Informatieveiligheid wordt wettelijk mee geregeld. Meer concrete info hierover krijg je in het opo Recht aangeboden. In grote lijnen betreft het de beveiliging van informatie tegen onbevoegde toegang of wijzigingen en de maatregelen die daartoe genomen dienen te worden. Beschikbaarheid, integriteit, vertrouwelijkheid, authenticiteit, onweerlegbaarheid en auditeerbaarheid maken hier deel van uit.
- Beschikbaarheid: wie rechten heeft moet op het gewenste moment toegang hebben tot data
- Integriteit: de data dienen juist en volledig bewaard te worden
- Vertrouwelijkheid: enkel aan wie rechten heeft op de data mogen deze beschikbaar zijn
- Authenticiteit: herkomst en originaliteit van data dienen duidelijk te zijn
- Onweerlegbaarheid: de data moeten werkelijk zijn
- Auditeerbaarheid: gebruik en manipulatie van data moet traceerbaar zijn
De eerste toepassingen van verificatie als individu in een digitaal systeem zijn verbonden aan het gebruik van geldautomaten. Hoewel het voor velen zal lijken alsof geldautomaten altijd bestaan hebben en ze met de vele digitale transacties vandaag misschien zelfs al ouderwets lijken, bestaan de geldautomaten maar sinds 1967. In deze tijd was een token of ticket nodig dat door een bankbediende verstrekt werd om je aan de machine te identificeren. Pas in 1970 werd het gebruik van een pincode gepatenteerd en ingevoerd. Hierdoor werd het mogelijk om door gebruik van een code zonder andere menselijke input jezelf te identificeren en geld af te halen. De code vormde een tweeluik met een gemagnetiseerde kaart. Een systeem zoals we het vandaag nog kennen.
Een code als inlog werd in deze beginperiode van de digitalisering vooral aangewend om je identiteit zichtbaar te maken. Zo werd het gekoppeld aan toegang tot specifieke data waar je recht op had of een locatie die je mag betreden. Pas in een later stadium zal deze identificatie dankzij de evolutie ook gebruikt worden om gegevens te bewaren die gerelateerd zijn aan je identiteit Bv. welke pagina’s je bezocht hebt, welke links aangeklikt, hoe lang een pagina bezocht, … Daarnaast zorgen nieuwe hardware ook voor nieuwe mogelijkheden om data te verzamelen en te koppelen aan je persoon of device. Denk maar aan je smartwatch en telefoon die je verplaatsingen registreren. Bruikbaarheid en toegankelijkheid van deze data ten dienste van jezelf, houden ook steeds in dat er toegang tot deze data zorgzaam moet beheerd worden om misbruik te vermijden.
Vanzelfsprekend is de mogelijkheid om data af te schermen van wie ze niet moet kunnen zien een meerwaarde in het kader van privacy. Anderzijds is de flexibele digitale toegang tot, in de meeste gevallen, informatie (of in geval van de geldautomaat of een huisalarm materiële zaken) zonder inmenging van anderen een technologie die vrijheid geeft.
Veiligheid van deze systemen blijft een aandachtspunt. Net als in de materiële wereld zijn criminelen de echte ontwikkelaars al een stap voor. Bij elke nieuwe vorm van identificatie zal de veiligheid een belangrijk gegeven zijn.
Ontwikkeling van inlogmechanismen onderging een hele evolutie, waarbij meerstaps verificatie vandaag erg courant is. Zelfs bij gebruik van je sociale media heb je de mogelijkheid dit toe te passen.
SFA, 2FA, MFA
“Something you know, something you have, something you are”
Er bestaat single-factor authentication (SFA) twee-stap verificatie (2FA), maar ook drie, vier en intussen 5 stap verificatie (MFA – multi factor authentication).
Bovenstaande formulering verwijst naar een courante combinatie in drie-stap verificatie. Something you know is je code die je kent. Something you have is een kaart, badge, barcode. Something you are is een vingerafdruk, irisscan, … In sommige systemen wordt dit nog aangevuld met verificatie op basis van locatie, “somewhere you are” (denk aan de mail die je ontvangt wanneer er van op een vreemde locatie ingelogd werd op je google-account) en een specifieke handeling die je doet “something you do”. Dit laatste verwijst naar een specifieke handeling gekoppeld aan een beeld op je telefoon bijvoorbeeld wat vooraf ingesteld is.
