Grote informatierijke organisaties die hun ict-huishouding uitbezemen, stuiten op dikke stoflagen van autorisaties. Een eenduidig beheerproces met duidelijke verantwoordelijkheden biedt een uitweg. De Nederlandse politie heeft bijvoorbeeld gekozen voor de invoering van ‘rbac’, op rollen gebaseerde autorisatiesoftware. Regio Hollands Midden beet het spits af.
|
Barnard wijst tevens op de herschikking van de informatievoorziening, waarbij de 26 korpsen zijn verdeeld over zes verzorgingsgebieden. Om meer lijn te brengen in de gefragmenteerde, deels verouderde informatievoorziening, is gekozen voor een centraal georganiseerde opzet. Er is een vraagorganisatie – Concern Informatiemanagement Politie (CIP) – die namens de 25 regio’s en het Korps landelijke politiediensten de ict-behoeften in kaart brengt. De uitvoerder is de ICT-Service Coöperatie Politie, Justitie en Veiligheid (ISC) die verantwoordelijk is voor systeemintegratie en beheer. ISC beheert de landelijke applicaties vanuit een centraal rekencentrum in Driebergen. Daarnaast loopt er een migratietraject voor het inrichten van zes computerruimtes voor de verzorgingsgebieden.
Politie in voorhoede autorisatiebeheer
De politie kent vanuit het decentrale verleden veel uiteenlopende applicaties. Het bijbehorende beheer van autorisaties is complex georganiseerd, zegt Barnard. “Veel toepassingen kennen hun eigen autorisatieregime. Er circuleren vele wachtwoorden en log-in’s. Alleen applicatiebeheerders weten hoe het in elkaar steekt.” Ook het aanvragen van een autorisatie verloopt onoverzichtelijk en op talloze manieren: via formulieren, e-mails, telefoontjes of een ‘copy users’-actie.
De politie erkende het belang van een single sign-on-systematiek (enkele aanmelding) en gaf groen licht voor een vooronderzoek naar het oplossen van de autorisatieproblematiek. Daarmee lopen de wetshandhavers in de voorhoede als het gaat om grote gebruikersorganisaties die hun autorisatiebeheer strakker willen regelen. “We kozen voor een stapsgewijze aanpak, om te voorkomen dat een te snelle of vernieuwende aanpak spaak zou lopen.”
De Klaros-adviseur vertelt dat CIP samen met ISC en een aantal beveiligingsexperts naar de softwaremarkt hebben gekeken. “We kwamen uit bij rbac – role based access control -, maar vroegen ons af hoe volwassen en veilig die aanpak is. Omdat de engine relatief nieuw is, kregen we het advies om niet massaal over te stappen op rbac. Daarom hebben we een experimentele fase ingelast.” Begin 2003 startte er een proefproject in de politieregio Hollands Midden. De softwareleverancier Bhold leverde hier software en advisering voor. De proef is inmiddels overgegaan in de invoering van het rbac-model.
Rolgebaseerd autorisatiemodel
Maarten Stultjens, directeur van Bhold uit Naarden, stelt dat de concurrentie op de autorisatiesoftwaremarkt bestaat uit leveranciers van netwerkbesturingssystemen, helpdesksoftware en oplossingen voor webtoegangscontrole. Bhold is sinds 1996 actief op het terrein van role based access control, een methode om het autorisatiebeheerproces in te richten. Hij legt uit dat de bepaling van wie wat mag doen met welke it-toepassing niet plaatsvindt op basis van personen, maar van rollen die mensen vanwege hun functie spelen in de bedrijfsprocessen. Daaraan worden bevoegdheden gehangen. Hieruit vloeit een rolgebaseerd autorisatiemodel, waarin per afdeling gebruikers zijn gekoppeld aan hun rollen en autorisaties worden toegewezen. Wijzigingen of intrekkingen van autorisaties kunnen via digitale formulieren, vanuit een personeelsinformatiesysteem of een andere toepassing, automatisch worden verwerkt in de administratie.
“Rbac maakt een einde aan de individuele, toevallige en daardoor onbeheersbare toekenning van gebruikersrechten”, zegt Stultjens. “Het mooie van rollen is dat ze veel stabieler zijn, want minder aan verandering onderhevig, dan personen. Die krijgen een andere functie of verlaten de organisatie. Zaken als eenmalige aanmelding en wachtwoordsynchronisatie zijn in een rbac-model makkelijk te regelen en de beheerkosten kunnen omlaag.” Een ander voordeel, meent de Bhold-directeur, is dat rbac een betrouwbaar identity management (autorisatie en authenticatie) mogelijk maakt. Dat is een voorwaarde voor organisaties om te voldoen aan de verscherpte boekhoudregels en operationele verslaglegging, zoals vastgelegd in procedures als Sox, Basel II en Ifrs.
