vrijdag 2 december 2016

Big data

In het kader van een bezoek aan een bevriend organisatieonderdeel kreeg ons team het verzoek om zelf ook een presentatie te verzorgen. De gastheer wist zelfs al een onderwerp waarover hij iets van ons wilde horen: big data. Big data is weer zo’n buzzword waarmee je brein meteen aan de loop gaat. Het is dus altijd goed om je eigen spontane invulling van hetgeen zo’n term zou kunnen betekenen eerst even te checken.

Als je Wikipedia erop naslaat, dan vind je vetgedrukte termen als hoeveelheid, snelheid en diversiteit van data. Ook worden variatie, kwaliteit en complexiteit genoemd. Het gaat in wezen om héél veel data waarmee héél snel iets gebeurt, terwijl het een ongeregeld zooitje is van mogelijk bedenkelijke kwaliteit, als ik het zo even mag samenvatten. Omdat het Wikipedia-artikel niets zegt over hoeveel hoeveel is (terwijl het daar toch om lijkt te draaien bij de term ‘big’), heb ik nog wat verder gezocht. En dan kom je uit bij McKinsey, die het mooi dramatisch heeft verwoord: “Datasets whose size is beyond the ability of typical database software tools to capture, store, manage, and analyze.” Vooral dat woord ‘beyond’ doet het ‘m.

Van oudsher hebben informatiebeveiligers het romantische beeld dat je gegevens zijn opgeborgen in een stevig kasteel dat een streng gecontroleerde toegang mogelijk maakt. Er zijn dikke muren, een slotgracht en een ophaalbrug die indringers buiten houden. Met big data verandert dit beeld drastisch: de data zijn overal en nergens en daar komen ze ook vandaan. Je weet niet meer waar je data – behalve in je rekencentrum – nog meer zijn, of op z’n minst is de herkomst van de data divers, hetgeen dan weer invloed kan hebben op de kwaliteit ervan. Wikipedia zegt op dit punt: “verschillende bronnen kunnen elkaar tegenspreken.”

Om vanuit beveiligingsperspectief een mening over big data te vormen heb ik naar wet- en regelgeving gekeken. Om te beginnen zijn daar de internationale ISO27001- en ISO27002-normen. Als je deze normatiek doorleest met een big data-bril op, dan vind je diverse termen die van belang zijn, bijvoorbeeld: functiescheiding, capaciteitsbeheer, logische en fysieke toegang, back-ups, informatietransport, classificatie, scheiding tussen ontwikkel-/test-/acceptatie-/productie-omgevingen, het gebruik van tools en privacy. Bij functiescheiding en toegangsbeheer kun je je afvragen wie daar iets over te zeggen heeft, wie verantwoordelijk is. Het gebruik van tools lijkt welhaast inherent aan de manier waarop we met big data willen werken, terwijl de normatiek juist erg hecht aan dedicated applicaties. Classificatie van gegevens was sowieso al een heikel thema en dat wordt er met big data niet gemakkelijker op.

Het onderwerp privacy komt natuurlijk ook terug via de Wet bescherming persoonsgegevens en via de Algemene Verordening Gegevensbescherming van de EU. Die wetten zeggen bijvoorbeeld iets over de fysieke opslaglocatie van persoonsgegevens. En wie is er bij zo’n grote, diverse bak data verantwoordelijk voor het melden van datalekken?

Beveiligers baseren hun analyses op de BIV-aspecten: gegevens moeten beschikbaar zijn als je ze nodig hebt, ze moeten integer (juist en volledig) zijn en de vertrouwelijk moet gewaarborgd zijn. Een data-analist die zich op zo’n grote gegevensbak stort gaat op zoek naar allerlei verbanden om zodoende data te veredelen tot informatie. Is dat wel verenigbaar met een strakke handhaving van het need to know-principe? Of hebben we veeleer te maken met een grote supermarkt waarin de analist zijn boodschappenkar kan vullen met allerlei lekkernijen die hij tegenkomt en waarvan hij denkt dat hij daar misschien iets aan heeft? Als de Amerikaanse inlichtingen- en opsporingsdiensten dit doen, dan betichten we hen al gauw van datagraaien.

