Iedere maand groeit het aantal organisaties dat zich op Internet aansluit of een eigen intra- of extranet ontwikkelt. Terwijl elke organisatie ernaar streeft maximaal rendement uit haar IT-infrastructuur te halen, zijn de meeste zich niet bewust van de veiligheidsrisico’s. Het is mogelijk om die te inventariseren en om een strategie te ontwikkelen om de IT-infrastructuur veiliger en betrouwbaarder te maken. Voorwaarde is wel dat de uitvoering van zowel de inventarisatie als de strategie tot op het hoogste niveau van de organisatie wordt gedragen.
Gegevens (data) vormen de ondeelbare informatiebouwstenen. Georganiseerde gegevens worden in dit verband ‘informatie’ genoemd; geassimileerde informatie met de bijbehorende betekenis ‘kennis’. Het is van belang te beseffen dat de concurrentie gegevens, zeker ten dele, kan omzetten in informatie en kennis. Het is daarom belangrijk om zowel gegevens, informatie als kennis adequaat te beveiligen.
Beveiliging omvat een vijftal onafhankelijke elementen, te weten: authentificatie, toegangscontrole, integriteit, encryptie en beveiligingsaudit.
Om zeker te weten dat iemand werkelijk degene is die hij beweert te zijn, dient zijn identiteit te worden vastgesteld, ofwel te worden geauthentificeerd. Authentificatie wordt gewoonlijk uitgevoerd door wachtwoordprogramma’s of chipkaarten. Geavanceerde veiligheidssystemen kunnen de identiteit vaststellen door het scannen van ondermeer vingerafdrukken, hoornvlies of stemgeluid. Geavanceerde softwaresystemen gebruiken digitale ‘handtekeningen’ om de identiteit van computers en computergebruikers vast te stellen.
Elke entiteit die toegang heeft tot de IT-infrastructuur, heeft bepaalde toegangsrechten. Zo kan iemand wel toestemming hebben in de ene directory gegevens te bekijken en te bewerken, maar geen toegang hebben tot gegevens in andere delen van de computer. Deze toegangscontrole kan worden gerealiseerd door middel van diverse mechanismen; er is echter geen enkel algemeen bruikbaar mechanisme dat binnen de gehele onderneming dienst kan doen als toegangscontrole voor álle entiteiten.
Integriteit, encryptie en audit
Integriteitstechnieken zorgen ervoor dat informatie-overdracht tussen entiteiten volledig is, dus zonder verlies van informatie-objecten of hun betekenis. Tijdens de overdracht van informatie controleren deze integriteitstechnieken ook of er met de objecten is geknoeid. Er zijn verschillende soorten technieken beschikbaar om de integriteit van gegevens te controleren, bijvoorbeeld ‘hash’-technieken zoals MD5.
Encryptie is de techniek om gegevens, informatie of kennis zo te coderen dat de gecodeerde objecten betekenisloos zijn voor elke gebruiker, tenzij ze worden gedecodeerd. Encryptie is de sleutel tot het effectueren van beveiliging en wordt ook gebruikt voor authentificatie, toegangscontrole en integriteitstechnieken. Tegenwoordig kan encryptie worden uitgevoerd door gebruik te maken van verschillende wiskundige algoritmen. In theorie kan informatie die met één van deze algoritmes is gecodeerd, ook worden gedecodeerd. Het gemak waarmee gecodeerde gegevens kunnen worden gedecodeerd, bepaalt de sterkte of zwakte van encryptie-algoritmen. Daarom is het cruciaal voor een goede beveiliging dat encryptie-algoritmen gebruikt worden die voldoen aan de situatie waarvoor ze zijn bedoeld. Hierbij is het wel belangrijk te bedenken dat de behoefte in de loop van de tijd zal veranderen. Daarom behoort de beveiligingsstrategie onafhankelijk te zijn van de gebruikte algoritmen.
Onder het begrip beveiligingsaudit wordt verstaan het opslaan, filteren en analyseren van beveiligingsinformatie, zoals alle binnenkomend en uitgaand verkeer, processtatus van routers, netwerkknooppunten en ga zo maar door. Dit proces is een onmisbare component in een veilige IT-infrastructuur. Het is immers het enige mechanisme dat het beveiligingssysteem voorziet van gegevens, informatie en kennis die nodig zijn om een inbreuk op de beveiliging vast te stellen. Een degelijke strategie voor een beveiligingsaudit op ondernemingsniveau is een vereiste.
