Open omgevingen zijn de laatste jaren meer en meer een trend geworden. Internet is tot een fenomeen in de samenleving uitgegroeid; bedrijven baseren hun automatisering zelfs op Internet-technologie. Veel bedrijven hebben echter ook in negatieve zin kennis gemaakt met het Net: Internet-criminaliteit is een onmiskenbaar verschijnsel. Om open omgevingen te beschermen is een gecombineerde aanpak van beveiligingsrisico’s nodig.
Inbraken plegen vanuit Nederland in Zuid-Afrika en verder, maar ook andersom, is mogelijk dankzij het wereldomspannende karakter van Internet. Organisaties schaffen kostbare middelen aan om hun Internet-diensten te beveiligen. In de praktijk is dit echter slechts een deel van het werk, juist een gecombineerde aanpak van beveiligingsrisico’s is nodig. Niet alleen de IT-infrastructuur, maar met name de vereiste beheersingsmaatregelen vergen aandacht. Vergeet overigens ook niet gebruikers en beheerders een beveiligingsbewustzijn bij te brengen.
De beheersmatige aspecten van open omgevingen worden vaak zwaar onderschat, terwijl juist de in de IT-infrastructuren toegepaste technieken de nodige zorg verlangen. Het is immers niet alleen van belang dat de huidige beveiliging voldoende is, ook in de toekomst moet die gewaarborgd zijn. Daarnaast resteren risico’s die niet of slechts deels met techniek of beheer zijn op te heffen. Zoals virussen die zich via e-mail in het bedrijf nestelen of het ongemerkt binnenhalen van Java-applets waarmee frauduleuze handelingen kunnen worden verricht. Gebruikers zullen zich bijgevolg meer dan in het verleden bewust moeten zijn van het functioneren van de PC en de mogelijke risico’s. In de dagelijkse praktijk wordt bij vele edp-audits van zogenoemde open omgevingen vastgesteld dat de verschillende vormen van beveiligingsmaatregelen in onvoldoende mate worden toegepast.
Beveiliging dient te zijn gebaseerd op een samenstel van maatregelen in de IT-infrastructuur, beheer en beveiligingsbewustzijn bij gebruikers.
Preventieve beveiliging
Diverse preventieve technieken zijn al beschikbaar om bijvoorbeeld veilig elektronisch handel te drijven via Internet (e-commerce), de privacy te beschermen en inbraken te voorkomen. Een opsomming van de laatste ontwikkelingen geeft meer inzicht in de problematiek. Onlangs heeft Amerika de export toegestaan van encryptietechnieken voor www-diensten (voor sleutellengtes tot 128 bits), mits hiertoe een exportvergunning is aangevraagd. Deze stap is waarschijnlijk het gevolg van het in korte tijd op efficiënte wijze kraken van sleutellengtes en de druk op de Amerikaanse overheid om toch sterkere cryptografische technieken te mogen exporteren.
Nieuwe generaties van ‘firewalls’ reduceren de bedreigingen die inherent zijn aan Internet, de filteringsmogelijkheden worden versterkt en het gebruik wordt eenvoudiger. Organisaties bouwen in toenemende mate een gelaagdheid in hun beveiliging op, zodat bij het doorbreken van een eerste beveiligingslaag het interne netwerk niet direct open ligt voor derden. In de praktijk blijken de meeste firewalls echter nog steeds niet afdoende te beveiligen tegen de bedreigingen van Internet. Dit wordt veroorzaakt door onjuiste instellingen van firewalls of door de slechte kwaliteit van sommige firewalls.
Een andere ontwikkeling bestaat uit de mogelijkheid vanaf een Internet-aansluiting thuis of op de werkplek met I-Pay te betalen. Tevens worden proeven verricht voor betalingen met het Set-protocol (Secure Electronic Transactions). Op basis van cryptografische technieken en directe koppelingen tussen zowel de gebruiker en de leverancier, als tussen de leverancier en de bank, kan online een financiële transactie worden afgewikkeld.
Ook zijn nu diverse ‘certification authorities’ (ook wel Trusted Third Parties – TTP’s genoemd) wereldwijd beschikbaar voor de ‘authentication’ (authentiek verklaring, waarmerking) van gebruikers, servers en bijvoorbeeld Java-applets. Bovendien wordt S/mime geïntroduceerd voor versleutelde overdracht van vertrouwelijke berichten, waarbij de integriteit en de herkomst van berichten worden gewaarborgd. Ook het hulpmiddel PGP (Pretty Good Privacy) wordt hiertoe vaak toegepast.
