Hoewel informatiebeveiliging een keiharde noodzaak is, en de veiligheidsrisico’s alleen maar toenemen, ontbreekt bij veel organisaties een goed beleid hiervoor. Dit vloeit deels voort uit het ontbreken van voldoende budget om zo’n beleid te implementeren en te onderhouden. Het is echter ook mogelijk om met beperkte middelen en maatregelen de beveiliging substantieel te verbeteren.
Virtueel privé Bij een vpn (virtual private network) wordt door middel van techniek over een bestaand netwerk een beveiligde verbinding (virtueel) tot stand gebracht tussen twee gebruikers (-groepen). Deze virtuele verbinding is met behulp van encryptie te versleutelen. Zo wordt veilige communicatie gegarandeerd. |
Informatiebeveiliging is het samenstellen en implementeren van een samenhangend pakket van maatregelen en procedures om de beschikbaarheid, exclusiviteit en integriteit van informatie te garanderen.
Kort door de bocht komt het erop neer dat men zich ten aanzien van beschikbaarheid, exclusiviteit en integriteit, het volgende moet afvragen. Beschikbaarheid: werkt mijn pc, mijn netwerk, mijn mail, mijn database? Functioneert het op die momenten dat ik dat wil? Vaak van acht tot vijf, maar naarmate de globalisering oprukt ook meer en meer volcontinu. Exclusiviteit: als het werkt, zijn de gegevens dan alleen maar te benaderen door hen die daar functioneel recht op hebben, die daarvoor geautoriseerd zijn? Denk hierbij aan de Wet op de Bescherming van Persoonsgegevens (WBP) en aan aardsere zaken als financiële autorisaties. Integriteit: kloppen de gegevens in mijn databases, zijn de cijfers van de boekhouding correct en is de ingekomen mail van mijnheer Jansen ook echt van hem?
Kan het een tandje lager
Informatiebeveiliging is niet alleen kwaliteitszorg, maar ook een vorm van modern beheer. Kwaliteitszorg kost geld en goed beheer kost geld. Een goede informatiebeveiliging kost dus ook geld. Veel geld zelfs, zeker als het van de grond af aan opgebouwd moet worden. Voor een gemiddeld ministerie, of organisaties van een vergelijkbare omvang, praat je initieel al snel over miljoenen euro’s. Het op peil houden van een goed informatiebeveiligingsniveau bij dergelijke organisaties kost al gauw één tot twee miljoen per jaar. Dat is veel geld. Het is goed te begrijpen dat beslissers zich afvragen of al dat geld voor informatiebeveiliging nu wel zo nodig moet, of het niet een tandje lager kan?
Het is eigenlijk dezelfde discussie als die over het afsluiten van een opstal- of allrisk– verzekering. Het is zonde van het geld, je hoopt het nooit nodig te hebben, maar zekerheidshalve sluit je hem toch maar af. Het kip-en-ei-verhaal bemoeilijkt deze discussie nog extra. Immers: bij een goed georganiseerde informatiebeveiliging gebeurt er weinig tot niets, zijn er geen incidenten. Hoe toon je nu aan dat er zonder die goede informatiebeveiliging wel incidenten zouden zijn geweest?
Het is niet de bedoeling angsten op te roepen voor gebeurtenissen die wellicht nooit zullen plaatsvinden en om de informatiebeveiligingsleer te prediken, maar een waarschuwing is hier wel op zijn plaats. Een paar spraakmakende voorbeelden wijzen wellicht op reële gevaren.
Militaire geheimen
Dat er iets aan informatiebeveiliging gedaan moet worden drong het eerst door tot de ministeries van Defensie en Buitenlandse Zaken. Het begon onder de vlag van computerbeveiliging en breidde zich in de loop van de tijd uit tot een volwaardige, doorgaans goed georganiseerde informatiebeveiliging. Buza begrijpt al sinds mensenheugenis dat de communicatie met de wereldwijd verspreide ambassades goed beveiligd moet zijn. Het bewustzijn daarvan bij de medewerkers is in het algemeen dan ook groot. De meesten realiseren zich dat er veel slechtheid in de wereld is, onder andere in de vorm van spionage, en dat er dus afgeluisterd wordt. Ze beseffen dat het ministerie zich daartegen moet beveiligen.