Vaak wordt de input van deze gegevens ook vereist via twee verschillende kanalen, bv. je pc en je telefoon, een klavier en een kaartlezer, … Op deze wijze wordt het de koppeling van de identificatie ook beter beschermd. Dit heet Out-of-Band authentication (OOB).
En dan is er tot slot nog het verschil tussen multi-step authenticatie en multi-factor-authenticatie. In het eerste geval worden meerdere gegevens gecontroleerd, maar in een cascade systeem. Eens je paswoord en login geverifieerd zijn, vraagt het systeem je ook nog een token te gebruiken. In dit geval weet je alvast dat de eerste combinatie correct was en vervalt de authenticatie eigenlijk naar een SFA. In een echte multi-factor authenticatie gaat het systeem alle elementen gelijktijdig controleren. Indien de toegang niet verleend wordt weet de gebruiker niet welk van de diverse elementen niet correct is en blijft het niveau van beveiliging dus behouden.
Naast de beveiliging van de gegevens door het beperken van inlog op een systeem is er vandaag ook veel aandacht voor beveiliging van data in meer fysieke zin. Vaak is het immers veel makkelijker om toegang tot data te krijgen eens je in een gebouw of infrastructuur binnen bent waar de data opgeslagen worden. Naast de beveiliging tegen benadering van op afstand is dus ook de beveiliging van de fysieke ruimte belangrijk. Denk hierbij aan de verpleegkar met dossiers die in de gang staat van het ziekenhuis. Eens je in het ziekenhuis bent wordt het wel erg bereikbaar. Maar ook grote ruimten waar gegevensopslag plaats vindt zijn mogelijke doelwitten van criminelen, zeker in bijvoorbeeld een setting waar gegevens bewaard worden die interessant kunnen zijn voor onderzoek.
Als je als verpleegkundige naar deze realiteit kijkt, geeft het je meteen ook een zicht op het belang van de beveiliging waar je zelf mee geconfronteerd wordt. Misschien heb je tijdens het lezen zelfs al gedacht aan pijnpunten in het werkveld waar data misschien te toegankelijk zijn voor niet bevoegden. Herhaaldelijk moeten inloggen is soms vervelend en een van de vele klachten die eindgebruikers hebben in tijden van digitalisering. Het wordt ervaren als een tijdverlies. Belangrijk is voor ogen te houden dat de digitale opslag van gegevens aan het eind van de rit een onbetaalbare bijdrage zal leveren aan efficiëntiewinst en kennis op basis van data-analyse. Daar tegenover staat echter de noodzaak om de verzamelde data en systemen veilig af te schermen. Die investering vertaalt zich vooral in tijd en ontwikkeling van nieuwe gebruikersgewoonten.
Een tegemoetkoming aan deze nood is de single-authentication login. Hierbij wordt een systeem zo opgebouwd dat een user met een eenmalige login diverse toepassingen kan ontgrendelen op eenzelfde device.
Het belang van inloggen en uitloggen reikt ook verder dan de beveiliging van de gegevens. In een tijdperk van digitalisering worden ook alle activiteiten van de gebruiker getraceerd in vele systemen. Laat het duidelijk zijn dat het in eigen belang is zich hier van bewust te zijn en correct uit te loggen en het systeem terug te ‘sluiten’ na gebruik. Zo niet heeft een andere gebruiker, met misschien minder goede bedoelingen, de kans onder jouw identiteit toegang tot het systeem en de data te nemen. Zijn activiteiten worden dan onder jouw identiteit geregistreerd, met alle mogelijke gevolgen van dien.
Ook schijnbaar nuttige manieren van koppelen van systemen en datadeling binnen die systemen houdt risico’s in. Vooruitgang zet aan tot afstemmen van systemen op elkaar, delen van gegevens met elkaar en vereenvoudigen van de structuren. Toch is het belangrijk hierbij het veilig (technisch, wettelijk, ethisch) delen van de data onder de aandacht te houden. Een patiënt die zijn gegevens kan inkijken kan nuttig zijn, maar wat als deze info niet gekaderd is en hij deze niet begrijpt? Wat als de verzekeraar de info van de arts kan lezen? Wie er meer over wil weten kan alvast deze kritische bedenkingen van Dr. de Toeuf eens lezen.