Deze presentatie gaat in op de praktische uitdagingen voor bibliotheken en archieven op het vlak van informatiebeveiliging. De uitdagingen zijn veelvuldig: van de valkuilen bij het digitaliseren van traditionele documenten om ze voor de toekomst te preserveren over vaak enorme volumes aan data tot het op een veilige manier online ontsluiten van deze collecties. Een paar dingen om rekening mee te houden bij digitale archieven.

1. INFORUM
VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF
IN HET DIGITALE TIJDPERK
Albertinabibliotheek - 5 juni 2014
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )

2. Wie ben ik ?

Jan Guldentops (°1973)

Dit jaar bouw ik 19 jaar server en netwerk
infrastructuren

Oprichter Better Access (°1996) en BA (°2003)

Open Source Fundamentalist (na mijn uren)

Sterke praktische achtergrond op het vlak van ICT
beveiliging

Breng veel tijd in het testlab door

R&D (vooral security) → journalistiek

Online te volgen via twitter (JanGuldentops), Linkedin,
Slideshare

4. 2015 ben ik 20 jaar afgestudeerd
●
Wereld en vooral mijn vakgebied is in die 2
decenia totaal veranderd...

5. Wet van Mo(o)re
●
“Het aantal transistoren geïntegreerd in een
enkele chip verdubbelt zich elke 18 maanden”
(1965 Gordon Moore)
●
Van toepassing op alles wat ICT aanbelangt...
●
Performantie verdubbelt, prijs van de vorige
generatie halveert.
●
Harddisks
●
CPU
●
Connectiviteit

6. Wet van Mo(o)re - CPU

7. Google werd pas 3 jaar later
opgericht !

8. Explosie van het internet
●
Bv 1994 129 .be, nu 1.466.215 .be

9. Wat is security ?
Het garanderen van CIA
(+ Accountability, Non-repudiation, Authenticity, Reliability)

10. Moeilijk evenwicht
●
Balans tussen :
●
Veiligheid
●
Functionaliteit
●
Gebruikersgemak

11. Veel blabla, weinig boemboem
●
Als het gaat over (ICT) beveiliging is er vaak een
groot verschil tussen de theorie, de praktijk en
de marketing / sales.
●
Security is vaak passe partout om je een
“doosje” te verkopen dat al je problemen oplost.
#not
●
De lijst met gigantische securityproblemen is
enorm en er wordt zeer laks mee omgesprongen

12. Je digitale veiligheid is belangrijk
●
Te belangrijk om het over te laten aan :
●
Politici
– Er is een doorgedreven non-beleid op vlan van informatieveiligheid in dit
land.
●
ICT'ers
– Parralel universum
– Moeilijkheden om te communiceren
●
Dus: zorg dat je zelf controle hebt over dit verhaal !
●
Iedereen is een doelwit en er valt bij u iets te halen...

13. Wat is het belangrijkste security product ?
GEZOND VERSTAND !

14. Common Sense is so rare these days it
should be classified as a Super Power...

15. Hoe hou ik mijn data
confidentieel?
●
Classificieer je gegevens
●
Niet alle data is even belangrijk
●
Als alles geheim is, is niks geheim
●
Duidelijk eenvoudig rechten en rollensysteem
●
KISS
●
Geef nooit rechten à la tête du clientèle

16. Gebruikersauthenticatie
●
Traditioneel userid/wachtwoord
●
MAAR:
– Geen triviale wachtwoorden
– Alle 3 maanden veranderen
– Gebruik letters, cijfers en tekens liefs > 8 tekens
– Gebruik niet voor elke applicatie hetzelfde wachtwoord
– Gebruik desnoods een kluisje zoals Keeppass
●
Beter is tokens
– Eid, onetimetokens, biometrie, etc.
– Maar het probleem van complexiteit ( readers, middleware, etc.)
●
Zorg voor één user en rechtensysteem voor alle applicaties

18. Gebruik encrytie
●
Om je verbindingen te beveiligen
●
bv. https
●
Ook op je intern netwerk
●
Om je data in rust te versleutelen
●
Zeker als het over hoog-confidentiële data gaat.
●
Backups
●
Ook al je devices best versleutelen
●
Maar gebruik encryptie ook op een correcte manier.