Detectie als beveiliging
Naast technieken met een preventief karakter zijn ook beveiligingshulpmiddelen met een detectief karakter in opmars.Met het geroemde èn verguisde programma Satan beschikte een doorsnee beheerder over de mogelijkheid om de firewall-beveiliging van de eigen Internet-koppeling te testen. Ook elke beginnende hacker kan dit programma echter benutten voor kraakpogingen.
Intussen zijn commerciële producten zoals ISS (Internet Security Scanner) op de markt verschenen, waarmee niet alleen de eenvoudige – met Satan te detecteren – lekken zijn vast te stellen, maar ook die lekken waarvoor meer technisch-specialistische kennis vereist is. Daarnaast zijn er veel bedrijven die een ‘hack’-poging laten verrichten door een professionele organisatie om nog zekerder te zijn van een afdoende beveiliging.
In de open omgevingen van Internet-, intranet-, extranet-, pull– en push-technologie, programmeertalen als Java en Activex lijkt het eenvoudig oude technieken overboord te zetten en moderne technieken te omhelzen. Oude technieken die niet op meerdere platformen toepasbaar zijn, kunnen uiteindelijk uit de handel worden genomen. Op zich lijkt de keuze voor de moderne technieken een goede.
Zoals aangegeven is cryptografie noodzakelijk om verkeer over Internet veilig te stellen. Hier kleeft echter wel weer een ander probleem aan. De Amerikaanse overheid beschouwt reeds lange tijd cryptografie als defensie-materiaal. Alleen voor specifieke producten en voor beperkte doeleinden is het toegestaan cryptografische technieken te exporteren. In het verleden heeft het verbod op de export van crytografische technieken reeds geleid tot een rechtszaak tegen de maker van PGP (Pretty Good Privacy). De interfaces van besturingssystemen die zijn bedoeld voor het naadloos aansluiten van verschillende cryptografische technieken zijn eveneens in het kader van de Amerikaanse wetgeving onderwerp van discussie, terwijl juist deze interfaces buiten Amerika noodzakelijk zijn voor het toepassen van lokaal ontwikkelde cryptografische technieken.
Cryptografie onontbeerlijk
Mede met de opkomst van extranetten, virtuele uitbreidingen over Internet van het interne bedrijfsnetwerk (intranet), worden cryptografische technieken onontbeerlijk om zogenoemde ‘secure tunnels’ te realiseren. Deze tunnels kunnen nuttig zijn wanneer bijvoorbeeld een eindgebruiker de eigen diensten op het bedrijfsnetwerk veilig via Internet wil benaderen.
Cryptografische technieken zijn afhankelijk van de gevoeligheid van de toepassing, waarbij aspecten als het volume van het te versleutelen dataverkeer en de geldigheidsduur van sleutels een rol spelen. Tevens dient de stand van de techniek te worden gevolgd. Een cryptografische techniek die enkele jaren geleden voor gevoelige transacties werd geaccepteerd, is waarschijnlijk nu reeds te zwak voor dezelfde toepassing. Voor het veilig toepassen van ‘electronic commerce’ zijn actuele en adequate cryptografische technieken noodzakelijk.
Voor het zetten van een digitale handtekening zijn er de zogenoemde ‘certification authorities’ (CA’s). Een CA verzorgt de opslag van digitale handtekeningen in verschillende klassen, afhankelijk van de zekerheid die bestaat omtrent de identiteit van het subject dat zich aanmeldt. Tevens verzorgt een CA de verificatie van digitale handtekeningen. Een van de bekendere bedrijven op dit gebied is Verisign.
CA’s vinden niet alleen toepassing op Internet. Ook intranetten zullen hiervan meer gebruikmaken. Een niet onbelangrijke stap, omdat daarmee centrale beheersing van authenticatiegegevens tot de mogelijkheden gaat behoren. Om open omgevingen, gebaseerd op Internet-technologie, beheersbaar te houden is het introduceren van ‘certification authorities’ een vereiste.
