Media Security Controls
Binnen Nederlandse overheidsorganisaties bewegen grote hoeveelheden informatie zich dagelijks over uiteenlopende gegevensdragers: van versleutelde laptops en mobiele apparaten tot uitwisselbare USB-sticks, externe harde schijven, tapes voor back-up en opslag in cloud-omgevingen. Wanneer de beveiliging van deze opslagmedia niet uniform en aantoonbaar is geregeld, ontstaat een aanzienlijk risico op datalekken, ongeautoriseerde toegang of ongecontroleerd hergebruik van gevoelige gegevens. De ISM-richtlijnen voor media security zijn daarom gericht op één centrale doelstelling: ervoor zorgen dat de vertrouwelijkheid en integriteit van informatie gewaarborgd blijven, ongeacht waar het medium zich bevindt of in welke fase van de levenscyclus het zich bevindt.
In de praktijk begint dit met een heldere classificatie van informatie en het daaraan gekoppelde beveiligingsniveau voor de gebruikte gegevensdragers. Geclassificeerde documenten, persoonsgegevens of staatsgevoelige informatie mogen niet op niet-versleutelde media worden opgeslagen, zelfs niet tijdelijk. Dit betekent dat standaardbeleid voorschrijft dat alle werkstations, laptops en andere eindpunten die door ambtenaren worden gebruikt, gebruikmaken van volledige-schijfversleuteling met sterke, centraal beheerde sleutels. Daarnaast moeten verwisselbare media – zoals USB-sticks en externe schijven – óf technisch worden geblokkeerd via beleid in bijvoorbeeld Microsoft Intune en groepsbeleid, óf alleen in streng gecontroleerde, versleutelde varianten worden toegestaan. Waar organisaties toch fysieke media moeten gebruiken voor uitwisseling of vervoer, zorgen ze voor een combinatie van sterke versleuteling, duidelijke eigendomsregistratie en procedures voor uitleen en retour, zodat altijd bekend is waar een medium zich bevindt en welke gegevens erop zijn opgeslagen.
Een tweede cruciaal onderdeel van media security is het proces rond sanitisatie en vernietiging. Overheidsorganisaties hanteren vaak een mix van sanitisatiemethoden, variërend van cryptografische wiping en meerdere overschrijfsessies tot fysieke vernietiging door een gecertificeerde partij. De keuze van de methode hangt af van de gevoeligheid van de data, de aard van het medium en de eisen uit de BIO en de eigen interne kaders. Het is belangrijk dat deze keuzes niet per geval ad hoc worden gemaakt, maar zijn vastgelegd in een gestandaardiseerd proces. Dat proces beschrijft wanneer een medium moet worden geschoond of vernietigd, welke rol de beheerorganisatie en welke rol de informatie-eigenaar heeft, en hoe wordt vastgelegd dat de gekozen methode daadwerkelijk is uitgevoerd. Daarmee ontstaat een controleerbare keten: van uitgifte en gebruik tot en met definitieve afvoer.
Naast technische maatregelen en sanitisatieprocedures is ook het dagelijkse operationele beheer essentieel. Medewerkers van servicedesks, facilitair beheer en ICT-operatie moeten precies weten hoe zij met defecte of afgekeurde schijven, laptops en telefoons omgaan. Een gangbaar patroon is dat apparaten via een vast intakeproces worden ingenomen, waarbij direct wordt bepaald of data eerst logisch moet worden verwijderd of dat de opslagdrager uit het apparaat moet worden verwijderd voor afzonderlijke behandeling. Vervolgens wordt het medium gelabeld, opgeslagen in een afgesloten ruimte en volgens een periodiek schema aangeboden voor gecertificeerde vernietiging of sanitisatie. Tegelijkertijd wordt in een register vastgelegd welk serienummer wanneer is verwerkt en welke methode is gebruikt, zodat audits achteraf kunnen aantonen dat er zorgvuldig is gehandeld.
Media security staat bovendien niet op zichzelf, maar is nauw verbonden met logging, monitoring en incidentrespons. Wanneer bijvoorbeeld een laptop als vermist wordt gemeld, moet de organisatie direct kunnen aantonen dat volledige-schijfversleuteling is ingeschakeld, dat de bijbehorende sleutel niet is gecompromitteerd en dat het apparaat in beheer is bij een oplossing die op afstand vergrendeling of wissen kan uitvoeren. Dit vermindert het risico dat een incident uitgroeit tot een meldplichtig datalek onder de AVG. Ook voor removables geldt dat verlies of diefstal altijd als incident wordt geregistreerd en beoordeeld. Wanneer de organisatie kan aantonen dat het medium adequaat was versleuteld en er geen reële kans is dat onbevoegden de inhoud kunnen ontsleutelen, kan de impactbeoordeling aanzienlijk gunstiger uitvallen.
Tot slot moet de hele keten rondom media security helder zijn voor zowel beleidsmakers als uitvoerende medewerkers. Beleidsdocumenten in het kader van de "Nederlandse Baseline voor Veilige Cloud" beschrijven de kaders, maar de daadwerkelijke naleving ontstaat pas wanneer procedures, tooling en bewustwording op elkaar zijn afgestemd. Dat betekent dat training en communicatie expliciet aandacht besteden aan het veilig omgaan met opslagmedia, dat verantwoordelijken binnen de organisatie weten welke rapportages beschikbaar zijn over media-inname en vernietiging, en dat het management periodiek beoordeelt of de getroffen maatregelen nog aansluiten op de actuele dreigingen en technologische mogelijkheden. Door media security zo integraal te benaderen, wordt het risico op datalekken door verloren, gestolen of verkeerd afgevoerde gegevensdragers substantieel verkleind en sluit de organisatie aantoonbaar aan bij de eisen uit ISM, BIO en AVG.