Is het jouw identiteit of niet?

Identiteitsdiefstal alleen te verkomen met encryptie

Identiteitsdiefstal is vandaag de dag één van de meestbesproken onderwerpen en niet alleen binnen de beveiligingswereld. Toch is het niet nieuw. Hoe kan het dat het al jaren een probleem is? Zijn er dan geen oplossingen? Tom de Jongh bespreekt een aantal zaken die in acht genomen dienen te worden.

Hoe worden identiteiten gestolen? Waardevolle informatie bevindt zich overal en wordt steeds vaker op een centrale plek bewaard. Maar gebruikers zijn zich vaak niet bewust van de plekken waar deze gegevens zich bevinden. In veel gevallen is informatie niet beveiligd en kunnen ongeautoriseerde gebruikers eenvoudig toegang hebben tot persoonlijke gegevens, bijvoorbeeld door in te breken op netwerken of door back-uptapes, computers of notebooks te stelen. Gevolg: gebruikersnamen, creditcardgegevens en andere vertrouwelijke informatie liggen op straat.
In juni dit jaar werden we opgeschrikt door een beveiligingsincident bij CardSystems, een onafhankelijk 'clearing center' voor creditcardtransacties tussen banken. Een netwerkinbraak tastte wereldwijd meer dan veertig miljoen klanten aan van verschillende creditcardmaatschappijen, waaronder Visa en MasterCard. Helaas komen netwerkinbraken vaker voor, zij het op kleinere schaal waarbij de gevolgen vaak regionaal voelbaar zijn. Onlangs bleek ook hoe makkelijk het Elektronisch Patiënten Dossier te hacken is: na een proefhack kwamen 1,2 miljoen patiëntgegevens vrij van twee Nederlandse ziekenhuizen.
Is identiteitsdiefstal nieuw? Nee, identiteitsdiefstal is niets nieuws: al in 2001 maakte de U.S. Federal Trade Commission bekend dat 42 procent van alle consumentenklachten betrekking hadden op identiteitsdiefstal. In datzelfde jaar meldde CBS News dat iedere 79 seconden, een dief een identiteit steelt, rekeningen opent op naam van het slachtoffer en vervolgens op zijn naam veel geld uitgeeft.
Hoe kan het dat identiteitsdiefstal al jaren een probleem is? Ten eerste zijn gebruikers zich tot op de dag van vandaag niet bewust van het risico van identiteitsdiefstal. Ook zijn ze zich er niet van bewust dat er daadwerkelijk mensen actief zijn met het stelen van identiteiten.
Daarnaast is de bescherming die bedrijven toepassen gebaseerd op een verkeerd principe: het bouwen van een muur rondom het netwerk. Veel mensen begrijpen inmiddels dat het internet gevaren met zich meebrengt. Bedrijven en privé-gebruikers beschermen zichzelf tegen virussen en Trojaanse paarden en vpn's zorgen voor een veilig datatransport tussen notebook en een bedrijfsnetwerk. Men bouwt dus een muur om het netwerk en de apparatuur, zodat ongeautoriseerd bezoek onmogelijk is. Dit wordt ook wel 'perimeter thinking' genoemd. Maar geeft dit ook de garantie dat de gevoelige data veilig is?
Zolang de muur blijft staat, is er niets aan de hand. Gegevens liggen veilig opgeslagen en zijn ontoegankelijk voor derden. Maar wat gebeurt er als er tóch iemand door de muur weet te breken? Een enkel zwak punt maakt het hele netwerk openbaar, waarbij een Trojaans paard de gevoelige data in het complete netwerk kan opsporen.
In het genoemde voorbeeld van CardSystems werd gebruikgemaakt van een eenvoudig script om een bekend resultaat te behalen. Deze inbraak was de grootste in de Amerikaanse geschiedenis waarbij 1 op de 7 creditcards in omloop in Amerika werd getroffen. In Nederland ging het om ongeveer 30.000 kaarten die geblokkeerd moesten worden.
Inbraken door middel van hacking, zoals bij CardSystems, komen relatief vaak voor. Er zijn echter nog veel meer beveiligingsrisico's en methodes voor identiteitsdiefstal die gevoelige data bedreigen. Peer-to-peer uitwisselprogramma's, zoals Kazaa, kunnen data blootleggen, omdat hele harde schijven of netwerken openstaan voor iedereen die deel uitmaakt van het betreffende programma. Binnen een bedrijf zijn de poorten die dergelijke software gebruikt uiteraard afgeschermd. Maar als een gebruiker de data kopieert op zijn laptop en thuis zijn internetverbinding open heeft staan, wat dan?
Op dat moment bevinden de gevoelige gegevens zich buiten de veilige muur. Via het kopiëren van data op mobiele apparatuur en opslagmedia is informatie dus eenvoudig beschikbaar voor ongewenste gebruikers. Notebooks, memory sticks en cd's vormen het grootste gevaar. Diefstal van deze apparatuur is een effectieve manier om gevoelige data in handen te krijgen.

