Beveiliging vereist grondigheid

'Software alleen is niet voldoende'

De laatste maanden groeit de aandacht voor beveiliging in de it-sector. Het beveiligen van de it-infrastructuur omhelst echter meer dan alleen het installeren van een softwarepakket. "Je moet eerst de juiste mentale instelling hebben", stelt algemeen directeur Koen Bouwers van Consul Risk Management, leverancier van beveiligingssoftware.

Verder is personeelstraining nodig en moet je kijken naar het ontwerp van je software, naar zaken als welk beleid je voert en wat in logbestanden hoe wordt bijgehouden." Dit lijken open deuren, maar dat zijn het niet.
Technisch directeur en Consul-mede-oprichter Gilbert Houtekamer: "Bij de reguliere aanpak in de it-markt, die wordt gehanteerd in 99 procent van de gevallen, let men op de drie a's: authentificatie, autorisatie en administratie; wie heeft welke rol en wat houdt die in. De vierde a, auditing, wordt vergeten. Je moet meten en wat je daaruit leert terugkoppelen naar het beveiligingsproces."
Het toepassen van alleen de eerste drie a-stappen is gebaseerd op een technische aanpak, stelt Houtekamer. "Terugkoppelen gaat uit van het bedrijfsperspectief. Grote banken hebben dat wel op orde. Het is eigenlijk de mentaliteit van het mainframe tegenover die van de open wereld." De open wereld vertegenwoordigt zowel Unix-systemen als pc's.
De twee directeuren wijzen erop dat aanvallen eerst vooral intern plaatsvonden en vanaf 1998 in toenemende mate ook van buitenaf. "Gelukkig groeit het besef dat een firewall alleen niet voldoende is", aldus Houtekamer.

Bereik

Het betoog dat beveiliging meer vereist dan alleen het installeren van software geldt volgens Houtekamer al ruim twintig jaar. "Maar het bereik is nu groter; van de backend via het lan naar internet. De toename van elektronische handel via internet, zoals girotel, wordt vaak gedreven door harde bedrijfsbelangen." Het lijkt dus logisch dat het bedrijfsperspectief, waarbij terugkoppeling thuishoort in het beveiligingsproces, terrein wint."
Toch is dat lang niet altijd het geval, zegt Bouwers. "Er spelen diverse factoren mee, waaronder menselijke fouten, zoals software op de standaardconfiguratie en instellingen laten staan. Daarnaast is er de kwestie van kraken van binnenuit. Een tijdje terug bijvoorbeeld heeft een werknemer van de Deutsche Bank acht miljoen dollar verduisterd." Niet dat elke onderneming zijn eigen werknemers moet wantrouwen, maar er dient wel controle te zijn. Houtekamer vult aan: "Je doet toch ook een audit bij je boekhouding? Niet omdat je die mensen niet vertrouwt, maar om zeker te zijn."

Van binnenuit

Ondernemingen moeten zich ervan bewust zijn dat het gevaar ook van binnenuit komt, onder meer van werknemers, van toeleveranciers en van consultants die ook voor de concurrent werken. Volgens onderzoeksbureau Gartner heeft 95 procent van de schade door kraakpogingen een interne oorzaak.
De Amerikaanse opsporingsdienst FBI meent dat dit in 76 procent van de gevallen zo is. Het betreft hoe dan ook een forse meerderheid. Een fraai voorbeeld is FBI-agent Hanssen, die als dubbelspion enkele jaren ongemerkt bij FBI-computers inbrak en de daaruit gestolen informatie verkocht aan buitenlandse mogendheden, waaronder de Russische geheime dienst.
Bouwers en Houtekamer wijzen nog op een belangrijk punt dat het hele beveiligingsproces teniet kan doen: bepalen wat te meten. Immers, als alles wordt vastgelegd in logbestanden, valt dat niet te overzien en is het resultaat hetzelfde als wanneer niets wordt bijgehouden. "Daar is een systeem met uitgebreide regels nodig. Wanneer log je welke handelingen, wanneer log je juist uitzonderingen op handelingen. De basis is: wat is wanneer normaal binnen mijn it-omgeving?"