21. Andere elementen
●
Je hoeft niet alles online te bewaren of op
het internet te zetten.
●
Gebruik een goeie antivirus
●
Bugs in software
●
De menselijke factor :
●
social engineering
●
amateurisme / domheid

22. De menselijke factor

24. Integriteit
●
Moeilijk technisch probleem :
●
Hoe kan ik aantonen dat een bestand is wat het zou moeten
zijn (was)?
– Hashes ( bv md5sum )
– Digitaal ondertekenen van bestanden
●
Hoe kan ik aantonen dat data in een database nog in zijn
originele / correcte toestand is?
– Door gebruik te maken van een audittrail
●
Hoe kan ik aantonen dat mijn server niet gehackt is ?
– Door gebruik te maken van hostbased Intrusion Detection System

25. Beschikbaarheid
●
Belangrijke vraag naar je infrastructuur toe :
●
Recovery Time Objective (RTO)
– Bij een zware crash, hoe lang mag de service
onbeschikbaar zijn ?
●
Recover Point Objective (RPO)
– Bij een zware crash, hoeveel data mag ik kwijt zijn ?
●
Belangrijke vraag want deze bepaalt wat en hoe
je dit gaat opbouwen
●
Overbelasting / schaalbaarheid / DoS

27. Backuppen / archiveren
●
Enorme hoeveelheden data ( tientallen TB)
●
Wordt zeer moeilijk om te backuppen
●
Concept : warme data / koude data
●
Warme data – wijzigt nog
●
Koude data – wijzigt (nooit) niet meer
– -> Archiveren

28. Preservatie
ICT denkt in periodes van 5 jaar, hoe zorg je
ervoor dat je na decenia of voor de eeuwigheid je
data kan bewaren ?

29. Onbetrouwbare digitale opslag
●
Data rot
●
Onbetrouwbare media
Floppy drive
3-5 jaar
Flash media ( USB ) 1-10 jaar
Harddisks 2-8 jaar
CD/DVD/Blueray 2-10 jaar
Zelf-beschreven
CD/DVD/Blueray
1-5 jaar
Tape 10-30 jaar

31. Cirkel van Deming

32. Plan (1)
●
Vat alles samen in een policy
●
Wat je wil / moet je bereiken o.a.
– Risico analyse
– Inventaris
– Business Continuity Plan
●
Recovery Time Objective ( RTO )
●
Recovery Point Objective ( RPO)
– Hou ook rekening met de wettelijke vereisten !
●
Hoe je dit gaat doen en volgens welke procedures

33. Plan(2)
●
Creëer een bewustzijn/kennis dat security
belangrijk is bij :
●
Je directie
●
Het personeel, zelfs bij de leerlingen / studenten
●
Maak goeie afspraken met iedereen :
●
Leveranciers
– Duidelijke leesbare contracten met NDA, SLA, etc.
●
Bezoekers / personeel
– Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !)
●

34. Plan(3)
●
Het is niet de vraag of je een securityprobleem gaat
hebben maar wanneer...
●
Plan for the worst
●
zorg dat je al weet wat je gaat doen als er iets misgaat
●
Zorg voor een overleg / communicatiestructuur
●
Security comité met overleg op vaste tijdstippen
●
Hou cijfers, gegevens bij voor latere analyse

35. DO
●
De eigenlijke implementatie van de security-
infrastructuur
●
Verschillende elementen en componenten
●
Zorg altijd voor documentatie en
kennisoverdracht
●
Geen lockin van een leverancier !
●
Outsource de dingen die te complex zijn,
insource de rest om het betaalbaar te houden...

36. Cloud
●
Hype du jour
●
Technologie die de gebruiker meer controle
geeft.
●
Eigen set van problemen :
●
Connectiviteit
●
Veiligheid van die applicaties ?
●
Beschikbaarheid van de applicaties

37. CHECK (1)
●
Controlleer / Audit op vaste tijdstippen je security
●
Met een extern consultant
●
Automatische vulnerability Assessment tools
●
Zelf ( gebruik bv Kali Linux )
●
Vergeet zeker je wireless niet !
●
Controlleer je Business Continuity Plan
●
Op vaste tijdstippen een volledige test ( restore of failover)
●
Check ook de logs van je backups

38. CHECK (2)
●
Monitor
●
Zorg ervoor dat je een proactief monitoringsysteem hebt met
historische cijfers
– Noodzakelijk om je SLA te monitoren en te weten hoe het gaat.
●
Hiervoor kan je bij bij BA een gestandardiseerd
monitoringsysteem aanschaffen.
●
Log alle interventies in een ticketing systeem
●
Voorzie de nodige procedures om alles op te volgen

39. ACT
●
Los de problemen die je hebt op
●
Structureel
– geen brandjes blussen met tijdelijke oplossingen
●
Change Management
– Doe het gestructureerd
– Stuur bij
●
Documenteer
– Zorg dat je alles documenteert

40. Thank You
Contact us
016/29.80.45
016/29.80.46
www.ba.be / Twitter: batweets
Remy Toren
Vaartdijk 3/501
B-3018 Wijgmaal
info@ba.be
Twitter: JanGuldentops
http://be.linkedin.com/in/janguldentops/