Beveilig de data, niet de apparatuur

De oplossing is eigenlijk logisch. Bedrijven steken tijd en geld in het beveiligen van netwerken, apparatuur en verwijderbare opslagmedia, terwijl juist de data zélf moet worden beschermd. Dit kan op diverse manieren. Er zijn bijvoorbeeld strategieën die voorkomen dat gebruikers data op bepaalde plekken opslaan, zoals thuiscomputers of mobiele apparatuur.
Deze oplossing belemmert echter de gebruiker in zijn dagelijkse werkzaamheden. Er wordt te veel interactie gevraagd en de gebruiker moet onnodig veel tijd besteden aan het zorgvuldig opslaan van zijn gegevens. Bovendien staat of valt de strategie met de discipline van de gebruiker. Denk hierbij aan de Amsterdamse Officier van Justitie, Joost Tonino, die zijn defecte privé-computer bij het grofvuil had gezet. Een taxichauffeur pikte het apparaat op, kreeg het aan de praat en speelde het door aan misdaadverslaggever Peter R. de Vries die er een spraakmakende televisie-uitzending van maakte. Op de computer stonden naast zeer gevoelige justitiële informatie, ook de persoonlijke e-mailtoegangscodes van Tonino. Deze strategie is dus niet waterdicht en heeft dan ook bij weinig bedrijven de voorkeur.

Inbraak Een recent voorbeeld van identiteitsdiefstal is de Sonoma State University in de Amerikaanse staat Californië. Hier werd ingebroken in het computersysteem, waarbij vertrouwelijke gegevens over zeker 61.000 studenten zijn gestolen. Hoewel niet direct duidelijk was welke informatie daadwerkelijk was gedownload, had de hacker toegang tot onder meer namen en sofinummers van alle huidige en voormalige studenten opgeslagen.

Technische maatregelen zijn daarom te prefereren boven procedurele. Een voorbeeld van een technische maatregel om identiteitsdiefstal te voorkomen, is contentgebaseerde data-encryptie, oftewel versleuteling van gegevens op basis van de inhoud ervan. Automatische encryptie op basis van de gevoeligheid van gegevens biedt een hoge mate van bescherming. Daarnaast staat het de dagelijkse activiteiten van gebruikers niet in de weg. Belangrijker nog, de gebruiker gaat automatisch zorgvuldig om met informatie op een manier die door de onderneming gewenst is.

Keuzecriteria

Bij de keuze en implementatie van een oplossing van contentgebaseerde data-encryptie, zijn een aantal zaken belangrijk.
 
Continue encryptie en toegang tot bestanden
Het is van groot belang dat de gebruikers niet gehinderd worden door het encryptieproces. Dankzij Persistant Encryption Technology is dit mogelijk. De belangrijkste elementen van deze technologie zijn:

• On-the-fly encryptie en decryptie: hierbij worden mappen en bestanden versleuteld en ontcijferd zonder dat de gebruiker in actie hoeft te komen. Dit is van belang voor zowel de acceptatie van de beveiliging als de productiviteit van de werknemer.
  
• Vrije toegang tot bestanden: als gebruikers eenmaal zijn aangemeld bij het systeem moeten ze bij hun bestanden kunnen komen zonder steeds een wachtwoord in te hoeven voeren. Op deze manier is er geen training noodzakelijk voor eindgebruikers.
  
• Encryptie moet met de bestanden en mappen mee: hiermee zijn bedrijven zich ervan verzekerd dat gegevens altijd versleuteld zijn, waar en wanneer de informatie ook wordt opgeslagen. Bovendien kunnen gebruikers gegevens zo op iedere locatie opslaan zonder na te hoeven denken over de eventuele kwetsbaarheid ervan.

Gecentraliseerd beheer
Een netwerk bevat normaal gesproken veel desktops, notebooks en andere apparaten. Voor al deze apparaten moeten beleidsregels worden opgesteld over wat gebruikers mogen doen. Het implementeren van deze policies en het beheer van veranderingen moet centraal geregeld zijn. Op die manier wordt de werkdruk van de beheerders geminimaliseerd en ontstaat de laagste total cost of ownership (tco).
 
Koppeling met andere bedrijfssystemen
Contentgebaseerde data-encryptie is waarschijnlijk niet de enige bescherming binnen netwerken. Centraal beheer hiervan en voor iedere persoon één identiteit zijn daarom belangrijk. Zo'n identiteit bestaat uit een gebruikersnaam en wachtwoord, ofwel een single sign-on (sso)-oplossing, waarbij wachtwoorden gecombineerd zijn met smartcards of tokens. Ook koppelingen met bestaande bedrijfssystemen, zoals Microsoft Active Directory, Microsoft PKI en Entrust PKI zijn hierbij belangrijk.
 
Herstelmogelijkheden
Als laatste is het noodzakelijk dat er herstelprocedures beschikbaar zijn. Wanneer een gebruiker bij een belangrijke presentatie in Japan zijn wachtwoord is vergeten, moet er snel geschakeld kunnen worden om hem of haar toch bij zijn bestanden te laten komen. Challenge/response-mechanismen zijn een beproefde methode voor veilig herstel.

Data-encryptie het enige middel

Zolang bedrijven apparaten blijven beveiligen en muren blijven bouwen om hun netwerken zonder de data zélf te beveiligen, zal identiteitsdiefstal grotere vormen aannemen en blijven bestaan. Perimeter thinking alleen is niet meer van deze tijd. Procedurele maatregelen zijn aardig, maar niet afdoende. Data-encryptie is het enige middel om voor eens en voor altijd identiteitsdiefstal een halt toe te roepen.

 
Tom de Jongh, Control Break International