Ook bij Defensie is het duidelijk dat het ministerie militaire geheimen (Navo) moet beschermen. Defensie is waarschijnlijk het best beveiligde ministerie met het hoogste veiligheidsbewustzijn. Objecten worden prima bewaakt, vertrouwensfunctionarissen worden gescreend en gerubriceerde documenten worden geregistreerd en opgeborgen in kluizen of in paternosterkasten die in goed beveiligde ruimten staan. Midden jaren tachtig stellen de krijgsmachtsdelen de eerste officiële computerbeveiligingsspecialisten aan. In 1995 beslist de Koninklijke Landmacht om vijftien miljoen gulden aan Philips te betalen voor de ontwikkeling van de ‘Veiligheids-kaart’.
Het idee van die ‘V-kaart’ kwam van de interdepartementale werkgroep beveiliging van de overheid. Defensie dacht een zware gebruiker te worden en trok het project naar zich toe. Philips kreeg opdracht zo’n kaart te ontwerpen. De bedoeling is om een kaart op creditcardformaat te gebruiken met daarin een of meerdere chips. De kaart moet te gebruiken zijn voor de fysieke toegang tot objecten. Het moet dus primair een identiteitskaart zijn, maar hij moet ook inzetbaar zijn als identificatiekaart bij vpn- en pki-toepassingen (zie kaders). Men wil er zelfs encryptiesoftware op installeren. Het project sleepte zich voort tot ergens in 2000. Onderweg is het dermate afgeslankt dat er van het oorspronkelijke idee weinig rest. De landmacht wil het project kwijt en probeert het af te stoten naar DTO (Defensie Telematica Organisatie).
Hakkerspionagezaak
Al in 1995 is de landmachtstaf dus ervan overtuigd dat ook de elektronische informatievoorziening goed geregeld moet worden. Ze wil daar 6,8 miljoen euro voor uittrekken. Dat het met de V-kaart niet goed afloopt doet nu niet ter zake. Doordat men zich al in 1995 realiseert dat informatiebeveiliging belangrijk is, heeft Defensie nu prima beveiligde netwerken. Het beschikt over vpn en er is door de Aivd goedgekeurde encryptiesoftware voor de harde schijf van laptops en bijzondere pc’s.
Defensie begrijpt, mede onder invloed van de Amerikanen en (West-) Duitsers, al vroeg welke risico’s het loopt. In 1988 en begin 1989 zijn de Amerikanen geconfronteerd met een hakkerspionagezaak (bron: Spionage per Computer, uitgeverij De Balans). Drugsverslaafde West-Berlijners zien kans om via het dan nog in de kinderschoenen staande internet en een Zwitserse elektriciteitscentrale, in te breken in het Nasa-netwerk. Ze stelen militair-strategische geheimen en verkoopt deze aan de Oost-Duitse inlichtingendienst. Van de opbrengst kopen de hackers drugs. Ze worden op 2 maart 1989 gearresteerd, primair dankzij een oplettende Amerikaanse mainframebeheerder. Na de arrestatie blijken ze wereldwijd gehackt te hebben bij bedrijven als Thomson CSF, MBB, Dornier, Porsche, 3M en SCS. De Amerikaanse en West-Duitse overheid lichten hun Navo-partners in.
Dichter bij huis en van recentere datum zijn twee gebeurtenissen die zich afspelen bij het ministerie van Justitie. In november 2002 meldt de hoogste beveiligingsambtenaar (bva) van dit ministerie, Ton Fintelman, op een bijeenkomst van informatiebeveiligingsfunctionarissen dat zijn ministerie geïnfiltreerd is (geweest) door leden uit de criminele sector. Enkele van hen zijn gearresteerd, maar het is niet uitgesloten dat er nog steeds infiltranten actief zijn binnen Justitie. Daarom roept Fintelman alle informatiebeveiligingsfunctionarissen op om méér dan alert te zijn.
Zo’n drie maanden later melden de dagbladen dat bij een rechtszaak een crimineel die verdacht wordt van de overval op een geldtransport tegenover de rechter verklaart dat hij de gegevens over het transport verkregen heeft door het Justitienet te hacken.
