‘Op internet weet niemand dat je een hond bent’, luidt een oud grapje. Leuk, maar tegenwoordig wil je toch wat meer zekerheid over de identiteit van de personen of systemen waarmee je te maken hebt op.
Eigenlijk is het een raadsel dat identiteit, authenticatie, autorisatie en dergelijke nog steeds een probleem vormen in informatiesystemen. Je zou denken dat voor dergelijke fundamentele behoeften jaren geleden al een sluitende oplossing is uitgedokterd en geïmplementeerd. Zoals president en ceo Art Coviello van RSA Security stelt: “Identiteit moet een bedrijfsmiddel zijn. Het moet veilig, makkelijk in het gebruik en betrouwbaar zijn.”
Geplunderd
Het tegendeel is het geval, zowel wat betreft de aanpak van toegangsbeveiliging als bij het beschermen van identiteitsgegevens. Op het laatste punt gaan we er zelfs op achteruit. Uit een RSA Security-onderzoek blijkt dat door spyware en malware, ‘phishing’ (gebruikers worden naar een nepsite gelokt, waar hun identiteitsgegevens worden gestolen) en dergelijke het vertrouwen bij de Amerikaanse burger in e-handel het afgelopen jaar is gedaald. De respondenten zijn blijkbaar ook verontrust door diefstallen van identiteits- en persoonlijke gegevens in bedrijven als gevolg van de zwakke beveiliging van systemen.
Is die angst gerechtvaardigd? Volgens Gartner kregen van april 2003 tot april 2004 ongeveer 57 miljoen volwassenen in de VS te maken met een ‘phishing’-aanval. Bijna twee miljoen mensen gaf informatie vrij met behulp waarvan hun bankrekening kon worden geplunderd. Het totale gezamenlijke verlies bedroeg zo’n 2,4 miljard dollar.
Bij Seisint, een Amerikaanse dochter van Reed Elsevier, zijn onlangs de data van circa 32 duizend personen gestolen. Ietwat verontrustend, want Seisint heeft ook een database met individuen van wie het profiel op mogelijk terroristische activiteiten kan wijzen. Choicepoint, een concurrent van Seisint, was onlangs eveneens het slachtoffer van een inbraak door personen die zich met valse identiteitsgegevens toegang wisten te verschaffen. Hier werden zo’n 145 duizend persoonsprofielen geplunderd.
Vertrouwen
Dat we tegenwoordig meer horen over dergelijke diefstallen danken we aan overheidsmaatregelen. De wet in Californië bijvoorbeeld eist dat burgers van die staat worden verwittigd als hun gegevens geraakt zijn door een beveiligingsinbreuk. Waar geen meldingsplicht bestaat, worden problemen vaker met de mantel der liefde bedekt. De risico’s zijn dan ook niet gering, te meer omdat ook de kans op misbruik van andere vertrouwelijke gegevens, bijvoorbeeld medische, groeit.
Alle partijen, te beginnen met de banken als de bedrijven die het meest op de korrel genomen worden, beseffen dan ook dat het nodig is om sterkere vormen van identificatie en authenticatie na te streven. Ook de eindgebruikers vragen daarom, onder meer omdat ze de leveranciers van diensten via internet verantwoordelijk stellen voor beveiliging. Een sterke identiteit en authenticatie is een vereiste om het vertrouwen te herstellen en uitsluitsel te geven over het bonafide karakter van de partijen.
Oertijdperk
Waarom is daar niet eerder werk van gemaakt? De huidige toegangbeveiligingssystemen stammen in wezen nog uit het oertijdperk van de domme terminals en monolithische mainframes. Eén gebruikersnaam plus wachtwoord volstond toen om toegang te krijgen tot de vaak enige toepassing die de gebruiker nodig had op een systeem dat van de buitenwereld was afgesloten. Tegenwoordig loopt die aanpak spaak doordat eigen werknemers en buitenstaanders altijd en overal vanaf elk type computer toegang moeten kunnen krijgen tot systemen die zelf bonte verzamelingen zijn van heterogene, gedistribueerde systemen en toepassingen. Die systemen en toepassingen hebben allemaal hun eigen vormen van beveiliging. Dat leidt tot een wildgroei aan wachtwoorden en het bekende probleem van eenvoudige, nooit veranderde, ergens genoteerde paswoorden. Kortom, het klassieke ‘gebruikersnaam plus wachtwoord’-systeem is aan het eind van zijn Latijn.
