Sinds de komst van de interactieve terminal en het begin van de computerbeveiligingsproblemen, hebben nieuwe technologieën een continue stroom nieuwe problemen veroorzaakt. We moeten de technologische vorderingen verwelkomen, maar we kunnen hun schaduwzijde niet ontkennen.
Het eerste conflict tussen technologie en veiligheid was wellicht de programmeerbare functietoets. Sommige gebruikers brachten hun wachtwoord onder een functietoets onder. Hackers konden hierdoor functietoetsen op vacante terminals indrukken om wachtwoorden aan ze te ontlokken (papiertjes die op schermen worden geplakt rangschik ik niet onder technologie!)
Het volgende probleem was de floppy, te meer toen het kleine formaat verscheen. Je kunt veel data opslaan op een floppy die gemakkelijk in een broekzak is te stoppen. Het equivalent aan bedrukt papier was veel moeilijker weg te moffelen!
Pc’s waren het volgende probleem. Voordat hogesnelheids-lan’s de norm werden, was het nodig om werkgegevens op te slaan op de lokale harde schijf. Dit raakte zo ingeburgerd, dat het nog steeds gebeurt – ondanks de servers in een netwerk. Dit maakte het makkelijker om data naar een floppy te kopiëren, maar schiep ook een gerelateerd probleem van de kwaliteit van de gegevens. Het angstzweet breekt je uit wanneer je denkt aan al die bedrijfsgegevens op onbekende locaties, die onvoldoende worden beschermd. Slechte gewoonten, soms uit nood geboren, zijn moeilijk te veranderen. Dit wordt een groot probleem, wanneer het gebruik van nieuwe veilige systemen wordt gestimuleerd.
Connectiviteit op afstand was het daaropvolgende probleem. Thuiswerkers moesten toegang hebben tot centrale faciliteiten, zowel data als applicaties. De beveiligingssystemen die werken met een wachtwoord en intern veel gebruikt worden, zouden ook kunnen dienen om op afstand in te loggen. Het beheer van dergelijke diensten is een extra karwei, en een verbinding op afstand, met name een inbelverbinding, is in potentie kwetsbaarder voor hackers dan een lokale verbinding.
Tot voor kort kwam echter 75 procent van diefstallen, in waarde gemeten, van binnenuit. Maar toen kwam het internet. Terwijl de veiligheidsproblemen dezelfde zijn als die bij telewerken, is de schaal veel groter.
Verder zullen werknemers waarschijnlijk geen kwaadaardige aanvallen uitvoeren, maar internet kampt helaas met een klein aantal gestoorde mensen die er genoegen in scheppen om dingen kapot te maken. Er heeft een ongecontroleerde expansie van pc-netwerken in alle organisaties plaatsgevonden, terwijl de meeste software een slechte reputatie heeft op het gebied van beveiliging. Daarnaast moeten organisaties uit commerciële overwegingen met internet verbonden zijn. Dit alles heeft een perfecte omgeving voor hackers gecreëerd.
Een van de kwetsbaarste objecten zijn echter de laptop-pc’s. Ik ben er nog steeds van overtuigd dat slechts een klein deel van deze machines te rechtvaardigen is uit bedrijfsoogpunt. De meeste zijn statussymbolen, speeltjes voor topmanagers. Desalniettemin gooien ze die vol met applicaties en data, waarvan de meeste weinig waarde hebben. Sommige data worden gecreëerd op de laptop, andere worden gedownload. Ik vraag me af hoeveel daarvan waarde voor het bedrijf heeft, en of er controle is. Het stelen van laptops is gemeengoed geworden, omdat ze klein, waardevol en in trek zijn. Een gestolen laptop kan voor een paar honderd euro’s verkocht worden; ik vraag me af hoeveel de data in handen van de juiste (of verkeerde) persoon wel niet waard kan zijn. Gelukkig zijn de meeste dieven opportunisten, maar het is verontrustend om te zien hoe zorgeloos er met de laptops wordt omgesprongen.
Alle laptops van bedrijven zouden beschermd moeten worden. Een wachtwoord voor het activeren van het besturingssysteem is essentieel. Dat kan worden ingevoerd via een toetsenbord, maar er is een groeiende behoefte aan meer geavanceerde technieken, zoals biometrie (vingerafdrukken) of smartcards. Eenvoudige wachtwoordbescherming is waarschijnlijk niet genoeg; als iemand in het systeem kan, kan hij bij alle data.
Een meer omvattende aanpak is versleuteling van de data zelf. Softwareproducten als Safe Boot werken op het niveau van de driver en versleutelen de ruwe data op de lokale harde schijf. Deze producten worden ondersteund door een centrale beheerserver, die zorgt voor regelmatige updates en het afhandelen van verloren ‘sleutels’. Ze kosten 100 tot 200 euro voor de laptop. Toch wordt maar een klein percentage van die apparaten beschermd. Het is economisch gezien fout om niet te investeren in beveiliging van laptops met bedrijfswaarde.
Martin Healey, pionier ontwikkeling van op Intel gebaseerde computers en c/s-architectuur. Directeur van een aantal it-bedrijven en professor aan de Universiteit van Wales.