Eerst autorisatie, dan logging
Bij de politie staan veel functiebeschrijvingen en permissies (Barnard: “tot die van de politiedokter aan toe”) reeds in de wetgeving vast. Neem een proces als opsporing: daarin zijn meerdere dienders betrokken die verschillende bevoegdheden op basis van functiescheiding hebben: de één doet bijvoorbeeld het rechercheerwerk, de ander mag alleen verdachten aanhouden. Bovendien bestaat er een regeling informatievoorziening (Bbnp: BasisBeveiligingsniveau Nederlandse Politie), die regelmatig wordt geaudit. Het gebruikelijke beeld bij politieseries op tv dat een rechercheur achter een beeldscherm gezeten even wat gegevens op het scherm tovert, is niet realistisch. In Nederland kan een politieagent veel informatie opvragen, maar elk korps kent ook ondersteunende informatiedesks die verzoeken afhandelen. Ook hier hangt het autorisatieniveau af van welke rollen er in welke politieprocessen meespelen.
Het probleem is echter dat – ondanks de wet- en regelgeving – op it-gebied de hoeveelheid gebruikersautorisaties in de loop der jaren de pan is uitgerezen. Barnard: “De politie is traditioneel gewend te werken met functies. Daar werden automatisch autorisaties aangehangen. Later kregen de functies er taakaspecten bij, zoals milieu, jeugd en verkeer. Waren er meer autorisaties nodig, dan kwamen die er. Er bestond geen duidelijke differentiatie welke gebruikersrechten bij welke functie hoorden.” De verantwoordelijkheid ligt in de nieuwe opzet bij het lijnmanagement van de korpsen zelf. Die moet bepalen welke functies toegang mogen krijgen tot welke systemen en in welke gradaties, en niet personeelszaken of applicatiebeheerders. Vooral met die laatste categorie levert dat wrijvingen op, heeft Barnard in de proef gemerkt. “Daarom organiseren we autorisatiebeheersessies, waarin we deze gevolgen aankaarten. Het ‘effe regelen’, is er straks niet meer bij, vertellen we dan. Wij willen een andere registratie dan het resetten van een wachtwoord in Active Directory. Het uitgangspunt moet zijn: eerst de autorisatie regelen, dan pas de logging.”
Functierechtenmatrix
Het architectuurplaatje begint met een centrale autorisatiebeheerserver, met in het proefproject Bhold-software. Dit rbac-model is te vergelijken met een functierechtenmatrix. De korpsen staan hiermee in verbinding en vullen via een webgebaseerde toegang de matrix met hun personeelsgegevens (gebruikers, functies, autorisaties). Zij beheren deze data. Het ligt in de bedoeling ook een koppeling aan te brengen tussen het rbac-model en de backoffice-systemen van de regio’s, om gegevenssynchronisatie mogelijk te maken. Denk aan de kantoorautomatisering of het personeelsinformatiesysteem (ieder korps heeft een eigen p&o-register gebaseerd op de door Getronics en Raet ontwikkelde applicatie Beaufort).
Daarnaast is er een aantal landelijke toepassingen die aan de beheerserver hangen, zoals de VMS-installaties PCS (Planning Control Systeem) en BPS (Bedrijfs Processen Systeem). Omdat deze systemen regionaal geïmplementeerd zijn en er onderlinge verschillen bestaan, leveren de regio’s hiervoor eveneens de autorisatiedata aan. Het CIP kiest bij nieuw op te leveren politiebrede applicaties, zoals het systeem Pshv (PolitieSuite Handhaving Vreemdelingen), een andere, servergeoriënteerde aanpak. Deze toepassingen lopen via het spml-protocol automatisch mee in het rbac-traject. Wanneer in de toekomst een medewerker in een regio inlogt op bijvoorbeeld Pshv, geeft de Bhold-server een ‘ja’ of een ‘nee’.
Hoewel al veel regels vaststaan, behoort het rbac-model om te kunnen gaan met afwijkingen, zoals een interregionale samenwerking waarvoor tijdelijk autorisaties nodig zijn.