Inbreuk op beveiliging
Inbreuk op de beveiliging van een organisatie kan op verschillende manieren gebeuren. Om de schending inzichtelijk te maken, behoort onderscheid te worden gemaakt tussen de fysieke en logische componenten van de IT-infrastructuur. Logische componenten vormen de software-infrastructuur en de topologie van het netwerk. Fysieke componenten omvatten de ruimtelijke plaatsing van computers en netwerkelementen, alsmede de gebouwen waarin de infrastructuur zich bevindt.
Inbreuk op de beveiliging van een organisatie kan op zowel fysiek als logisch niveau plaatsvinden. Maar wanneer een overtreding in fysiek opzicht wordt vastgesteld, is het waarschijnlijk dat deze ook repercussies heeft voor de beveiliging in logisch opzicht. En omgekeerd natuurlijk.
De beveiliging van een fysieke infrastructuur kan geschonden worden met instrumenten die lokaal of op afstand werken, bijvoorbeeld via elektromagnetische straling (emr). Alle niet-optische computernetwerken produceren een elektromagnetisch veld waarbinnen het relatief eenvoudig is het netwerkverkeer af te luisteren of daar iets aan toe te voegen. Het is mogelijk het netwerk af te schermen en de omvang van het stralingsveld te beperken. Bij een optische bekabeling zijn de knooppunten van het netwerk stralingsbronnen die een elektromagnetisch veld veroorzaken.
In veel organisaties zijn beeldschermen van afstand leesbaar. Voor kwaadwillende voorbijgangers is het eenvoudig om informatie te krijgen over wachtwoorden en het soort werk dat wordt verricht. Ook is het simpel om foto’s te maken van de schermen waarop gevoelige informatie is te zien.
De fysieke toegang van ‘mollen’ (tijdelijk personeel) tot de organisatie kan een ernstige inbreuk op de beveiliging veroorzaken.
Een schending van de fysieke infrastructuur is meestal vrij eenvoudig vast te stellen en te verhelpen. Sommige fysieke inbreuken op afstand zijn echter onmogelijk vast te stellen totdat ze een ernstige bedreiging vormen.
Logische schending
Een logische inbreuk op de IT-infrastructuur is op verschillende manieren mogelijk.
Inbreuk op de authentificatie. De meeste werknemers in organisaties gebruiken gangbare wachtwoorden om tot het beveiligde netwerk toegang te krijgen. Een eenvoudig programma om wachtwoorden te kraken kan in een paar seconden vele duizenden wachtwoorden uitproberen, waardoor schending heel eenvoudig wordt.
Inbreuk op de toegangscontrole van een netwerk. De meeste IT-netwerken hebben wel een beveiliging (firewall) voor externe toegang tot het netwerk, maar geen hiërarchische beveiliging met een buiten-, binnen- en kernbeveiliging. Dat betekent doorgaans dat het hele netwerk van de onderneming gevaar loopt, wanneer de buitenste beveiliging is gekraakt.
Van buitenaf kan iemand inbreuk maken op de integriteit van het bedrijfsnetwerk door al het verkeer erop af te luisteren. Sommige programma’s die vrij te verkrijgen zijn op Internet, bieden technieken waarmee al het verkeer kan worden geregistreerd en later elders kan worden geanalyseerd om informatie te krijgen over encryptie-algoritmen en (openbare of private) digitale sleutels.
De kans op schending van de encryptie is afhankelijk van de kracht van de encryptie-werkwijze. Als zwakke encryptietechnieken worden gebruikt of sterke encryptie-algoritmen in combinatie met een eenvoudige digitale sleutel (te weinig tekens), kan encryptie heel makkelijk worden gekraakt. Soms in luttele seconden.
Als de werkwijze van de beveiligingsaudit gekraakt wordt, is het ondoenlijk de oorzaak van de schending op te sporen. Daardoor wordt het zo goed als onmogelijk de inbreuk te signaleren. Het is belangrijk dat de beveiligingsaudit-strategie al deze mogelijkheden dekt.
