Data en hardware echt vernietigen wordt nog belangrijker

HDD627480-wikiTussen de sessies door op het Barracuda EMEA event sprak ISP Today kort met Klaus Gheri, een van de topmensen binnen het bedrijf als het gaat om network security. We spraken onder andere over het ondersteunen van legacy hardware. Hoe lang je daar nog mee door kunt gaan, helemaal als je het over security devices gaat, is iets dat weinig aandacht krijgt. Wat wij er over mee kregen is dat bepaalde op i386 gebaseerde hardware nu echt EOL bereikt, omdat de Linux kernels het niet meer ondersteunen.

Via een concreet voorbeeld daarover stelden we de volgende vraag: als die oude hardware niet meer veilig is, is door de shredder heen jagen dan de enige optie? Gheri reageerde als volgt. Echte oude spullen moet je gewoon niet meer willen gebruiken, helemaal niet als er ergens in het netwerk connectie is met internet. Wat je daarna vooral niet moet doen is ze gewoon weggooien. Schijnbaar is het afhankelijk van de aanschafconstructie (wellicht bedoeld hij daar rechtstreeks bij Barracuda of via een partner?) bij wie er dan kan worden ingeleverd en wat er vervolgens standaard mee gebeurt. Een bank zal rechtstreeks bij de producent aankloppen, vernietiging eisen en dat ook bewezen willen zien (rapport met handtekeningen dus). Andere klanten – vooral kleineren regelen het vast wel via de dealers, details daarvan waren hem onbekend. We onthielden: recycling of verschrotting van oude hardware blijft een punt dat best weinig aandacht krijgt.

En dan verschijnt er gisteren, dinsdag, een persbericht van Kroll Ontrack, het bedrijf dat zich vooral richt op het terughalen van data van kapotte drives etc. Kroll publiceert een persbericht met daarin een link naar een (Duitse?) PDF van 17 pagina’s over veilige en definitieve vernietiging van data. Dat sloot mooi aan op het gesprek met Gheri. Wat bij dat gesprek echter totaal niet aan de orde was gekomen was de legale component van het vernietigen van devices die niet meer verantwoord ingezet kunnen worden.

Kroll beschrijft op pagina 9 de impact van de GDPR (General Data Protection Regulation) die per 2018 van kracht wordt op het vernietigen van data en datadragers. Het ligt enigszins in het verlengde van de meldplicht datalekken die we al kennen: een usb met klantdata die je verliest dat moet je melden. Als je iets bij het grofvuil zet waarvan later blijkt dat het persoonsgegevens bevat ben je aan het datalekken en de klos. Dat zal met de GDPR niet anders zijn.

Niemand van ons zet een copier bij het grof vuil, want we weten allemaal dat daar een HDD in kan zitten toch? Maar hoe zit dat met netwerkcomponenten waarin IP adressen of device kenmerken (denk maar aan BYOD) staan opgeslagen. Het is een vraag die we nog eens zullen voorleggen aan security experts. Mensen als Klaus Gheri van Barracuda, maar bijvoorbeeld ook de experts die we volgende week in Assen spreken op het IT security symposium.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen