Cloud niet voorbereid op e-discovery

Cloud niet voorbereid op e-discovery
 
Bij onderzoek naar incidenten als fraude en handel met voorkennis is digitale informatie onmisbaar. Het selecteren, verwerken en doorzoeken van deze informatie wordt ‘e-discovery’ genoemd. Er zijn diverse zaken waar een bedrijf dat gegevens in de cloud wil opslaan op moet letten ten aanzien van e-discovery, bijvoorbeeld bestandskenmerken, snelheid en bestandsformaten, het land waar de gegevens worden opgeslagen en authenticatie.
 
Het verspreid opslaan van bedrijfsgegevens in de cloud heeft voordelen, maar een onschuldig incident kan veranderen in een nachtmerrie: fraude, handel met voorkennis, zakelijke geschillen, omkoping. Hoe hiermee om te gaan? Cloud computing is niet goed voorbereid op e-discovery. Als er iets misgaat, is moeilijk te reconstrueren wat er is gebeurd.
 
Bedrijven moeten oppassen dat ze bij het overdragen van hun bedrijfsgegevens aan een cloudprovider niet de controle verliezen. Alleen afspraken maken over beveiliging en beschikbaarheid is onvoldoende. De praktijk leert nu eenmaal dat meer dan 50 procent van de fraude door eigen medewerkers wordt gepleegd. Daarbij is geen sprake van een probleem met de beveiliging. Hetzelfde geldt voor beschikbaarheid. Een back-up is nuttig, maar als het niet mogelijk is om te garanderen dat bij het verwijderen van gegevens geen ongewenste resten achterblijven, dan brengt dat een risico met zich mee. Als belangrijke informatie onbedoeld wordt gevonden, zal die ook worden gebruikt.
Bedrijven verliezen de controle over hun eigen gegevens doordat een cloudprovider data op computers opslaat die geen eigendom van het bedrijf zijn. Dit probleem verergert wanneer de data van bedrijven verspreid worden in een zogenaamde cloud mashup, bijvoorbeeld een dienst voor documentopslag, een andere dienst om documenten te bewerken, een dienst voor workflow en ten slotte een dienst voor archivering. De flexibiliteit van mashups maakt het mogelijk om in de cloud snel en pijnloos nieuwe businessmogelijkheden te creeren die binnen ICT-afdelingen van bedrijven niet of moeizaam tot stand komen. E-mail en sociale media vloeien samen, ontsluiting van bedrijfsgegevens op smartphones is vanzelfsprekend, net als het vertalen, samenvatten en verrijken van eigen gegevens met informatie uit andere bronnen. De voordelen zijn duidelijk, maar door deze verspreiding van gegevens kan een onschuldig incident veranderen in een nachtmerrie.
Bij incidenten moet dan gedacht worden aan fraude, handel met voorkennis, faillissementen, zakelijke geschillen, omkoping enzovoort. Ze zijn voor interne en externe toezichthouders aanleiding om een onderzoek in te stellen. Digitale informatie is daarbij onmisbaar om te reconstrueren wat er is gebeurd en om te bepalen wie wat wanneer wist. In dit verband wordt het selecteren, verwerken en doorzoeken van digitale informatie ‘e-discovery’ genoemd (zie Henseler, 2011). De cloud is, overigens net als traditionele applicaties, niet goed voorbereid op e-discovery omdat een duidelijk zakelijk voordeel ontbreekt.
Eisen
Bij het selecteren van een cloudprovider let een bedrijf in eerste instantie vooral op prijs, functionaliteit, beveiliging en beschikbaarheid. In veel gevallen realiseert het bedrijf zich niet dat in verband met governance, riskmanagement en compliance ook recordsmanagement en e-disco
very belangrijke onderwerpen zijn. Zelfs bij grootschalige implementaties wordt dit vergeten of onvoldoende getest, zo blijkt uit recente ontwikkelingen in de Gov Cloud voor de gemeente van Los Angeles (zie kader). Het gebrek aan controle over clouddata is zowel voor recordsmanagement als voor e-discovery een probleem en de oorzaken zijn gedeeltelijk vergelijkbaar. Ten aanzien van e-discovery zal een bedrijf dat gegevens in de cloud wil opslaan, vooral op de volgende punten moeten letten:
Zakelijke gegevens van medewerkers moeten ook voor het bedrijf toegankelijk zijn
Een onderneming stelt meer eisen aan een clouddienst dan een consument die zijn privémail bij een provider heeft ondergebracht. Bij een onderzoek wil een bedrijf de mogelijkheid hebben om een of meer mailboxen te doorzoeken zonder tussenkomst van de gebruiker.
Bestandskenmerken, snelheid en bestandsformaten
Bestandskenmerken zoals datum en tijd zijn belangrijk voor een onderzoek. Bij het downloaden van een document kan deze informatie verloren gaan. Ook de snelheid van online downloads is in veel gevallen voor e-discoveryonderzoeken te langzaam. Een goed alternatief is om af te spreken dat informatie op een harddisk of tape geleverd kan worden. Indien een cloudprovider bestanden in een ongebruikelijk formaat bewaart, is een extra conversie nodig met een programma dat mogelijk niet forensisch getest is.
