Digitale archivering vertoont te veel witte plekken

Veel informatie ontstaat in digitale vorm en verlaat die vorm in feite niet meer. Om die informatie veilig te stellen worden regelmatig reservekopieën gemaakt, op tape of op cd. Daarmee wordt de houdbaarheid van die informatie gegarandeerd, althans zo lijkt het. Software verandert echter regelmatig, neerwaartse compatibiliteit is niet tot in lengte van jaren gegarandeerd, en dragers en computers verouderen. Digitale duurzaamheid kan betrekking hebben op een lange tijdspanne, in sommige gevallen meer dan honderd jaar. Maar zelfs als de termijn een periode betreft van zeven jaar kan een organisatie al problemen krijgen. Niet alleen het leesbaar en toegankelijk bewaren kan op termijn een probleem worden, ook de betrouwbaarheid en authenticiteit moeten gewaarborgd zijn. Niet op orde In veel organisaties wordt een substantieel deel van de tijd van medewerkers besteed aan de conversie (in enigerlei vorm) van digitale informatie. Digitale informatie van tien jaar geleden is namelijk vaak niet meer toegankelijk/leesbaar zonder die conversie. Veel digitale archieven zijn niet op orde: er wordt te veel en te weinig weggegooid (oftewel: de verkeerde dingen worden weggegooid), aangezien individuele medewerkers niet geïnteresseerd zijn in langdurige bewaring noch in een organisatiebreed goed geregeld archief. Men leeft bij deelarchieven. Tegelijkertijd wordt naast de langdurige bewaring ook de garantie van authenticiteit en integriteit steeds belangrijker. De digitale handtekening krijgt binnenkort rechtsgeldigheid. Dit wetsvoorstel ‘Elektronische Handtekeningen’ is op 14 maart 2002 bij de Eerste Kamer ingediend en bevat enkele vereisten voor de geldigheid van de elektronische handtekening. Documenten worden digitaal getekend om later onweerlegbaar te kunnen vaststellen wie op welk moment het betreffende document of de beschikking heeft getekend. We kunnen vanuit drie invalshoeken naar deze vorm van informatiebeveiliging kijken: beschikbaarheid, integriteit en vertrouwelijkheid. Bedrijven en overheden maken in het beste geval een risicoanalyse om hier zicht op te krijgen. En vervolgens rijst de vraag: dienen de beschikbaarheidseisen die een organisatie, bijvoorbeeld een gemeente, stelt aan een nieuw te bouwen systeem ook van toepassing te zijn op de verduurzaamde informatie? Bij de aanvraag van een vergunning voor het vervoer van gevaarlijke stoffen kan het bijvoorbeeld essentieel zijn dat deze binnen korte tijd wordt verleend. Indien we echter na verloop van jaren willen kunnen vaststellen of de vergunning volgens de regels is verleend, is het daarentegen wellicht acceptabel dat het een maand duurt voordat deze informatie in een verduurzaamde vorm boven tafel komt. Het integriteitsaspect is in principe door de digitale handtekening afgedekt, mits uiteraard deze handtekening zelf is verduurzaamd. Eisen ten aanzien van de vertrouwelijkheid verschillen als het gaat om het huidige informatiesysteem of de verduurzaamde informatie. De risicoanalyse zal hierop moeten inspelen, want niet alleen moet de vraag worden gesteld hoe vertrouwelijk de informatie moet zijn, maar ook voor hoelang. Waarmee we weer zijn aangeland bij de vraag: wat bewaren we niet, wat wel en voor hoelang? Op technisch vlak moeten we vaststellen dat de verschillende beschrijfbare dragers (cd­r’s) nog steeds een beperkte levensduur hebben, dat de verschillende versies van toepassingsprogrammatuur elkaar in hoog tempo opvolgen (zonder garantie van neerwaartse compatibiliteit over meerdere generaties) en dat hardware ook nog steeds een hoge evolutiesnelheid heeft. Fraaie oplossing Ten aanzien van de oplossingsrichtingen moeten we een onderscheid maken tussen reparatie achteraf (verduurzamen) en vooraf (preventie). Bij verduurzamen geldt dat het probleem zich in feite al heeft voorgedaan: gegevens zijn opgeslagen in een legacysysteem dat niet meer onderhouden kan worden, terwijl de gegevens nog wel behouden moeten blijven. In de literatuur worden daar meerdere methodes voor aangegeven, maar in de praktijk blijken slechts enkele een kans van slagen te bieden. Emulatie (het ‘nadoen’ van oudere machines en programmatuur op nieuwere machines en platforms) is in theorie een fraaie oplossing, maar het heeft zich in de praktijk nog niet bewezen. Er zitten ook nogal wat organisatorische consequenties aan vast: Wie wil alle emulatoren in huis hebben en houden die over een termijn van meer dan honderd jaar nodig zijn? Zoiets is alleen op te lossen met een samenwerkingsstructuur. Viewers (programma’s waarmee oudere bestanden bekeken kunnen worden) blijken in de praktijk veel problemen te veroorzaken, getuige de resultaten van recente tests bij het Testbed Digitale Duurzaamheid (www.digitaleduurzaamheid.nl). Migratie is in feite de enige methode die in de praktijk blijkt te werken. Migratie naar nieuwe versies van programmatuur houdt echter in dat het op regelmatige basis uitgevoerd zal moeten worden. Dat betekent ­ los nog van mogelijk dataverlies of verandering van ‘uiterlijk’ ­ een regelmatig terugkerende kostenpost. Migratie naar een XML­omgeving biedt in dat verband aanzienlijke voordelen: alle data en opmaakgegevens zijn leesbaar, want volledig Ascii, data zijn toegankelijk (XML labelt immers gegevens), en migratie behoeft niet regelmatig uitgevoerd te worden. Het past hier om te wijzen op een beperking: verduurzaming van tekstdocumenten door middel van migratie naar XML lijkt voor oudere documenten op dit moment geen haalbare kaart te zijn. Daarvoor is de complexiteit van de opmaakgegevens van die documenten te groot. Terecht dan ook dat de overheid in een regeling voor duurzame en toegankelijke opslag (2001) heeft aangegeven dat PDF hiervoor een optie is, hoewel men zijn twijfels kan hebben bij het omarmen van een standaard die eigendom is van één bedrijf. Wat ook de technologie is die gebruikt wordt voor verduurzamen, van belang blijft het vooraf selecteren van het te bewaren materiaal. Daarvoor zullen in de beheersomgeving faciliteiten ingebouwd moeten worden. Het voorkomen van digitaal verval is met name een organisatorisch probleem. Voor alle gegevens­ en documentverzamelingen in een organisatie moet immers aangegeven worden hoelang ze bewaard moeten blijven. In een archiefomgeving is dat een standaardpraktijk, aangezien daar gewerkt wordt met selectielijsten die voor elke handeling van een organisatie aangeven wat de bewaartermijn is. In veel organisaties staat het archief echter traditioneel aan het eind van de levenscyclus van documenten en gegevens. Voor het bewaken van de duurzaamheid van informatie is het noodzakelijk dat de archiefpraktijk betrokken wordt bij het ontstaan van documenten en gegevens. Op dat moment kan immers al aangegeven worden met hoeveel zorg die documenten en gegevens omringd moeten worden, wat de selectiecriteria zijn en de authenticiteitseisen. Zowel digitale duurzaamheid als de digitale handtekening worden door de Nederlandse overheid neergelegd bij de ICT Uitvoeringsorganisatie (ICTU). De samenhang tussen beide initiatieven is van cruciaal belang. Immers, de digitale handtekening wordt gezet over het origineel van een digitaal document. De kleinste verandering van dit originele document maakt de handtekening ongeldig. Bij digitale duurzaamheid kunnen documenten duurzaam worden gemaakt door emulatie van oude software of door het document te migreren naar een duurzaam formaat. Indien voor de laatste optie wordt gekozen, zal het