Beheer

Security

Digitale vingerafdruk  beschermt documenten

18 oktober 2013

Bij informatiebeveiliging wordt vaak gedacht aan hackers en DDos-aanvallen. Het is belangrijk hier maatregelen tegen te nemen. Maar wat soms wordt vergeten is dat binnen de eigen muren een dreiging bestaat die misschien wel groter is. Het lekken van informatie door eigen medewerkers is een onderbelicht probleem. Een recent onderzoek van TNS NIPO geeft aan dat ongeveer 10.000 Nederlandse bedrijven met lekken van informatie te maken hebben gehad. Totale schadepost: 115 miljoen euro.

Evenredig met een groeiend personeelsbestand groeit ook de complexiteit van de controle daarop. Niet alleen moet rekening gehouden worden met interne medewerkers maar ook met extern ingehuurd personeel, onder anderen consultants. In deze complexiteit is het eerst belangrijk om identity- en accessmanagement goed in te richten zodat toegang tot systemen en hun informatie gecontroleerd gebeurt. Toch mogen controlemaatregelen niet ophouden bij een beveiligde voordeur. Een eenmaal geauthenticeerde medewerker heeft vrij spel. Toegangscontrole biedt geen middel om geprinte stukken binnenshuis te houden of controle over privé e-mailadressen te krijgen als daar bedrijfsgeheimen belanden. Hiervoor is een andere oplossing nodig.

Digitale vingerafdruk

Buiten de beschermde bedrijfsomgeving zijn andere oplossingen nodig om te voorkomen dat intellectueel eigendom, financiële gegevens of klantgeheimen worden gelekt. Classificatie van documenten kan hier een eerste stap zijn, maar dit biedt geen bescherming tegen wangedrag of onzorgvuldigheid. Daarom moet bovenop deze classificatie een technische maatregel genomen worden die alle digitale eigendommen voorziet van een vingerafdruk; vergelijkbaar met de manier waarop wij in ‘het echt’ overal vingerafdrukken plaatsen op alles wat we aanraken. Met een digitale vingerafdruk kan de identiteit van een persoon worden opgeslagen in het document. Op die manier kan worden achterhaald wie de eigenaar is of voor wie het document is bedoeld: een sterke verbetering van de traceerbaarheid.

De digitale vingerafdruk geeft een bedrijf strategisch voordeel. Enerzijds helpt dit stempel bij de bewustwording van medewerkers. Het besef dat de bedrijfsdocumenten die bij hen in bezit zijn, allemaal zijn voorzien van een stempel, zal ervoor zorgen dat zorgvuldiger met de gevoelige informatie wordt omgegaan; bedrijfsdocumenten worden hiermee persoonlijke documenten.

Tegelijkertijd biedt de afdruk een extra hulpmiddel als een document toch uitlekt. Met de vingerafdruk kan men traceren wie de verspreider van het document is zodat achteraf corrigerende maatregelen genomen kunnen worden. De techniek die dit mogelijk maakt, heet steganografie.

Steganografie

Steganografie is het verstoppen van een bericht zodanig dat het bestaan van het bericht verborgen blijft voor iedereen behalve de zender en de bedoelde ontvanger. Vaak wordt een bericht verstopt in een informatiebestand dat zoveel overbodige gegevens bevat dat verandering van enkele data-elementen onopgemerkt blijft.

Meest bekend is het opslaan van berichten in afbeeldingen. Dit is mogelijk omdat een afbeelding doorgaans is opgebouwd uit duizenden beeldpunten, waarbij elk van deze punten een van de ruim 16 miljoen beschikbare kleuren heeft. Omdat wij geen onderscheid kunnen maken tussen zoveel kleuren, kunnen we deze kleurinformatie gebruiken. Door kleine kleurveranderingen aan te brengen in het bestand kan informatie worden opgeslagen zonder dat de gebruiker hier iets van merkt; zo blijft de bestandsgrootte gelijk en ziet de afbeelding er hetzelfde uit.

Op een vergelijkbare manier kan steganografie in teksten worden toegepast. Bijvoorbeeld door gebruik te maken van synoniemen van woorden of door te rommelen met de codering van tekens in bits en bytes. Als dit slim wordt toegepast kan zomaar een bericht onzichtbaar worden geplaatst in een ander tekstbericht. Technisch zijn de mogelijkheden van steganografie onbeperkt.

In veel oplossingen is steganografie al toegepast. Een aantal voorbeelden.