Aardig bijverdiend
Deze voorbeelden, die zich afspelen bij grote ministeries, spreken wellicht wat minder aan, waardoor het de ver-van-mijn-bed-show is. Er zijn echter ook legio, soms heel gemene, vormen van inbreuk op de informatiebeveiliging in kleinere organisaties. Onderzoek heeft aangetoond dat de meeste inbreuken (circa 70 procent) van binnenuit komen. Eigen medewerkers hacken bedrijfsapplicaties om hun salaris, overuren of verlofregistratie te manipuleren, en soms om grote sommen geld achterover te drukken. Vooral de banken, ook de Nederlandse, zijn vele malen geconfronteerd met dit fenomeen. Daarbij gaat het om diefstal van miljoenen euro’s per jaar. Begin april publiceert Automatisering Gids ‘Computercriminaliteit wordt doodgezwegen’. Dit artikel maakt pijnlijk duidelijk dat veel van deze incidenten uit schaamte of ter voorkoming van vermeend imagoverlies geheim gehouden worden.
Er wordt ook aardig bijverdiend met het verkopen van bedrijfsinformatie aan concurrenten, vanaf offertegegevens tot en met geavanceerde nieuwe technische ontwikkelingen. Een van de bekendste zaken, die breed is uitgemeten in de landelijke pers, is de affaire Ellen T . Bij een octrooibureau wordt octrooi aangevraagd voor de samenstelling van een bepaald soort rubber dat te gebruiken is in de rupsbanden van rupsvoertuigen. Een van de medewerksters van het octrooibureau kopieert het dossier en probeert de fotokopie te slijten aan een vreemde mogendheid. Omdat het bureau een prima informatiebeveiligingsbeleid geïmplementeerd heeft, wordt haar boze opzet tijdig ontdekt en mislukt de overdracht. T. moet zich voor de rechter verantwoorden en wordt veroordeeld.
Onoplettendheid en onbenul
Niet alleen moedwillig menselijk acteren maar ook onkunde, onzorgvuldigheid, onoplettendheid en onbenul kunnen behoorlijke schade veroorzaken, zoals blijkt uit de volgende voorbeelden.
Een grote organisatie met vier dependances in Rotterdam denkt haar zaakjes goed in orde te hebben. Er zijn zelfs, om energiecalamiteiten te voorkomen, een paar jaar geleden noodstroomaggregaten aangeschaft. De recente stroomstoring in en rondom Rotterdam, veroorzaakt door een heftruck die tegen een elektriciteitsmast aanrijdt, maakt duidelijk dat deze organisatie nog het een en ander moet verbeteren. Slechts één van de vier aggregaten functioneert goed. Twee doen het niet, en één maar twintig minuten; daarna is de diesel op.
Het televisieprogramma ‘Opgelicht’ meldt dat een particuliere jeugdinrichting die een tijdelijk personeelstekort heeft via een particulier beveiligingsbedrijf toezichthoudend personeel inhuurt. Dat personeel wordt niet gescreend. ‘Opgelicht’ doet breed uit de doeken dat een van deze ingehuurde toezichthouders een crimineel is die een aantal criminele activiteiten vanuit deze inrichting opzet.
Terrorisme
Dat criminele organisaties loeren op kansen om informatie te stelen is duidelijk. Hoe zit het met terrorisme? In september organiseerde de Vrije Universiteit van Amsterdam een symposium over ondergronds bankieren. Specialisten uit diverse disciplines en verschillende landen presenteerden praktijkvoorbeelden van het reilen en zeilen van grote criminele en terroristische organisaties. Van witwassen tot en met het verduisteren van gigantische bedragen, het is allemaal aanwezig.
Hét communicatiemedium is ook bij dit soort activiteiten het anonieme internet, maar er wordt net zo makkelijk gebruik gemaakt van bedrijfs- en overheidsnetwerken. Ook gewone telefoon- en faxverbindingen zijn belangrijke communicatiemiddelen. Het terrorisme is overal. Wereldwijd zijn grote terroristische netwerken opgezet, vaak samengesteld uit onschuldige deelnemers die zich niet realiseren dat ze werken ten dienste van dat terrorisme. Argeloze wereldburgers worden misbruikt om financiële transacties uit te voeren. Ze denken dat ze bijvoorbeeld de derde wereld helpen, maar in werkelijkheid zijn hun activiteiten gericht op het financieren van ondergrondse terroristische acties.