In welk land worden de gegevens opgeslagen?
Opslag van gegevens in de cloud kan betekenen dat gegevens niet meer in Nederland op een server staan. Dit kan een probleem opleveren omdat data-protectionwetgeving per land verschilt. Zo is de wetgeving in de EU strenger dan die in de VS, en in Frankrijk en Duitsland is die weer strenger dan in Nederland (zie ook De Vrede, 2011). Vernietiging van gegevens
Van bestandssystemen zoals HFS, FAT en NTFS is bekend dat een verwijderd bestand uit de recycle bin teruggehaald kan worden of dat restanten bewaard zijn gebleven op de harde schijf. Bij een cloudprovider is dat waarschijnlijk ook het geval. Sterker nog, cloudproviders werken graag met bigdatatechnieken die gegevens redundant opslaan zodat ze soms nog jaren na verwijdering te vinden zijn. Zulke informatie kan in een e-discoveryonderzoek voor ongewenste verrassingen zorgen.
Legal hold
Een legal hold is het bevriezen van gegevens zodat ze niet gewijzigd of vernietigd kunnen worden. Deze maatregel zorgt ervoor dat het proces van kopiëren en verwerken zich eerst kan richten op de belangrijkste informatie zonder dat onderzoekers zich zorgen hoeven te maken dat andere informatie verdwenen is als die later toch van belang blijkt.
Authenticatie
Zonder goede authenticatie is de identiteit van gebruikers in de cloud onbetrouwbaar, waardoor het leveren van bewijs tegen een persoon moeilijk is. Vooral bij mashups is het belangrijk dat er één centraal authenticatiemechanisme is. Doordat in de cloud de fysieke barrière van een beveiligde bedrijfstoegang ontbreekt, is het verstandig om two-factorauthenticatie toe te passen, bijvoorbeeld een pincode en een smartcard waarmee een gebruiker in twee stappen inlogt of een transactie goedkeurt.
Datamining
In een onderzoek is meestal behoefte aan speciale dataminingtechnieken die niet uitgevoerd kunnen worden met standaardbedrijfssoftware. In dat geval schrijven e-discoveryspecialisten speciale SQL-zoekvragen voor databasedumps van bedrijfssystemen, zoals de financiële boekhouding, salarisadministratie en facturatie. Een
databasedump maken van clouddata is lastig vanwege de omvang. Bovendien zitten er in een complete dump ook gegevens van andere bedrijven die niet onderzocht mogen worden. Dit betekent dat bedrijven en providers vooraf goed moeten bedenken op welke manier wel onderzoek mogelijk is.
Voorsprong
De afgelopen jaren zijn producenten van e-discoverysoftware functies gaan toevoegen om ongestructureerde data van websites, online e-mail en elektronische documenten in de cloud te kunnen downloaden. Daarnaast worden er nieuwe clouddiensten ontwikkeld die gericht zijn op het efficiënt kopiëren en archiveren van informatie uit populaire clouddiensten waarin deze mogelijkheid ontbreekt (zie onder). Zo lost de cloud in feite zelf haar eigen e-discoveryprobleem op. Aangezien de traditionele ICT-infrastructuur in e-discoveryfunctionaliteit tekortschiet en minder flexibel is, zou de cloud binnen enkele jaren wel eens een voorsprong kunnen krijgen. Maar zelfs als clouddiensten de komende jaren een stormachtig succes blijken, dan nog zullen bedrijven geruime tijd te maken hebben met hybride oplossingen waarbij data gedeeltelijk in de cloud en gedeeltelijk op servers in het bedrijf worden opgeslagen. Voorlopig kunnen we nog niet zonder de traditionele e-discovery-tools.
Clouddata identificeren en verzamelen
Het identificeren en verzamelen van traditionele clouddata, zoals HTML en e-mail, wordt langzaam onderdeel van e-discoverysoftware. De allereerste integraties verlopen in veel gevallen via standaardprotocollen zoals HTTP, IMAP en POP3. Deze protocollen lenen zich echter niet voor bulkoperaties en bieden ook weinig mogelijkheden om bestandskenmerken uit te lezen. Inmiddels zijn er producten die ook moderne clouddata uit bijvoorbeeld Microsoft Office 365 verzamelen. Sommige producten gebruiken daarvoor een interface van de betreffende dienst, maar andere producten integreren met zogenaamde content connectors, zoals die van EntropySoft.
Naast deze producten ontstaan er nu ook e-discovery-clouddiensten. Deze diensten richten zich op het kopiëren van websites en het capturen van social media en documentclouds. Enkele voorbeelden daarvan zijn Pagefreezer, iCyte, Iterasi, Smarsh, Radian6, Camtasia, Arkovi, Nextpoint, Google Postini en CloudLock.
 