Autorisatiesystemen strak regelen
Uit de proef in regio Hollands Midden bleek dat een strakke autorisatieaanpak loont. Het projectteam draaide bijvoorbeeld een verschillenlijst tussen alle autorisaties die circuleerden en het overzicht van huidige medewerkers. Dat leverde een berg foutmeldingen op, zoals doublures, autorisaties voor medewerkers-uit-dienst of agenten die te veel of te weinig geautoriseerd waren. “Wat er feitelijk gedaan moet worden”, zegt Stultjens, “is het goed regelen van het uitdelen van autorisaties in samenhang met het aanscherpen van functieprofielen, en het voeren van audits hierop.”
Het opschonen van verouderde of ten onrechte verleende autorisaties noemt Barnard een vorm van it-archeologie. “Vooral de kantooromgeving is complex. Die bestaat soms uit honderden verschillende groepen zonder een autorisatiestructuur. Dan is het echt spitten om alle gebruikersrechten boven tafel te krijgen.”
Ook oudere systemen – de politie is een VMS-bolwerk – zijn lastig. De documentatie is vaak zoek of incompleet en de programmatuur kampt met karakteristieke slordigheden. “Dat maakt het overzetten van het autorisatiebeheer er niet gemakkelijker op”. Uit de proef kwam tevens naar voren dat systemen die bepalend zijn voor het verlenen van autorisaties, continu actuele informatie moeten bevatten. Anders ontstaan er conflicten. Barnard vertelt van een nieuwe medewerker die allerlei gebruikersrechten toegewezen had gekregen, maar toch niet kon inloggen. “Hij bleek nog niet in het p&o-register te zijn verwerkt.”
Landelijke invoering autorisatiesysteem
Eind 2005 dient het rbac-model voor de gehele politieorganisatie te zijn getest, inclusief alle variaties. Een aanbesteding voor de software volgt binnenkort. Over twee à drie jaar moet het autorisatiebeheersysteem landelijk zijn ingevoerd. Barnard stelt dat autorisatie een van de vier onderdelen is van een vernieuwingstraject om te komen tot een standaard ict-beveiliging. “Er lopen tevens projecten voor authenticatie, encryptie en logging.”
De projectleider is voorstander van een gelimiteerd aantal uitgebreide bevoegdheden. “Dat is beheersmatig verstandig. Voor een aantal situaties zal in de toekomst sterke authenticatie worden vereist, bijvoorbeeld een codegenerator, zoals banken die al langer kennen. Maar het is niet nodig om elke politiemedewerker uit te rusten met dergelijke spullen. Elke beveiliging kent een zwakke plek. Je moet de kans dat die plek gevonden wordt, zo klein mogelijk zien te houden.” Barnard merkt dat deze boodschap niet altijd makkelijk over te brengen is. “Soms neemt er iemand contact op die bijvoorbeeld op een beurs enthousiast is geraakt van usb-sticks en die op grote schaal wil invoeren. Dan vergt het enige diplomatie om hem te overtuigen dat daar uit oogpunt van beveiliging haken en ogen aan zitten.” Barnard memoreert aan een politiecongres, waar diverse deelnemers met Bluetooth-GSM-telefoons rondliepen. “We hebben toen laten zien dat we via hun telefoon konden bellen. Daar keek men wel van op.”
Bbnp-eisen
Over de haalbaarheid van rbac-projecten bestaan veel twijfels. Vaak komen ze niet verder dan de ontwerp- of proeffase en stranden ze op een onwillige organisatie. Barnard verwacht dat dit de politie niet zal overkomen, omdat hier in zijn ogen een bewustzijn bestaat van het belang van bovenregionale informatie-uitwisseling en een daaraan gekoppeld autorisatiebeleid. Daarbovenop zorgt de informatievoorzieningsregeling Bbnp voor borging. Het pilotkorps Holands Midden blijkt met oog op het autorisatiebeheer inmiddels nagenoeg geheel te voldoen aan de Bbnp-eisen.
Kan het autorisatiebeheermodel niet van bovenaf worden opgelegd? “Nee”, antwoordt hij. “Zoiets past niet bij het maatschappelijk functioneren van de politie. Het doel van het standaardisatiebeleid is het samenstellen van één politiesuite voor nieuwbouw en integratie om de informatieuitwisseling binnen en tussen de korpsen te verbeteren. Maar zij houden hun eigen verantwoordelijkheid.”< BR>