Smartcard voor authenticatie
Een authenticatieproces dat verloopt over een niet-vertrouwd netwerk zoals Internet kan niet slechts worden gebaseerd op wachtwoorden. Deze zijn te eenvoudig te onderscheppen. Authenticatie moet berusten op kennis (password) en bezit (token). Het toenemende gebruik van smartcards is dan ook een positieve ontwikkeling, evenals de geplande opname van een smartcard-lezer in de netwerkcomputer. De smartcards dienen in vele gevallen om gebruikers te identificeren bij ‘remote dial-in’, in het geval van ‘e-commerce’-toepassingen op Internet en voor toegang tot diensten op het interne computernetwerk.
Het gebruik van de programmeertaal Java ondersteunt de overdraagbaarheid van programmatuur op de verschillende beschikbare platformen. De onafhankelijkheid van besturingssystemen wordt hiermee een feit. Daar staat tegenover dat netwerkcapaciteit en -prestatie, die met de eerste client-server-ontwikkelingen meer aandacht kregen, nog belangrijker zullen worden. Voor netwerken zal meer gebruik gemaakt moeten worden van grotere bandbreedten, bijvoorbeeld gebaseerd op atm (asynchronous transfer mode) en ‘frame relay’.
Organisaties zullen bij het ontwerpen van hun netwerk rekening moeten houden met een sterk toenemende behoefte aan bandbreedte, zowel voor Internet-koppelingen als intranetten.
Strategisch en tactisch beheer
Om het bestaande beveiligingsniveau niet te ondermijnen zullen technologische noviteiten zorgvuldig moeten worden toegepast. Een organisatie moet haar beveiliging structureel aanpakken. Op strategisch niveau is een beleid nodig, waarin uitgangspunten zijn vastgelegd voor de beveiliging. En op basis hiervan dienen op tactisch niveau beheersingsmaatregelen te worden genomen, om eenmaal gerealiseerde beveiliging te handhaven, ook voor de toekomst. Onder andere de Code voor Informatiebeveiliging kan hiertoe als leidraad dienen.
Om het management en de systeembeheerders inzicht te verschaffen in de wijze waarop de verschillende componenten van de IT-infrastructuur worden ingericht – om een adequaat beveiligingsniveau te bereiken – zijn standaarden onontbeerlijk.
In zo’n standaard kan worden vastgelegd op welke wijze elke IT-component moet zijn ingericht. Afwijkingen van deze standaard dienen aan het management te worden gerapporteerd, opdat risico’s op het juiste niveau binnen de organisatie worden afgewogen. Beveiligingsstandaarden zijn in elk geval nodig voor de IT-componenten: Internet-koppelingen, Unix, Windows-NT en routers. Ook voor het aansturen van het operationeel beheer van IT-componenten zijn beveiligingsstandaarden nodig. Afwijkingen op deze standaarden dienen eveneens aan het management te worden gerapporteerd.
Balans tussen ‘host’ en netwerk
Als het huidige niveau van beveiliging binnen de eigen organisatie te wensen overlaat, is het wellicht zinvol vast te stellen in welke mate een balans is aangebracht tussen host- en netwerkbeveiliging; zowel wat betreft preventieve als detectieve beveiligingsmaatregelen. Wie is de functionele eigenaar van de Internet-firewall, welke externe koppelingen met de buitenwereld bestaan er nog meer en zijn inbraken te detecteren? En voor de modemgebruikers: wordt er wel eens ingebeld naar Internet, terwijl de PC ook is gekoppeld aan het bedrijfsnetwerk?
Bij Internet-toepassingen is diepgaande organisatorische en technische kennis vereist om voldoende beveiliging te realiseren, nu en in de toekomst. Met behulp van gekwalificeerde EDP-auditors, de RE’s, kan het management de risico’s van Internet bewust te lijf gaan.
ir P. Kornelisse RE,
KPMG EDP Auditors
Zwakste schakel
De zwakste schakel blijft de mens. Bij gebruikers èn beheerders is een cultuurverandering nodig. Beveiliging geniet geen of onvoldoende prioriteit. Campagnes kunnen de aandacht op beveiliging vestigen, bijvoorbeeld via posters, bedrijfskranten, en controles op de werkplek. Iedereen moet zich bewust worden van de technische mogelijkheden en bedreigingen van Internet, zoals het gelijktijdige gebruik van een PC met actieve ‘filesharing’. Als filesharing is geactiveerd, kunnen 80 miljoen Internet-gebruikers de inhoud van de lokale harddisk lezen of vernietigen.