INFOSECURITY – Bedrijven moeten niet de ict-infrastructuur geheel willen beveiligen, want die wordt toch nooit 100 procent safe. Je kunt beter zo dicht mogelijk op het beveiligde gaan zitten.
Bedrijven moeten anders leren denken wat betreft de beveiliging van de ict-infrastructuur. "Veel bedrijven sluiten zich af van de buitenwereld", zegt Marco Plas, Principal Security Consultant bij Capgemini. Ron Tolido, CTO van Capgemini voegt toe: "Het meest veilige is alle netwerkstekkers eruit trekken. Maar dan kun je geen zaken meer doen met de buitenwereld. Bovendien zijn er nog altijd usb-sticks."
Capgemini werkt daarom mee aan de ontwikkeling van de beveiligingsmethode Jericho, die verwijst naar het stadje dat in een Bijbelverhaal ommuurd was met zeven stenen muren. Er werd gedacht dat de stad veilig was, maar werd toch geplunderd. "Bedrijven weten niet dat hun beveiliging al half afgebrokkeld is, want er staan poorten open, zoals e-mail, skype en usb-sticks", zegt Plas.
Geldwagen
Bedrijven moeten daarom niet het geheel proberen te beveiligen, want dat is niet mogelijk. Ze moeten zo dicht mogelijk op de informatie zitten. Tolido: "Vergelijk het met een geldwagen. Je kunt de geldwagen beveiligen met een heel team, een goed slot, en allerlei andere dingen, maar het gaat uiteindelijk om het geld. Als je daar een speciale moneybox omheen zet kunnen ze doen met de geldwagen wat ze willen, maar bij het geld komen ze toch niet."
Jericho vereist een andere manier van denken. "Nederlanders willen graag controle houden. Maar dit is, net als de pinpas, een soort van rouwproces waar je doorheen moet", zegt Tolido. Plas verwacht daarom dat het wel een tijdje zal worden voordat Jericho breed gebruikt wordt.
Hogescholen
Capgemini werkt momenteel met hogescholen om het Jericho-principe verder uit te werken. Dat doet het bijvoorbeeld met de Hogeschool Zuyd en de Hogeschool Utrecht. Studenten van deze scholen doen onderzoek naar nieuwe technieken voor Jericho.
Een mogelijke manier van ‘Out-of-the-box’ denken qua beveiliging in de ICT is volgens de theorie van de specificatie hierarchieen. Volgens deze theorie is elk systeem gespecificeerd volgens eigenschappen welke in een hierarchische manier met elkaar samenhangen.
Als we als specificatie hierarchie bijvoorbeeld de evolutie theorie nemen (zie bijvoorbeeld Richard L. Coren: “The Evolutionairy Trajectory” en Max Pettersson: “Complexity and Evolution”) dan kunnen we de specificatie van een digitaal systeem als volgt weergeven: {fysisch{materieel{biologisch{sociaal{politiek{economisch{digitaal}}}}}}
De betekenis van deze notatie is dat een binnenliggend niveau alle eigenschappen van een buitenliggend niveau erft. Voorbeeld: Alle digitale systemen moeten fysisch geimplementeerd worden met materiele middelen door levende systemen (biologische systemen) binnen de grenzen van sociale normen / waarden, politieke / juridische kaders en economische principes.
Nu zijn deze bovenstaande randvoorwaarden voor een digitaal systeem erg breed en we kunnen de randvoorwaarden wat meer operationele handen en voeten geven met bijvoorbeeld de invulling van het bovenstaande model met de principes van complexe systemen, zie bijvoorbeeld de URL http://www.necsi.org.
In een specificatie hierarchie ?overruled? een lager hierarchisch niveau een hoger niveau.
Als je dus op het digitale niveau een veilig system wilt hebben, moet dit systeem dus veilig zijn op alle onderliggende niveau?s !
Voorbeeld als je veilig communiceerd over het Internet met een andere persoon, maar deze persoon geeft deze vertrouwelijke informatie weer door aan derden, dan is de beveiliging op digitaal niveau overruled door de beveiliging op social niveau. Dus je zult met de beveiliging dus aan de beveiliging van alle tussenliggende niveau?s in de specificatie hierarchie moeten voldoen. Een goed voorbeeld hierbij zijn Quantum Encryptie Systemen, welke de beveiliging op Fysiek Niveau regelen en dus het meest veilig en betrouwbaar op dit gebied zijn.
Op de URL http://www.archive.org/details/lecture_05956 kun je hiervan een uitstekende Lecture vinden waarin uitgelegd wordt dat dit soort fysische systemen het meest geschikt zijn voor onkraakbare beveiliging.
Outside the box heet dat. Out of the box betekent klaar voor gebruik.