Het zal niet meteen verdwijnen, want er zijn veel hulpmiddelen ontwikkeld voor een veiliger wachtwoordbeheer. Sinds jaar en dag wordt gewerkt aan sso-producten (single sign on; één wachtwoord, waarna het sso-product de nodige toepassingen start en de bijhorende wachtwoorden invoert). Daarnaast ontwikkelen leveranciers producten als de ‘wachtwoordkluis’. Cyber-Ark bijvoorbeeld heeft zo’n kluis voor het beheer, aanpassen en distribueren van beheerderwachtwoorden.
Kostprijs versus waarde
Het is tijd voor sterkere authenticatie op ruimere schaal. Denk aan meer ’tokens’ die wachtwoord genereren, zoals die van Vasco en RSA Security, waarbij de grotere aantallen ook tot lagere stuksprijzen moeten leiden. Andere mogelijkheden zijn goedkopere middelen als kraskaarten, en smartcards, bijvoorbeeld in de vorm van een elektronische identiteitskaart.
De kostprijs moet daarbij steeds worden afgewogen tegen de waarde van dat wat wordt beschermd, maar een ruimer inzetten van dergelijke middelen lijkt een uitgemaakte zaak. Dat geldt ook voor de toegang tot systemen en gegevens voor werknemers binnen de eigen bedrijfsinfrastructuur, als de waarde of controleerbaarheid van het beschermde dat vereist. Bedrijven doen er dan ook goed aan te onderzoeken hoe de investeringen in sterkere authenticatie over een maximaal aantal toepassingen te spreiden zijn, of hoe bestaande elementen opnieuw te gebruiken zijn. Ook kunnen organisaties de inzet van gespecialiseerde authenticatieservers overwegen om authenticatie en toepassing of systeem van elkaar te scheiden, onder andere met het oog op doorgroeimogelijkheden.
Desgewenst zijn dergelijke authenticatiesystemen uit te breiden tot bijvoorbeeld combinaties van ‘wat ik weet’ (een wachtwoord), ‘wat ik heb’ (een token) en ‘wat ik ben’ (een biometrisch element als een vingerafdruk of een irisscan).
Verantwoordelijkheid
Zowel gebruikers als leveranciers moeten beseffen dat hiermee de kous niet af is. Ook de hele informaticaomgeving moet veiliger worden, met meer ’trusted computer platforms’ (overigens is de discussie over de invulling van dergelijke platformen nog aan de gang). Andere mogelijkheden zijn een authenticatieproces dat ook rekening houdt met hoe een persoon (of systeem) zich in het verleden heeft gedragen (informatie waar een hacker gewoonlijk niet over beschikt), het inzetten van nieuwe technologieën, zoals rfid, en een mix van verschillende benaderingen.
Belangrijk is dat identiteit en authenticatie van een ‘kunstvorm’ tot een ‘wetenschap’ wordt, stelt Coviello, met middelen en heldere structuren voor een sluitend beheer. Daarnaast zijn open standaarden nodig, om de samenwerking tussen identificatie- en authenticatiesystemen mogelijk te maken, zoals open specificaties voor ‘eenmalig wachtwoord’-systemen).
Verder moeten zowel gebruikers als ict’ers beseffen dat iedereen zijn verantwoordelijkheid moet nemen; dat iedereen zorg moet dragen voor zijn identificatie- en authenticatiemiddelen, om misbruik en schade te voorkomen. Je laat tenslotte ook niet je huissleutel met een adreslabel eraan rondslingeren.
Tot slot: een solide identiteitssysteem is mooi, maar dat ontslaat de beheerder niet van de verplichting om een oogje in het zeil te houden. Het bijhouden van logs en een regelmatige controle daarvan is een vereiste om inzicht te krijgen in wat het normale gebruik is en eventueel afwijkend of malafide gedrag door inbrekers en eigen werknemers te onderkennen.