Als het aan beveiligingsonderzoeker Herbert Thompson ligt, krijgt de de chief information security officer (CISO) binnen grote ondernemingen er een aantal taken bij. Thompson kwam recent in het nieuws door zijn opmerking dat LinkedIn een beveiligingsrisico vormt. Computable interviewde hem tijdens een beveiligingsconferentie van RSA in Londen.
U vindt dat het ontwikkelaars en andere werknemers vaak ontbreekt aan bewustzijn op het gebied van beveiligingsrisico's.
‘Studenten softwareontwerp wordt geleerd om software-eisen te maximaliseren zoals een hoge prestatie, goede onderhoudbaarheid en duidelijk commentaar. Veel van die software-eisen staan echter beveiliging in de weg. Neem bijvoorbeeld performance. Meer beveiliging betekent meestal ook extra controles, en dat heeft een negatieve invloed op de prestatie. Hetzelfde geldt voor gebruiksvriendelijkheid. Ontwikkelaars weten niet altijd goed hoe ze al die software-eisen met elkaar in evenwicht kunnen brengen. Het ís ook een behoorlijke uitdaging. Softwarebedrijven gaan echter steeds meer inzien dat beveiliging een integraal onderdeel moet uitmaken van de producten die ze bouwen. Maar ontwikkelaars die net van school afkomen zijn vaak wel goede code-schrijvers, maar ze zijn niet getraind om veilige code te schrijven.'
Hoe schrijf je veilige code?
‘Beveiliging heeft meer te maken met beperkingen dan met functionaliteit. Je kunt dus software schrijven die aan alle gestelde functionaliteitseisen voldoet, maar toch niet goed beveiligd is. Ict'ers hebben geleerd om functionaliteitseisen te schrijven, niet functionaliteitsbeperkingen. De meeste requirements zeggen: bij een gegeven input A, verwachten we B als uitkomst. Maar beveiliging gaat daarnaast over de afwezigheid van uitkomst C, D en E. Ik kan je een voorbeeld geven uit mijn eigen leven. Laatst werd ik gebeld door de automatische doktersdienst, die me herinnerde aan een bepaalde afspraak. Ik belde de dienst terug, en kreeg een ingesprektoon. Ik probeerde het opnieuw: weer een bezettoon. Maar de derde keer dat ik belde kreeg ik eerst een serie piepjes te horen, en toen een boodschap die voor iemand anders bedoeld was. Over medicijnen die hij moest afhalen, bij die en die apotheek, vanaf zus en zo laat. Met naam en toenaam! Medische gegevens! Het probleem was, dat het systeem voordat het iemand belde niet controleerde of er een kiestoon aanwezig was. En daarnaast had het natuurlijk nooit mogen gebeuren dat het telefoonnummer van de automatische beldienst voor mijn telefoon zichtbaar was.'
U beweert dat LinkedIn een beveiligingsrisico vormt.
‘Ja, daar heb ik onderzoek naar gedaan samen met een collegawetenschapper. Stel, er bloeit iets moois op tussen twee bedrijven, dan kan een buitenstaander dat ook waarnemen, op basis van nieuwe connecties in het sociale netwerk van werknemers van dat bedrijf. Tijdens een voorbereidend onderzoek van LinkedInprofielen van werknemers vonden we een verband tussen een plotselinge groei van het aantal aanbevelingen dat werknemers ontvingen of gaven, en het omvallen van hun bedrijf. Ook op dit moment hebben we een aantal voorspellingen lopen, over bedrijven waarvan de kans groot is, op basis van de LinkedIn-profielen van hun werknemers, dat ze op de fles gaan of binnenkort fuseren met een ander bedrijf.'
Om welke bedrijven gaat het?
‘Dat kan ik nog niet zeggen, maar wanneer ons onderzoek afgerond is, gaan we daarover publiceren.'
Wat kunnen bedrijven aan dit nieuwe beveiligingsrisico doen?
‘Binnen grote ondernemingen betekent het een uitbreiding van de rol van de chief information security officer (CISO) of van de chief risk officer (CRO). En er is ook deels overlap met het werkterrein van een human resources manager.'
Hoe moeten die personen dat aanpakken?
‘Deels houden deze beroepsgroepen zich al bezig met dit onderwerp. Ze laten zich bijvoorbeeld vaak al Google Alerts toesturen, over websites waarop de naam van hun bedrijf opduikt. Daarnaast zouden ze gerichte zoekopdrachten kunnen uitvoeren naar de online activiteiten van individuen die zich op sleutelposities binnen hun bedrijf bevinden. Alhoewel je daarmee meteen ook aan allerlei taboes raakt, zoals de scheiding tussen werk- en privézaken. Is het redelijk om vanuit zakelijk oogpunt privé-activiteiten van werknemers online te onderzoeken? Wanneer die persoon expliciet publiceert over zijn bedrijf, is die afweging duidelijk. Maar wanneer hij of zij onbedoeld informatie uitzendt via bijvoorbeeld sociale netwerken, dan kom je in een interessant schemergebied terecht. Hoe dan ook is het belangrijk om werknemers bewustzijn bij te brengen van dit soort risico's.'
Herbert Thompson
Herbert Thompson is eigenaar van het bedrijf People Security, dat ontwikkelaars en andere werknemers bijschoolt in het beveiligen van ict.
Daarnaast geeft hij les in softwarebeveiliging aan de Columbia-universiteit in New York. Hij concentreert zich daarbij vooral op de vraag hoe je beveiliging integreert in het ontwikkelingscyclus.
Thompson is mede-auteur van het boek How to Break Software Security (Addison Wesley 2003) ISBN: 0321194330. Hij studeerde toegepaste wiskunde aan het Florida Institute of Technology.
Thompson kwam recent in het nieuws door zijn opmerking dat LinkedIn een beveiligingsrisico vormt.
Op zich een interessant onderzoek, en een interessante stellingname, maar wat voor maatregelen zou je tegen dit risico kunnen ondernemen?
Ofwel, kan/mag een werkgever je verbieden aanbevelingen te schrijven ?
>wat voor maatregelen zou je tegen dit risico kunnen ondernemen?
Bijvoorbeeld:
Medewerkers bewust laten worden van dit risico.
Richtlijnen/regels geven wat ze wel en niet horen te doen op het internet en specifiek social networking sites.
Zeker niet een algeheel verbod leggen op het deelnemen aan social networking. Dat is struisvogelpolitiek.
Duidelijk maken wat de consequenties zijn voor het overtreden van de regels.
Actief op het internet (laten) zoeken naar uitingen over het bedrijf.
Meldingspunt hebben om dit soort uitingen te melden.
Opvolging geven aan ongewenste uitingen.
Je kunt ook gewoon zelf twitteren wat de toestand van het bedrijf is. Regels met betrekking tot geheimhouding zijn toch tot mislukken gedoemd, en werken spionage in de hand. De huidige situatie, waarbij er altijd mensen met voorkennis zijn ( en die groep is niet klein) is ongewenst, maar meer beveiligen werkt contraproductief.