document vanaf het eerste moment al in een duurzaam formaat moeten worden gebracht en daarna digitaal worden getekend door de bevoegde ambtenaar. Eerst digitaal tekenen en later verduurzamen, zou leiden tot het verliezen van de juridische rechtskracht en waarborgen die de digitale overheid graag wil bieden. Informatiebeveiliging, de digitale handtekening en digitale duurzaamheid vormen een drie­eenheid die vanaf scratch in ieder nieuw informatiesysteem dient te worden geïmplementeerd. Maar hierbij geldt zeker: bezint eer ge begint. Deskundig advies inwinnen en gezond verstand gebruiken is een eerste stap. Daarnaast dient men vooral ook samen te werken met anderen in plaats van het wiel zelf te willen uitvinden. Bijvoorbeeld op het vlak van vertrouwensdiensten op basis van web services is nog veel te verwachten, zodat de ‘prachtige oplossing’ wel eens achterhaald zou kunnen worden door die ontwikkelingen. Witte plekken Wat zijn nu de randvoorwaarden om digitale informatie duurzaam en betrouwbaar voor de lange termijn te bewaren? We kunnen vaststellen dat er nog verschillende witte plekken bestaan, zowel op het terrein van de technologie, de standaarden, de organisatie als de wet­ en regelgeving. Wat betreft de technologie is verdergaand onderzoek naar verduurzamingsmethodes noodzakelijk (viewers, emulatie). Het is dan ook te hopen dat het Testbed Digitale Duurzaamheid niet zijn werkzaamheden per 2004 moet beëindigen. Van de huidige beschrijfbare media kan nog niet objectief worden vastgesteld wat de levensduur is. We zijn afhankelijk van tests, uitgevoerd door fabrikanten. Een onafhankelijke testmethode bestaat nog niet. Daarbij is het te hopen dat programmatuur steeds meer gebaseerd zal worden op XML, zodat inhoud en presentatie op een zinvolle manier gescheiden bewaard kunnen worden. De eerste XML­standaards op het gebied van beveiliging bestaan reeds. Zo zijn er standaarden voor het ondertekenen van XML­documenten inclusief de documenten waar zij zelf naar verwijzen, bijvoorbeeld bijlagen en algemene voorwaarden. Ook zijn er specifieke standaarden (SAML, www.oasis­open.org) die communiceerbaar vastleggen wat de rol is van een betreffende functionaris in een bepaald proces. Dit is van groot belang voor bijvoorbeeld een goede en veilige ketenintegratie tussen organisaties. Deze rolinformatie dient eveneens te worden verduurzaamd indien men het van belang vindt vast te leggen dat degene die een goedkeuring heeft gegeven aan bijvoorbeeld een nota of besluit daarvoor ook daadwerkelijk bevoegd was. Wordt dit niet adequaat ingericht, dan blijven we tot in lengte van dagen opgescheept met een digitaal én een papieren archief die op een of andere wijze met elkaar verbonden moeten zijn. Organisaties zullen veel meer dan voorheen moeten werken aan de bewustwording van hun medewerkers dat hun dagelijkse werk en productie ook voor de langere termijn relevant kan zijn, en dat derhalve onbeheerde deelarchieven ­ die voor een organisatie in feite niet meer zijn dan een ‘zwarte doos’ ­ niet geaccepteerd kunnen worden. Zoiets kan alleen gerealiseerd worden als organisaties een goed doordacht informatie­ en beveiligingsbeleid hebben, hetgeen kan leiden tot de invoering van organisatiebrede document­ en recordmanagementsystemen. Het principe van ‘record keeping’ (vanaf het ontstaan van gegevens volgen en documenteren) dient daarbij leidend te zijn. Het speekwoord ‘wie dan leeft, wie dan zorgt’ gaat niet op voor het onderwerp betrouwbare digitale duurzaamheid. Beveiliging Ook de wetgever kan bijdragen aan goed en duurzaam beheer van informatie. De huidige richtlijnen van de overheid zullen op regelmatige basis tegen het licht gehouden en bijgesteld moeten worden. Een dergelijke actie dient niet alleen