"Een goede methode voor informatiebeveiliging is noodzakelijk voor het opzetten van een adequate beveiliging. Het is echter niet voldoende. De methode dient, met een gezonde dosis achterdocht en pragmatiek te worden vertaald naar specifieke maatregelen voor een specifieke situatie", meent Arthur Donkers.
Informatiebeveiliging is één van de grootste en meest interessante groeigebieden van de automatisering. De waarde van Internet, een intranet of extranet staat of valt met de betrouwbaarheid en de beschikbaarheid van de informatie. Zeker voor toepassingen als elektronische handel is deze betrouwbaarheid en beschikbaarheid een noodzakelijke voorwaarde. In het geval van een Internet-aansluiting is het eerder de vraag wanneer er een inbraakpoging wordt ondernomen, dan óf er een zal worden ondernomen. Daarom leidt een houding van ‘het zal ons niet gebeuren’ op korte of lange termijn tot problemen.
Alhoewel nog niet algemeen doorgedrongen, begint het bewustzijn te groeien van de noodzaak van een adequate informatiebeveiliging – niet alleen voor een Internet-omgeving, maar zeker ook voor een intranet.
Duidelijk is dat de informatie op een intranet voor veel bedrijven van levensbelang is. Ongeautoriseerde wijzigingen in deze informatie kunnen desastreuze gevolgen hebben, om maar te zwijgen van de schade als één van de concurrenten een kopie van deze informatie in handen krijgt.
Een inbraak via een Internet-aansluiting kan andere gevolgen hebben. Niet alleen wordt toegang verkregen tot de informatie op het achterliggende lokale netwerk, ook is de reputatie van het bedrijf in het geding. Zeker als de inbraak breed wordt uitgemeten in de pers, kan sprake zijn van een moeilijk in geld uit te drukken schade aan het imago.
Een bedrijf is zelf verantwoordelijk voor zijn beveiliging, en zou niet op de leverancier van een firewall of aanverwant product mogen vertrouwen.
Er is een aantal methodieken in ontwikkeling die een algemeen kader proberen te scheppen voor de inrichting van de informatiebeveiliging. Aan de hand van dit kader kunnen twee soorten maatregelen worden getroffen. Enerzijds moeten zij voorkomen dat er wordt ingebroken, anderzijds moeten zij in het geval van een ‘incident’ voldoende informatie hebben opgeslagen om in ieder geval te kunnen achterhalen wat er gebeurd is, hoe het is gebeurd en wie de dader is.
De potentiële inbreker is een onvoorspelbare factor, hij werkt niet via vaste methoden en maakt daardoor juist vaak gebruik van onvoorziene situaties en onvoorspelbare middelen. Kan een methodiek hiertegen maatregelen definiëren of is die te algemeen en ontbreekt er nog een schakel?
Gezonde dosis paranoia
Een algemene methode heeft, naast de vele voordelen van onder andere een brede toepasbaarheid, een nadeel: hij is algemeen. Dit betekent dat de meeste van dergelijke methoden de laatste (zeer belangrijke) stap missen, namelijk de vertaling naar specifieke maatregelen. Het gaat dan om instellingen die direct zijn in te voeren op een bepaald hard- en software platform. Denk bijvoorbeeld aan de instellingen die te maken hebben met de minimumlengte van een wachtwoord, of rechten die aan bestanden en folders worden toegekend.
Naast het ontbreken van deze vertaling naar specifieke maatregelen bestaat ook het gevaar dat de methode voorbijgaat aan ‘bugs’ in hardware of software, bijvoorbeeld in de implementatie van het TCP/IP protocol, of in netwerktoepassingen. Alhoewel deze bugs niet mogen vóórkomen en de leverancier in het algemeen zijn best doet om eventuele bugs zo snel mogelijk te verhelpen, is de kans niet ondenkbeeldig dat er nog oude versies van besturingssystemen of programmatuur worden gebruikt. Hierdoor blijven deze risico’s op het netwerk aanwezig.
In beide gevallen kan er, door het onjuist of onvolledig toepassen van de maatregelen, een aantal potentiële lekken in een beveiliging blijven zitten, met alle mogelijke gevolgen vandien.
Bovendien is het gevaar groot dat er in een dergelijke situatie een vals gevoel van ‘veiligheid’ ontstaat, omdat er toch voldoende maatregelen lijken te zijn getroffen.
Een ander punt betreft het wachtwoord. Gebruikers wordt vaak verweten dat zij hun wachtwoorden opschrijven of bekend maken aan collega’s. De vraag is of dat een fout is van de gebruikers, of dat het gebruikte wachtwoordsysteem niet voldoet.
Onafhankelijke derde
Hoe is dit te voorkomen?
Door te denken als een inbreker, en in het bezit te zijn van een gezonde dosis paranoia. Hierbij wordt in het algemeen het principe gehanteerd dat alles is verboden, tenzij expliciet toegestaan. Dit betekent bijvoorbeeld voor een firewall dat alle Internet-diensten van buitenaf worden geblokkeerd, met uitzondering van die diensten die echt noodzakelijk zijn (bijvoorbeeld e-mail). Door alles af te sluiten, behalve de strikt noodzakelijk diensten, wordt de beheerder gedwongen na te denken over de mogelijke consequenties.
Na deze keuze dient terdege nagedacht te worden over de implementatie van de diensten, bijvoorbeeld bij het aanbieden van informatie via het Web. In veel gevallen is de standaardpagina niet voldoende en moet extra programmatuur op de server geïnstalleerd worden. Een incorrecte configuratie van de webserver of de extra programmatuur stelt een inbreker echter veelal in staat om allerlei gevoelige systeemfiles te benaderen. Er dient dus ook in dit geval met de nodige achterdocht naar de configuratie en inrichting van deze diensten te kijken.
Tenslotte rijst de vraag of iedereen in staat is om zelf deze ‘achterdocht’ te kweken, voorzien van de juiste diepgaande technische kennis. In veel gevallen is die kennis niet in huis. Moet men dan terecht bij de leverancier? Alhoewel dat in eerste instantie een logische keuze lijkt, kleven hier enkele nadelen aan. Allereerst wil de leverancier graag iets verkopen, en informatiebeveiliging is niet altijd een doorslaggevend verkoopargument. Bovendien heeft de leverancier vaak meer verstand van het product dan van beveiligingszaken. Daarom is het belangrijk om, wanneer de kennis niet in huis is, deze te betrekken van een onafhankelijke derde. Deze is in staat om wel de vertaalslag te maken van de methodiek naar de praktijk en naar de implementatie van de specifieke maatregelen.
Zo vormen de methodiek en de pragmatiek twee handen op de buik van de informatiebeveiliging.
Een goede methode voor informatiebeveiliging is noodzakelijk voor het opzetten van een adequate beveiliging. Het is echter niet voldoende. De methode dient, met een gezonde dosis achterdocht en pragmatiek te worden vertaald naar specifieke maatregelen voor een specifieke situatie. Bij deze vertaling is kennis van de verschillende systemen onontbeerlijk, omdat deze moet worden aangevuld met maatregelen om de ‘eigenaardigheden’ van elk platform te kunnen opvangen.
Arthur Donkers,
Le Reseau netwerksystemen BV