Organisatieverbetering
Dit was een kleine greep uit de vele informatiebeveiligingsincidenten van de afgelopen vijftien jaar. Het gebeurt écht, ook in Nederland en vrijwel zeker ook in uw bedrijf. Informatiebeveiliging is dus steeds meer een harde noodzaak. Maar wat te doen als het budget beperkt is, als de benodigde miljoenen niet ter beschikking staan?
Twee sleutels Iedere pki-gebruiker (public key infrastructure) krijgt twee sleutels. Eén sleutel is publiek, de andere sleutel is vertrouwelijk (vergelijkbaar met de pincode). De combinatie van deze twee sleutels identificeert de gebruiker (elektronische handtekening), en stelt hem bijvoorbeeld in staat om met behulp van encryptie vertrouwelijk te communiceren via internet. Met pki zijnde identiteit, vertrouwelijkheid en integriteit onweerlegbaar te garanderen. |
Ten eerste wordt de fysieke beveiliging op orde gebracht. Hierdoor ontstaat niet alleen zicht op wie het bedrijf in- en uitgaan, maar ook op wie er eigenlijk werken. Bij een organisatie met 350 medewerkers bleken bijvoorbeeld na een actualisering 160 medewerkers teveel geregistreerd te staan als netwerkgebruiker.
Nadat de fysieke beveiligingsmaatregelen geïmplementeerd zijn, is het de beurt van de Piofah-afdelingen (Personeel, Informatie, Organisatie, Financiën, Administratie, Huisvesting) om zich aan te passen aan het informatiebeveiligingsbeleid. Exemplarisch voor deze organisatorische verbetering is de vooruitgang binnen de P-poot.
Een goed informatiebeveiligingsbeleid geeft richtlijnen voor het aannemen van personeel. Bij het sollicitatiegesprek al vertellen dat het bedrijf informatiebeveiliging belangrijk vindt en daar ook veel aan doet. Voor sommige functies, bijvoorbeeld vertrouwensfuncties, moet eerst een veiligheids- of antecedentenonderzoek plaatshebben. Dit moet in de personeelsadvertentie staan, zodat die het kaf al van het koren scheidt. Mensen met slechte bedoelingen zullen immers zo’n onderzoek niet aandurven. De enkeling die dat risico neemt komt er niet door. Op dit moment worden mensen vaak in goed vertrouwen aangenomen. Een veiligheidsonderzoek ontbreekt en achteraf zit de organisatie met een probleemgeval. Zo’n regime is lastig want het wervingsproces duurt langer, maar het resultaat is dat de gemiddelde integriteit van de organisatie stijgt. Dat geeft op termijn veel winst.
Harde noodzaak
Als men nog steeds niet overtuigd is van het feit dat er een stevig informatiebeveiligingsbeleid moet worden geïmplementeerd, volg dan op zijn minst de volgende adviezen op. Dat zal al tot opmerkelijke verbetering leiden. Misschien dat dan alsnog het besef komt dat het beveiligen van informatie een harde noodzaak is.
Beperk de autorisatie, de kring van mensen die alles moeten weten. Zorg voor documentveiligheid; berg vertrouwelijke (dus ook commerciële- en persoonsdossiers) deugdelijk op. Let op de fysieke beveiliging; sluit kamers af en installeer een alarm of detector – dat zijn echt de kosten niet. Wees niet loslippig; let op wat u zegt in publieke ruimten. Denk aan de verbindingsbeveiliging; houd ook de gsm in de gaten, want boosdoeners kunnen meeluisteren. Zorg voor anti-virus- en anti-hackersbeleid; laat een firewall tussen netwerk en internet plaatsen. Tot slot: houd op een gezonde manier uw eigen en ingehuurd personeel in de gaten en laat hen zo mogelijk liefst screenen.< BR>
Willem van Ravestijn RI, management consultant Atos Origin