in de schoot van de overheid plaats te vinden, maar vooral in samenspraak met de marktpartijen. In het verlengde daarvan kunnen de verschillende spelers gezamenlijk werken aan het totstandkomen van een praktische normering, waarbij gedacht kan worden aan standaardisatie van de eisen voor ‘record keeping systems’, bestandsformaten en afspraken over beveiliging. Op dit laatste terrein is in de Verenigde Staten veel te halen en vrijelijk beschikbaar via internet, maar dat zal uiteraard vertaald moeten worden naar de Europese situatie. Zo wordt er in de Verenigde Staten immers anders aangekeken tegen privacy dan in de huidige wet op de bescherming van persoonsgegevens (WBP), die niet alleen betrekking heeft op de registratie zelf, maar op het gehele proces van verwerving van het persoonsgegeven tot en met de vernietiging. In het geval van gegevens die verduurzaamd bewaard moeten blijven, strekt de werking van de wet zich uit over een periode van tientallen jaren. Als normering te ver voert kan er ook gedacht worden aan het opstellen van praktijkrichtlijnen. Recentelijk heeft het NNI (Nederlands Normalisatie Instituut) daartoe al initiatieven ondernomen ten aanzien van archivering. Ook de Code voor Informatiebeveiliging (CvIB) wordt door het NNI uitgeven. Deze set van ‘best practices’ is inmiddels de internationale ISO 17799­standaard. Tegenover het voordeel van de brede acceptatie staat een nadeel: de set ‘best practices’ loopt per definitie achter bij de problemen van vandaag. Inspelen op de problemen van vandaag kan het beste worden aangepakt door de toepassing van zogenaamde ‘security patterns’ (www.securitypatterns.org). Een ‘security pattern’ is een reeds bestaande oplossing voor een beveiligingsprobleem die op een standaardwijze is gedocumenteerd. Naast de oplossing wordt een exacte formulering gegeven van het probleem tezamen met een beschrijving van de omgeving. Ook wordt beschreven wat de voor­ en nadelen van de oplossing zijn. Op deze wijze kan de juiste oplossing worden gekozen en kan gebruik worden gemaakt van ervaringen van anderen. Zeker op het gebied van informatiebeveiliging is dit geen overbodige luxe, want welke organisatie wil graag met informatiebeveiliging de krant halen? Binnen de bouwkunde en de software­engineering is deze benadering zeker niet nieuw, maar voor de behoudende informatiebeveiligingdiscipline wel. Ook hackers delen op deze wijze effectief informatie met elkaar. De informatiebeveiligers mogen dus niet achterblijven. Het spreekt bijna voor zich dat juist een medium als internet een perfect medium is om dit soort gestandaardiseerde kennis met elkaar op wereldwijde schaal te delen. Ook op het gebied van ‘security patterns’ is inmiddels een internationaal netwerk actief. De technologie heeft ons in het verleden geholpen en zal dat in de toekomst blijven doen. Aan de andere kant: de technologie van gisteren bezorgt ons nu problemen. Willen we die problemen oplossen, dan is verder technologisch onderzoek nodig. Maar, veel belangrijker nog, we moeten ons realiseren dat we die problemen hebben en dat we ze in de nabije toekomst kunnen voorkomen door nú goed beheer toe te passen. Technologie is een hulpmiddel, de mensen moeten het doen. Jan van der Starre is werkzaam als senior­consultant bij Cap Gemini Ernst & Young en is gespecialiseerd in documentaire informatiesystemen. Hij is lid van het hoofdbestuur van de Nederlandse Vereniging van Beroepsbeoefenaren in de Informatieverzorging (jan.vander.starre@cgey.nl).Ben Elsinga is werkzaam als senior­consultant technology bij Cap Gemini Ernst & Young en is gespecialiseerd in vraagstukken op het gebied van informatiebeveiliging. Hij is bestuurslid van het Genootschap voor Informatiebeveiliging (ben.elsinga@cgey.nl).