Big data en de cloud lijken voor elkaar te zijn gemaakt. Big data vraagt om big storage en dat is nu juist de kracht van de cloud, met al haar elasticiteit en schier onbegrensde capaciteit. De publieke cloud, dat is echter niets anders dan de computer van een onbekende. Big data kan uit diverse bronnen afkomstig zijn, is dus (voor een deel) de – wellicht minder betrouwbare – data van iemand anders. Deze beide constateringen hebben een negatieve gevoelswaarde, die je pseudo-wiskundig als volgt zou kunnen uitdrukken: min + min = 2 * min. Waarmee ik maar wil zeggen: de beide negatieve effecten – of op z’n minst: de gevoelens daarbij – versterken elkaar.
Het is dus zaak om onduidelijkheden te identificeren en daar vervolgens iets mee te doen. Ja, dat riekt inderdaad naar een risicoanalyse. Want risico’s moet je niet lopen, maar nemen. Het zou toch erg jammer zijn als de onneembare vesting van weleer zou verworden tot een onbeveiligbaar luchtkasteel.

En in de grote boze buitenwereld …

... is het natuurlijk goed om na te denken over wat een smart device voor kinderen wel en niet mag kunnen. Ik vraag me alleen af of al die kenmerken die in dit artikel worden genoemd op de doos van zo'n product staan.
http://www.trendmicro.com/vinfo/us/security/news/internet-of-things/iot-buyers-quiz-for-smart-parents

... heeft Operatie Avalanche een einde aan een groot botnet gemaakt.
https://www.europol.europa.eu/newsroom/news/‘avalanche’-network-dismantled-in-international-cyber-operation

... is de overheid laks met het beveiligen van haar websites.
http://www.volkskrant.nl/tech/helft-overheidssites-zonder-veilige-verbinding-overheid-zou-goede-voorbeeld-moeten-geven~a4425983

... brengt Firefox momenteel de privacy van Tor-gebruikers in gevaar.
https://www.grahamcluley.com/tor-users-risk-anonymity-stripped-via-attacks-exploiting-firefox-zero-day/

... staan onze cybersoldaten klaar voor het digitale gevecht.
http://www.ad.nl/nieuws/nederlandse-cybersoldaten-klaar-voor-de-strijd~a2aabcee

... is het OV-bedrijf van San Francisco goed omgegaan met een ransomware-besmetting. De financiële schade bleef beperkt tot twee dagen gratis vervoer voor iedereen.
https://www.grahamcluley.com/love-san-franciscos-metro-system-responded-ransomware-attacker/

... werd de OV-hacker van San Francisco zelf ook weer gehackt.
https://krebsonsecurity.com/2016/11/san-francisco-rail-system-hacker-hacked/

... bevorderen Schiphol en de Rotterdamse haven hun digitale weerbaarheid met twee nieuwe initiatieven.
http://nieuws.schiphol.nl/mainports-schiphol-en-rotterdamse-haven-bevorderen-digitale-weerbaarheid

... moet Trump een speerpunt maken van cybersecurity, zegt de dame die ook al Obama en Bush over dit onderwerp adviseerde.
https://www.bloomberg.com/view/articles/2016-11-30/what-trump-can-do-about-cybersecurity

... hoeft lang niet iedere organisatie een data protection officer te hebben, maar het kan wel handig zijn om er toch een te benoemen.
http://blog.iusmentis.com/2016/11/30/wanneer-data-protection-officer-nodig-als-bedrijf/

... wil de Duitse inlichtingendienst 150 miljoen investeren in het hacken van instant messengers. [Duits]
https://netzpolitik.org/2016/projekt-aniski-wie-der-bnd-mit-150-millionen-euro-messenger-wie-whatsapp-entschluesseln-will/

... kun je systemen voor gezichtsherkenning om de tuin leiden met brilmonturen waarop gelaatstrekken staan afgebeeld.
http://boingboing.net/2016/11/02/researchers-trick-facial-recog.html

... is het nooit slim om een vreemde USB-stick in je pc te prikken.
https://www.wired.com/2016/11/wickedly-clever-usb-stick-installs-backdoor-locked-pcs

Gepost door op
Labels: , , , , , ,

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)