Er zijn veel lessen te trekken uit het gebeuren rondom Diginotar. En met iedere nieuwe onthulling komen er nieuwe lessen bij, dus voor de definitieve conclusie is het nog veel te vroeg. Maar is de meest voor de hand liggende les inderdaad de belangrijkste?
Les één lijkt te zijn dat grootschalige onderschatting van security risico’s nog steeds (te) veel voorkomt en uiteindelijk niet zonder consequenties blijft. Basale zaken zoals antivirus, defense in depth, zoning, een monitoring capability en de juiste cultuur/mindset zijn randvoorwaarden voor een adequate beveiliging. En als die ontbreken, resulteert dat onvermijdelijk in een inbraak die veel te gemakkelijk is te plegen en die vroeg of laat gesignaleerd wordt.
Maar dat is, hoe waar en relevant ook, geen nieuwe les. Het grootste leerpunt van wat er momenteel gebeurt, is misschien wel gelegen in het feit dat Diginotar waarschijnlijk niet het echte mikpunt van de inbreker(s) was. Via Diginotar konden beveiligingsmiddelen van andere organisaties gecompromitteerd worden, zodat daar ingebroken, afgeluisterd of gefraudeerd kan worden. En dat lijkt een nieuwe tactiek. Want gebeurde enkele maanden geleden niet hetzelfde met RSA? Via gecompromitteerde Secure ID tokens van RSA werden organisaties aangevallen die op die tokens vertrouwden voor hun toegangsbeveiliging.
Dat betekent dat iedere organisatie zich af moet vragen of de risico’s in de keten bekend zijn. Je kunt allerlei beveiligingszaken prima regelen, maar voor veel activiteiten zal vertrouwd worden op de diensten en producten van derden. En die blijken niet altijd zonder meer te vertrouwen. Daar zal dus zekerheid over verkregen moeten worden. Maar zelfs dan zullen we moeten accepteren dat niet alle risico’s voorkomen kunnen worden (als we tenminste ons huidige niveau van connectivity willen handhaven) en dat er dus nog meer nadruk zal moeten komen op detectie van mogelijk misbruik. En dat hoeft niet alleen achteraf, door middel van security monitoring, maar kan ook vooraf door het onderkennen van patronen en trends in de markt en de waardeketen. Daarmee krijg je als onderneming ‘situational awareness’; je kunt duiden wat er in de nabije (cyber)omgeving van de organisatie gebeurt , wat je in staat stelt te anticiperen op het juiste risiconiveau.
Laten we daarom niet te snel denken dat wat er nu bij Diginotar gebeurt , zich beperkt tot de direct betrokkenen en alleen kan gebeuren als basale beveiligingsmaatregelen niet getroffen zijn. Iedere organisatie dient zich af te vragen welke risico’s zich bevinden in de waardeketen en of er voldoende informatie is om de risico’s real time te monitoren, te analyseren en risico’s te signaleren.
(met dank aan Michael Teichmann, collega Security Partner bij Accenture)
De Diginotar-hack is relevant voor bijna elke organisatie maar niet voor elke. Zoals in het artikel terecht opgemerkt dien je vooraf na te denken over security risico’s en niet achteraf. Gegeven het feit dat de problemen met TTP authenticatie reeds langer bekend waren en ook niet op korte termijn opgelost zullen zijn is het Freemove Quantum Exchange ontworpen dat sinds 2007 operationeel is en tot minimaal 2030 operationeel zal blijven. Dit systeem is in tegenstelling tot de huidige op TTP gebaseerde systemen gebaseerd op P2P security en authentication. Verder heeft het onafhankelijke bron- en kanaalcodering, is het gebaseerd op true en niet op pseudo randomness, heet het gescheiden security en authentication en ondersteund het information-theoretische en rekenkundige symmetische private key en asymmetrische public key schema’s. Voor dit systeem is de Diginotar hack niet relevant. Meer informatie over dit systeem is bijvoorbeeld te vinden op http://bit.ly/fqxch en http://bit.ly/fqxwuala
Het woord waardeketen zegt het al: een keten van samenwerkende partners, die ieder hun ding doen en eigen info beveiliging regelen. Info beveiliging is volgens mij meer dan eigen data eerst. Het moet meer een gedeelde verantwoordelijkheid worden! Volgens mij is het dan ook hoofdzakelijk een organisatorisch probleem.
Durft u uw organisatie te laten hacken door een white hat hacker?