AMSTERDAM – De beveiliging van netwerken laat veel te wensen over. Oorzaken zijn de gebruiksonvriendelijkheid van de beveiligingsmaatregelen en de inefficiëncy als gevolg daarvan, en daarnaast de tijdsdruk voor de leveranciers om zo snel mogelijk met nieuwe produkten op de markt te komen.
Tot deze conclusie komt Edo Roos Lindgreen in zijn proefschrift ‘A sense of secureness’, waarop hij 29 maart aan de TU Delft promoveert. Zijn promotors zijn de professoren Herschberg en Van Biene-Hershey.
Roos Lindgreen heeft de beveiliging van netwerken tegen ‘ongewenst en boosaardig menselijk handelen’ onderzocht op een aantal kwaliteitsaspecten : vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit. Hij constateert dat het in veel netwerken op al deze punten met de beveiliging slecht is gesteld.
Kostbaar en lastig
‘Het is een kostbare en lastige zaak om in het ontwerp van programmatuur goede beveiligingsmaatregelen in te bouwen. Bovendien komt het de gebruiksvriendelijkheid van de software niet ten goede. Vanwege de tijdsdruk om zo snel mogelijk nieuwe produkten op de markt te brengen, laten leveranciers de noodzakelijke beveiligingsmaatregelen achterwege. Het is praktisch onmogelijk om onveilig ontworpen programmatuur alsnog te beveiligen. Een compleet nieuw ontwerp zou dus de enige oplossing zijn. Maar dat gebeurt niet, vermoedelijk omdat het inbouwen van een goede beveiliging voor softwareleveranciers geen directe bijdrage aan het verhogen van de omzet betekent, aldus Roos Lindgreen, die sinds februari werkzaam is bij KPMG EDP Auditors.
Windows NT veilig?
Systemen die niet veilig zijn ontworpen, zijn goedkoper en gebruiksvriendelijk. Ergo: onveilige systemen zijn commercieel het meest succesvol, is de stelling van Roos Lindgreen die aangeeft dat er genoeg voorbeelden in de markt te vinden zijn. ‘Windows NT wordt bijvoorbeeld als een veiliger besturingssysteem gezien dan Unix, dat kwetsbaarheden vertoond in ontwerp, implementatie, beheer en gebruik. Maar Windows NT is nog niet, zoals Unix, langdurig in de praktijk op zijn beveiligingsaspecten onderzocht’, meent Roos Lindgreen die bovendien concludeert dat het in de praktijk nog ontbreekt aan een goede afstemming tussen het belang van een toepassing en het gewenste beveiligingsniveau. De recentelijk in Nederland geïntroduceerde ‘Code voor Informatiebeveiliging’ zou voor deze afstemming een goed handvat kunnen bieden.
Zinloos
Overigens wijst Roos Lindgreen, die freelance medewerker van Computable is, er op dat een goede beveiliging van computernetwerken niet alleen van technische, maar ook van organisatorische maatregelen afhankelijk is. ‘Alle technische maatregelen zijn zinloos, wanneer de gebruikers hun wachtwoorden laten rondslingeren of hun eigen naam als wachtwoord gebruiken -en wie doet dat niet?-‘, aldus de promovendus die zijn proefschrift ‘A sense of secureness’ in een beperkte oplage in eigen beheer uitgeeft. CZ
