Jungle van certificeringen in ICT-securityland

Computable Expert

Rolf van Gent

Regional Manager Benelux and Nordics

Expert van Computable voor het topic Security

Meer

Dagelijks zien we in de massamedia berichten over creditcardgegevens die in grote volumes gestolen zijn en vervolgens voor vijf euro per set aangeboden worden, login en passwords van social media sites die zijn ontvreemd of pizza’s die gratis besteld kunnen worden via internet. De ene keer is de daad wat minder schadelijk dan de andere keer maar dat de criminaliteit op internet toeneemt, is inmiddels bij elke Nederlander wel bekend. Hoe kan het dat, ondanks grote investeringen in ict-security, zelfs de meest gerenommeerde banken of verzekeringsinstellingen nog steeds gehackt worden? En als het voor hen al zo moeilijk is om zich te beschermen, wat moet dan het gemiddelde mkb-bedrijf doen om het internetkwaad buiten de deur te houden?

Vaak kiest het mkb voor een te simpele oplossing: een firewall aan de rand van het netwerk en een antiviruspakket op de pc's. Helaas is die firewall vaak een stateful firewall die uit de jaren '80 stamt. Het houdt misschien een paar netwerkpoorten dicht, maar zelfs een aspirant hacker wandelt daar fluitend doorheen. Een firewall moet op zijn minst met ‘deep packet inspection' uitgerust zijn of met een zogenaamd intrusion prevention system (IPS). Dit laatste is een intelligent systeem dat kijkt naar het binnenkomende netwerkverkeer. Het systeem vraagt zich continu af of het verkeer eventueel kwaadaardig is en afgebroken moet worden om een zogenaamde 'intrusion' te voorkomen. IPS'en komen in alle maten en soorten voor maar vooral op allerlei kwaliteitsniveaus. ‘Firewalls' zitten tegenwoordig zelfs al in een router van 75 euro. Is er dan niemand die de arme mkb'er kan helpen het kaf van het koren te scheiden in deze enorme complexe materie? Want je kunt security zo 'plug & play' mogelijk proberen te maken, het is en blijft de snelst evoluerende sector van de georganiseerde criminaliteit.

Gelukkig zijn er organisaties die kwaliteitsstempels op het gebied van ict-security uit willen delen om zo een eerste selectie te maken, met de CCRA (Common Criteria Recognition Agreement) voorop. ICSA Labs is ook zo'n organisatie die kwaliteitsstempels uitdeelt, maar hoe die volledig onafhankelijk en dus objectief kan opereren met een partij als Verizon erachter is mij een raadsel. Daar achteraan hobbelen veel nationale inlichtingendiensten die ook kwaliteitsstempels uit willen delen voor het gebruik van bepaalde ict-securityoplossingen binnen nationale overheidsomgevingen. Helaas blinken de meeste van deze organisaties niet uit in het communiceren van hun doelstellingen en resultaten naar het bedrijfsleven en zeker niet naar het mkb. Als je wilt uitzoeken wie de beste firewall met IPS levert volgens de CCRA, dan is dat nog steeds een aardige studie. Maar daarvoor ben je toch ict-securityspecialist, niet?

Het probleem is dat de CCRA een organisatie in evolutie is en daarbij komt nog eens dat er intussen maar liefst 26 landen lid zijn. Natuurlijk, hoe meer leden, hoe beter en des te succesvoller hun ‘kwaliteitstempels' op een mondiaal niveau kunnen zijn. Echter, het zijn veelal de nationale inlichtingendiensten van die landen die lid zijn en overheidsorganisaties hebben nu eenmaal niet de reputatie de snelste van de klas te zijn.

De evolutie van deze organisatie kenmerkt zich door de versies die ze definiëren op het gebied van het certificeringproces. Ben je er nog? Dus zo'n vier jaar geleden kon je nog rustig met versie 2.3 (of ouder) van het certificeringproces een EAL 4+ halen. Fantastisch! Dat je dan zelf als ict-securityleverancier mocht bepalen tegen welke exacte criteria (TOE) het product werd gecertificeerd, mocht de pret niet drukken. En sindsdien prijken er op vele brochures het begeerde EAL4+-niveau zonder dat ooit iemand informeert wanneer deze behaald is, oftewel op basis van welke versie. De leverancier laat het natuurlijk ook wel uit zijn hoofd om het erbij te zetten.

Maar de CCRA maakt sprongen vooruit en ik draag ze ook een warm hart toe omdat ze de enige wereldwijde organisatie is die op dit vlak onafhankelijk opereert. En als er nog meer landen lid worden, dan kan misschien ooit de dominantie van de Amerikaanse nationale inlichtingendienst enigszins afnemen. Gelukkig is er sinds versie 3 van het certificeringproces een heleboel verbeterd, zeker op het gebied van firewalls en IPS. Lees het volgende citaat van de CCRA-website en huiver bij de gedachten dat jouw firewall (of IPS) misschien op versie 2.3 een EAL (desnoods 4+) behaald heeft. Let op: het gaat hier om een vergelijking die zij zelf maken tussen v2.3 en v3.1:

Some basic IT security principles were completely missing (the absence of an architecture argument meant that that all of the claimed security functions could be corrupted or bypassed, making them meaningless). And in all cases, there was no acknowledgement that some parts of the TSF are more critical and security-interesting than others, the result of which was that the analysis had to be performed -- even on parts that no security professional would bother with - thereby expending vast amount of unnecessary effort.

Misschien dat er nog een paar banken en verzekeringsinstellingen een v2.3 EAL4+-firewall hebben staan?