Een paar maanden geleden lieten we thuis een alarminstallatie plaatsen. Er kwam een man die alles installeerde. Overal zitten sensors, en het systeem ziet zelfs het verschil tussen onze hond en een inbreker – dat zei de man en die vertrouwen we.
Er zit een indrukwekkend bedieningspaneel bij, waarmee we het systeem kunnen in- en uitschakelen en allerlei dingen kunnen worden ingesteld; alles is beschreven in een uitstekende handleiding, waar we echter niets van snappen. De grootste uitdaging is het wijzigen van de code voor het in- en uitschakelen van het systeem. De installateur liet ons een eigen code instellen; hij keek de andere kant op, zodat we ons veilig voelden.
De eerste keer dat ik een probleem had, kwam ik erachter dat er nog een monteurscode is: ik kreeg deze via de telefoon en kwam in een menu waarmee de monteur alles kan doen! Als klap op de vuurpijl bleek dat dezelfde code werd gebruikt voor alle systemen die in een periode van drie maanden werden geïnstalleerd.
Als we weggaan en het systeem inschakelen, weet de computer dat dus ook. Dan rijst de vraag: werkt die betrouwbare man nog bij dat bedrijf? We weten het gewoon niet.
Het blijkt dat wij niet de enigen zijn met deze angsten; veel, zo niet alle, it auditors en it-beveiligingsmensen leven dagelijks met de angst dat het ‘nooit verlopende wachtwoord’ wordt misbruikt. Een onuitgesproken taboe – de wijd open staande achterdeur van de huidige bedrijfsnetwerken! Bij geen enkele bedrijfskritische toepassing staat de achterdeur dicht. Vraagt u zich af hoe het komt dat informatie als creditcard- en persoonsgegevens altijd weer kwetsbaar blijft? Je zou denken dat bedrijven afdoende beveiligingsmaatregelen treffen. Toch blijken er steeds weer problemen te zijn.
Waar zit die achterdeur dan? In alle toepassingen!
Ten eerste is er het probleem van een wachtwoord dat nooit verloopt op een systeem dat bereikbaar is voor beheerders en ieder ander die toegang kan krijgen. Het wordt ernstiger bij gebruik van diensten die door derden worden geleverd. De toepassingen benaderen duizenden keren per dag waardevolle bedrijfsgegevens met steeds dezelfde gebruikersgegevens, en wellicht zijn er meer toepassingen die deze gebruiken. Omdat deze toepassingen niet over geïntegreerde beveiliging beschikken, worden de accounts vaak als tekst zonder versleuteling opgeslagen. Deze gegevens zijn dus leesbaar voor ontwikkelaars, support-personeel en ieder ander die toegang heeft tot de toepassingscode.
Ten tweede zijn deze wachtwoorden vaak diep geprogrammeerd in toepassingen en scripts, zodat het wijzigen van een wachtwoord voor een account een ingewikkeld proces is met wijzigingen in de programmatuur, compileerprocessen en soms overdracht van de code naar verschillende afdelingen. Soms is het nodig het systeem uit te schakelen, wat onacceptabel is bij vertrouwelijke informatiesystemen.
Ten derde is auditing vrijwel onmogelijk. Hoewel de gegevens zijn ingebed in de toepassing en in theorie alleen door de toepassing gebruikt kunnen worden, kunnen ze ook misbruikt worden om in te loggen. Een eenvoudige audit brengt dit niet aan het licht.
Ten slotte is het belangrijkste aspect dat deze accountgegevens bekend zijn bij ontwikkelaars en supportpersoneel, en kunnen worden ingezet voor persoonlijke toegang. Deze gegevens zijn vaak bekend bij outsourced-ontwikkelaars in andere landen, die onder contract een toepassing ontwikkelen. Toegang tot uw bedrijfsgegevens kan dus mogelijk zijn voor mensen die aan de andere kant van de wereld zitten.
Ongeacht hoeveel moeite uw organisatie doet voor beveiliging met innovatieve technieken, als ongeautoriseerde toegang van (ex-)medewerkers, support-personeel en ontwikkelaars niet is afgedicht, hebben deze mensen de sleutel van de achterdeur naar uw meest waardevolle gegevens.
Het goede nieuws is dat er oplossingen zijn waarmee u deze bedreiging kunt aanpakken. Dit is digitalekluistechnologie (digital vaulting). Deze technologie is platformonafhankelijk beschikbaar voor al uw toepassingen, zodat er nooit meer een ‘nooit verlopend wachtwoord’ nodig is. De eerste stap bestaat uit het erkennen van de bedreiging van uw organisatie, zodat u er wat aan kunt doen.
Calum McLeod