar

Flash media ( USB ) 1-10 jaar

Harddisks 2-8 jaar

CD/DVD/Blueray 2-10 jaar

Zelf-beschreven CD/DVD/Blueray

1-5 jaar

Tape 10-30 jaar

Cirkel van Deming

Plan (1)

● Vat alles samen in een policy● Wat je wil / moet je bereiken o.a.

– Risico analyse– Inventaris – Business Continuity Plan

● Recovery Time Objective ( RTO )● Recovery Point Objective ( RPO)

– Hou ook rekening met de wettelijke vereisten !● Hoe je dit gaat doen en volgens welke procedures

Plan(2)

● Creëer een bewustzijn/kennis dat security belangrijk is bij :● Je directie ● Het personeel, zelfs bij de leerlingen / studenten

● Maak goeie afspraken met iedereen : ● Leveranciers

– Duidelijke leesbare contracten met NDA, SLA, etc.● Bezoekers / personeel

– Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !)●

Plan(3)

● Het is niet de vraag of je een securityprobleem gaat hebben maar wanneer...

● Plan for the worst ● zorg dat je al weet wat je gaat doen als er iets misgaat

● Zorg voor een overleg / communicatiestructuur ● Security comité met overleg op vaste tijdstippen● Hou cijfers, gegevens bij voor latere analyse

DO

● De eigenlijke implementatie van de security-infrastructuur

● Verschillende elementen en componenten ● Zorg altijd voor documentatie en

kennisoverdracht● Geen lockin van een leverancier !

● Outsource de dingen die te complex zijn, insource de rest om het betaalbaar te houden...

Cloud

● Hype du jour ● Technologie die de gebruiker meer controle

geeft. ● Eigen set van problemen :

● Connectiviteit ● Veiligheid van die applicaties ? ● Beschikbaarheid van de applicaties

CHECK (1)

● Controlleer / Audit op vaste tijdstippen je security ● Met een extern consultant● Automatische vulnerability Assessment tools ● Zelf ( gebruik bv Kali Linux )

● Vergeet zeker je wireless niet !● Controlleer je Business Continuity Plan

● Op vaste tijdstippen een volledige test ( restore of failover)● Check ook de logs van je backups

CHECK (2)

● Monitor ● Zorg ervoor dat je een proactief monitoringsysteem hebt met

historische cijfers– Noodzakelijk om je SLA te monitoren en te weten hoe het gaat.

● Hiervoor kan je bij bij BA een gestandardiseerd monitoringsysteem aanschaffen.

● Log alle interventies in een ticketing systeem● Voorzie de nodige procedures om alles op te volgen

ACT

● Los de problemen die je hebt op ● Structureel

– geen brandjes blussen met tijdelijke oplossingen● Change Management

– Doe het gestructureerd – Stuur bij

● Documenteer – Zorg dat je alles documenteert

Thank YouContact us

016/29.80.45

016/29.80.46

www.ba.be / Twitter: batweets

Remy TorenVaartdijk 3/501B-3018 Wijgmaal

info@ba.be

Twitter: JanGuldentops

http://be.linkedin.com/in/janguldentops/