Het jaar 2005 gaat de geschiedenis in als het slechtste jaar voor inbreuken op gegevensbeveiliging. Ik neem aan dat het goede nieuws is dat we minder zijn lastiggevallen door virussen; de virusontwerpers vinden het dus niet meer leuk of de anti-virustechnologie is verbeterd, of we hebben ze niet meer in de gaten – herinnert u zich het voorval in de zomer van 2005 nog?
De vraag is of 2005 nu echt zo’n slecht jaar was qua beveiligingsproblemen, of dat meer organisaties hun problemen toegeven. De gevolgen zijn tegenwoordig een stuk ernstiger dan moeten toegeven dat er een probleem is. Het lijkt erop dat afgelopen jaar vrijwel elke maand deze of gene organisatie toegaf dat back-uptapes kwijt waren geraakt. Ze vielen van een truck af, of van een motor, raakten zoek in magazijnen, of verdwenen nadat ze waren afgegeven bij een of andere koeriersdienst.
De Britse belastingdienst verloor een cd die door de bank was verzonden met gegevens over adressen en accounts van de investeerders, en ze zijn er nog steeds naar op zoek. In Japan werden miljoenen creditcardgegevens ontvreemd. En zo zijn er nog legio verhalen.
Het potentiële gevaar voor het bedrijfsleven is gekwantificeerd door het Britse ministerie van economische zaken, dat beweert dat 70 procent van de organisaties die te maken krijgt met gevoelig gegevensverlies, binnen achttien maanden failliet gaat.
Een bedrijf mag nooit de potentiële schade onderschatten als gevolg van bekendmaking of verlies van vertrouwelijke gegevens. Dit is de reden dat de meeste bedrijven goed opletten dat de fysieke media worden beschermd door fysieke kluizen met dubbele toegangscontroles. En in sommige gevallen worden deze fysieke maatregelen versterkt door officiële regels.
Bescherming van gegevens tijdens de overdracht tussen toepassingen, bedrijfspartners, leveranciers, klanten en andere leden van het uitgebreide bedrijf is van cruciaal belang. Nu bedrijfsnetwerken steeds toegankelijker worden, nemen ook de risico’s toe dat informatie wordt onderschept of tijdens transport wordt gewijzigd.
Er bestaan allerlei manieren om gegevens onderweg te versleutelen, onder meer met virtuele privé-netwerken, en met behulp van veelzijdige apparaten waarin onder meer IDS, IPS, firewalls, anti-virusprogramma’s en andere beveiligingstechnieken in een enkel apparaat worden verenigd. Deze oplossingen houden zich echter alleen bezig met het daadwerkelijke transport van gegevens over gegevensnetwerken, en de voornaamste reden dat ze falen is dat ze zich vooral richten op versleuteling van het medium en niet van de gegevens zelf. Deze oplossingen missen de basisvereiste van eind-tot-eind-versleuteling en, belangrijker nog, versleutelen de gegevens in rusttoestand niet (dat wil zeggen op harde schijf of op tape). Een eerste vereiste is dus volledige beveiliging van gevoelige gegevens. Probeer niet informatie vanuit verschillende systemen veilig te stellen op diverse back-upsystemen, maar breng eerst alle back-up- en gevoelige gegevens over naar een veilig systeem, waar ze versleuteld worden opgeslagen voordat…
Zie ook toe op ‘Strong Access Control’, ofwel sterke toegangscontrole. Gebruikers als it-personeel dienen niet op de hoogte te zijn van de gegevens die worden opgeslagen, en mogen geen toegang hebben tot de informatie die niet voor hen bedoeld is. Alle overdracht van gegevens van en naar de beveiligde opslag dient te gebeuren rechtstreeks vanuit de systemen waarop de gegevens zich bevinden. Al die systemen, ongeacht de omgeving, bieden standaardgereedschappen waarmee gegevens kunnen worden getransporteerd.
Net zo belangrijk is versleuteling van alle gegevens. Alle gegevens die worden opgeslagen dienen automatisch te worden versleuteld, bij voorkeur symmetrisch. Dit betekent dat noch gebruikers noch beheerders zich zorgen hoeven te maken over sleutels. Het betekent ook dat kwijtgeraakte gegevens altijd versleuteld zijn en alleen kunnen worden ontcijferd door het specifieke systeem dat – of de specifieke toepassing die – de gegevens heeft geschreven.
Als laatste moeten de back-up en het versiebeheer beveiligd worden. Omdat gegevens versleuteld worden opgeslagen, zijn de back-ups ook versleuteld. Of de back-upgegevens nu elektronisch of fysiek worden overgedragen, er is geen risico van blootstelling. Omdat de meeste systemen en toepassingen dag na dag dezelfde bestanden wegschrijven, dient u te beschikken over een oplossing die volledig geautomatiseerde versiecon-trole ondersteunt, als garantie tegen moedwillige of onbedoelde gegevenscorruptie.
Calum M. McLeod