KADER
Gov cloud in Los Angeles
Twee jaar geleden werd bekend dat de gemeente Los Angeles besloten had over te stappen op de Google-cloud. Een van de voordelen waarmee de gemeente over de streep werd gehaald, was de garantie dat gegevens versleuteld werden opgeslagen en zouden worden verwerkt binnen de VS. In een artikel in Forbes (Murphy, 2011) is te lezen dat de gemeente inmiddels korting heeft bedongen omdat de e-discoverymogelijkheden in de Google-cloud tekortschieten. Ongetwijfeld zullen Microsoft, Amazon en Google de ontwikkeling van e-discoveryfunctionaliteit in hun clouddiensten een hogere prioriteit geven.
 
 
Literatuur
Henseler, H. (2011). Digitaal rechercheren. Automatisering Gids , 1 april 2011, www.automatiseringgids.nl/ achtergrond/2011/13/digitaal-rechercheren.
Murphy, B. (2011). e-Discovery in The Cloud Not As Simple As You Think. Forbes , 29 november 2011, www.forbes.com/ sites/jasonvelasco/2011/11/29/e-discovery-in-the-cloud-notas-simple-as-you-think.
Vrede, T. de (2011). ‘Ook klant is verantwoordelijk voor veiligheid data’. Automatisering Gids , 11 maart 2011, www. automatiseringgids.nl/achtergrond/2011/10/ook-klant-isverantwoordelijk-voor-veiligheid-data.
Hans Henseler
is lector e-discovery in het kenniscentrum Create-IT van de Hogeschool van Amsterdam (zie www.hva.nl/e-discovery). Hij is tevens partner bij Fox-IT. E-mail: j.henseler@hva.nl.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag