Beveiliging van de kroonjuwelen; de kluisdeur schuift op

Computable Expert

Marcel van Wort

Senior Consultant

Expert van Computable voor de topics: Security, Netwerken en Beleid

Meer

Gedreven door kostenbesparingen en de toenemende wens om op een flexibele manier applicaties en data te benaderen, richten we ons nu op cloud computing, Jericho, Internet Centric... Helaas bieden dat soort methodieken ook mogelijkheden voor lieden die andere bedoelingen hebben met jouw kroonjuwelen. De opkomst van mobiele apparaten zoals PDA’s en telefoons met de rekenkracht van desktopcomputers van een aantal jaren terug en opslagmedia waarmee je een complete bibliotheek in je broekzak kan vervoeren. Usb en bluetooth-interfaces die compatibel zijn met bijna elk apparaat. Het is teveel om op te noemen en een regelrechte nachtmerrie voor al diegenen die de kroonjuwelen van een organisatie proberen te beschermen.

De logische perimeter waar beveiliging nodig is zal door deze ontwikkelingen steeds meer opschuiven naar datgene wat echt bescherming nodig heeft; jouw data. Data in de vorm van databases, documenten, rapporten, overzichten, blauwdrukken, etc.

Met name in tijdelijke projecten waar 'even snel' gevoelige bestanden moeten worden gedeeld in een inter-company projectteam worden deze bijna gedachtenloos over het internet verstuurd zonder enige vorm van encryptie of wachtwoordbeveiliging. Kijk zelf maar rond, hoeveel mensen in de projecten waarin jij werkt hebben bijvoorbeeld een e-mailcertificaat of hoe vaak worden er solide afspraken gemaakt over het gebruik van data? Is er nagedacht over wie we wel vertrouwen en wie niet, over encryptie en wachtwoordmanagement, autorisatieniveaus, zijn de veiligheidsmaatregelen eigenlijk wel werkbaar en effectief?

Ja, er bestaan oplossingen zoals werkgroeppakketten en portals, maar die falen vaak omdat de security policy of de netwerkinstellingen van een van de samenwerkende organisaties het gebruik niet toelaten. Daar komt bij dat in een tijdelijk project er vaak geen tijd is om dit uit te zoeken en werkend te krijgen.

Ok, we spreken onderling wel 'non-disclosure agreements' met elkaar af maar vergeten dat een NDA niets zegt over de manier waarop men data deelt, het zegt alleen dat het 'geheim' moet blijven. Wie garandeert dat deze gevoelige bestanden niet in het openbaar komen omdat bijvoorbeeld een laptop of PDA wordt gestolen of stomweg bij het grofvuil wordt gezet, wat gebeurt er met back-ups en persoonlijke kopieën? Ondanks certificeringsvoorschriften volgens ISO2700x/SOXS etc. zal het bijna onmogelijk blijken om de beveiliging 100 procent onder controle te krijgen. Simpelweg omdat er met mensen wordt gewerkt en die zijn nu eenmaal de zwakste schakel in een door techniek of 'lastige' procedures gecontroleerd systeem.

Als basis beveiligen we de netwerkperimeters natuurlijk met firewalls en antivirus en soms zelfs met NAC- en IDP-systemen. Misschien moeten we dan ook wel iedereen gaan fouilleren en alles wat data kan bevatten in bewaring nemen bij de voordeur? Vraag is dan of deze maatregelen dan niet erg complex en duur worden of het werken zelfs onmogelijk maken. Ga trouwens maar eens zoeken naar een geheugenkaartje ter grootte van een vingernagel waar de complete blauwdruk van een straaljager op kan staan...

Nee, wat we uiteindelijk willen bereiken is dat op dataniveau bestanden niet kunnen worden gelezen, gedeeld, gekopieerd of geprint door mensen zonder de juiste autorisatie. Daar zal de volgende generatie beveiliging zich op moeten richten. De manier waarop data benaderd wordt is straks niet meer belangrijk. We zullen ons moeten richten op de manier waarop de bestanden zelf worden beveiligd. Wie is geautoriseerd en wie niet, op wat voor manier zijn de bestandspermissies geregeld, welke autorisatieniveaus zijn er en hoe gaan applicaties ermee om?

De combinatie van nieuwe denkwijzen zoals cloud computing, Jericho en al bestaande technieken zoals encryptie en PKI zal een nieuwe manier van werken op moeten leveren waarbij het netwerk en de applicatie front-ends tot op zeker niveau vrij toegankelijk zijn, maar waarbij alleen de data wordt beveiligd. Een manier van werken, cultuuromslag en een enorme uitdaging die iedereen zal raken en waarbij de beveiliging zal opschuiven van de netwerkgrenzen tot aan de gebruiker en de data zelf.