De praktijk
De theorie kan altijd het beste worden verduidelijkt met een voorbeeld uit de praktijk. Hieronder wordt de praktijk van een Amerikaanse verzekeringsmaatschappij beschreven om de effecten van een schending van de beveiliging op de dagelijkse gang van zaken in een organisatie te verhelderen. Aangezien de beveiliging van de IT-infrastructuur voor elk bedrijf een kritieke factor is en deze op talrijke manieren kan worden gekraakt, kan het voorbeeld niet meer dan een poging zijn om enkele cruciale zaken onder de aandacht te brengen.
Een Amerikaanse verzekeringsmaatschappij met een lange geschiedenis, uitstekende reputatie, goede organisatie en een goed onderhouden IT-infrastructuur wordt slachtoffer van een inbreuk op de beveiliging van haar IT-infrastructuur. Het bedrijf heeft een gevarieerde klantenkring, van particulieren tot grote organisaties. De producten variëren van levensverzekeringen en risicoverzekeringen tot schadeverzekeringen, ook voor riskante objecten als satellieten. De concurrentie is hevig: verschillende verzekeringsmaatschappijen bieden dezelfde producten aan.
Eén van de cliënten is een reclamebureau, dat voor diverse ingenieursbureaus werkt die elkaar beconcurreren. Een van de cliënten van het reclamebureau neemt een bureau voor industriële spionage in de arm om informatie te krijgen over de reclamecampagne voor een nieuw product dat zijn concurrent op de markt wil gaan brengen. Het spionagebureau weet dat de beveiliging van het verzekeringsbedrijf zwak is en dringt binnen in de IT-infrastructuur van de verzekeraar. Daar verschaffen zij zich toegang tot gedetailleerde informatie over de recentelijk verzekerde reclamecampagne. Nadat deze informatie over het reclamebureau bij de verzekeringsmaatschappij is verkregen, kraakt het spionagebureau de beveiliging van het reclamebureau waardoor het de belangrijkste eigenschappen van het nieuwe product in handen krijgt.
Het effect is direct omzetverlies voor het ingenieursbureau doordat zijn concurrent een eigen reclamecampagne lanceert. Het verlies aan inkomsten leidt ertoe dat het ingenieursbureau de deuren moet sluiten. Het reclamebureau heeft een bedrijfsaansprakelijkheidsverzekering afgesloten en lijdt slechts een beperkt inkomensverlies door de nu geflopte campagne. Het ingenieursbureau doet de verzekeringsmaatschappij een proces aan wegens omzetverlies als gevolg van wanbeheer, slechte interne beveiliging en vertrouwensverlies. Ook verkoopt het dit verhaal aan een journalist.
Het verzekeringsbedrijf verliest de in de loop der jaren moeizaam opgebouwde reputatie. De beurskoers valt tot een ongekend lage waarde. Het blijkt niet meer mogelijk nieuwe klanten aan te trekken en bestaande klanten lopen over naar de concurrentie. Bovendien moet het verzekeringsbedrijf nodig extra investeringen plegen in het opwaarderen van zijn goed onderhouden maar verouderde IT-infrastructuur en beveiliging. Gelet op het verlies aan omzet, is dat zeer moeilijk.
Om haar imago te herwinnen besluit de directie van de verzekeringsmaatschappij de beveiliging van de IT-infrastructuur te verbeteren. Maar om niet in de rode cijfers te komen moet een aantal personeelsleden worden ontslagen. Deze gebeurtenis heeft weer een slechte invloed op het imago. Dat is het sneeuwbaleffect van één enkele schending van de beveiliging.
Het moge duidelijk zijn dat de beveiliging van de IT-infrastructuur van allesoverheersend belang is.
Tips voor IT-beveiligingsstrategie
De aanbevelingen zijn gebaseerd op ervaring en kennis, verworven door het adviseren over beveiligingsaspecten en het evalueren van inbreuken daarop in verschillende organisaties. In de meeste gevallen bieden de aanbevelingen een goed uitgangspunt voor degene die verantwoordelijk is voor de IT-infrastructuur van een onderneming. Het is essentieel om een beveiligingsconsultant een onafhankelijke beoordeling van de beveiliging van uw interne IT-infrastructuur te laten uitvoeren.
Fysieke infrastructuur:
Logische infrastructuur:
Hoe veilig is uw organisatie?
De antwoorden op de volgende vragen geven een aardige indruk van de beveiliging van uw organisatie. Het zijn elementaire vragen die als richtlijnen dienen om de beveiliging te beoordelen om verbeteringen te kunnen aanbrengen.
Naresh Sharma is Chief Technologist en Principal Consultant bij Ordina Finance