  • In de Tweede Wereldoorlog gebruikten de Duitsers zogenaamde microdots: kleine stippen die met een speciale uitrusting geplaatst konden worden. Deze bevatten informatie die alleen met een microscoop gelezen kon worden.
  • Sommige printers plaatsen een unieke code van kleine gele stippeltjes op geprinte papieren. Datum, tijd en serienummer van de printer worden hierin opgeslagen zodat bijvoorbeeld valsmunters opgespoord kunnen worden.
  • Steeds meer films worden beschermd met Coded Anti-Piracy. Een aangekochte film wordt voorzien van een verborgen code. Als blijkt dat een film illegaal wordt aangeboden op een torrent-website kan door middel van deze vingerafdruk de bron van verspreiding geïdentificeerd worden.

Hoewel de techniek steganografie beproefd is en verschillende toepassingen kent, is een belangrijke toepassingsmogelijkheid lang vergeten.

Eenvoudig

Wie de nieuwsberichten volgt weet dat het lekken van documenten deel is van de dagelijkse praktijk. Niet lang geleden was er de examenfraude. En men kan wachten op het moment dat de miljoenennota uitlekt. Of denk aan Snowden of Manning die staatsgeheimen publiceerden. Wikileaks ontleent zelfs zijn bestaansrecht aan het feit dat geheime informatie wordt gelekt.

Duizenden bedrijven maken steeds weer mee dat medewerkers – bewust of onbewust – vertrouwelijke documenten lekken. Wat als elk van deze documenten was voorzien van een unieke code die de verspreider identificeerde? Dan was opsporing veel eenvoudiger. En belangrijker, dan was waarschijnlijk voorkomen dat deze documenten werden verspreid. De drempel om documenten waar jouw naam op staat bewust te verspreiden is erg hoog. Ook laat je geen bedrijfsgeheimen slingeren als je weet dat zij jouw sporen bevatten: het zijn nu ook jouw documenten.

Steganografie-algoritmes kunnen relatief eenvoudig in bestaande IT-infrastructuren worden toegepast. Bijvoorbeeld als middleware, dat documenten die op een intranetportaal staan aangeboden, voorziet van een uniek stempel zodra er één wordt gedownload. Of op een mailserver, die bijlagen van uitgaande e-mails voorziet van een onzichtbaar kenmerk. In beide gevallen is de identiteit van de documenteigenaar bekend en kan een digitale vingerafdruk eenvoudig in het document worden geplaatst. Ook op geprinte documenten kan een verwijzing naar de identiteit van de verzender of ontvanger worden geplaatst; eenmaal geprint moet weer de échte vingerafdruk als traceermiddel worden gebruikt, mocht het document in fysieke vorm verder worden verspreid.

Of het nu gaat om afbeeldingen, Office-bestanden of PDF-documenten, bijna elk bestand kan worden voorzien van een onzichtbare handtekening van zowel de verzender als de ontvanger van de gegevens.

Niet nieuw

De digitale vingerafdruk is een waardevol instrument in een gelaagd beveiligingsmodel. Het is een goede toevoeging bovenop accessmanagement. Een goed accessmanagementsysteem verzorgt de juiste authenticatie en autorisatie, maar helpt niet tegen misbruik van verkregen rechten. Hier biedt steganografie uitkomst.

Het principe van de digitale vingerafdruk is niet nieuw. Het is gebruikelijk dat bij afgifte van bijvoorbeeld bedrijfslaptops de handtekening van de medewerker wordt gevraagd. Dan kan middels een uniek serienummer de laptop altijd aan de persoon worden gekoppeld. Niets nieuws onder de zon.

Verder behoort het veiligstellen van vingerafdrukken tot het standaardtakenpakket van een technisch rechercheur. Het levert vaak belangrijk bewijsmateriaal op. In de digitale wereld ontbreekt de forensische mogelijkheid die dit voordeel biedt. Het is logisch om dit waardevolle middel ook digitaal te ondersteunen.

De eenvoudige technische implementatie maakt de oplossing voor veelorganisaties interessant. Overheden, defensie en hightechbedrijven zouden dit concept moeten omarmen om goedkoop de beveiliging sterk te verbeteren.

Sporen wissen

Om ontraceerbaar te zijn moet voorkomen worden dat digitale vingerafdrukken worden achtergelaten: fraudeurs en hackers willen niet ontdekt worden. Digitaal heb je niets aan latex handschoenen om vingerafdrukken te voorkomen of reinigingssprays om ze te verwijderen, maar de digitale vingerafdruk is niet onkwetsbaar.

De beste manier om te voorkomen dat jouw identiteit aan het document verbonden wordt, is ervoor te zorgen dat het systeem je niet kent. Als voor het systeem onbekend is wie toegang heeft verkregen, kan geen verwijzing naar een identiteit in het document worden verstopt. Je blijft onbekend door bijvoorbeeld authenticatie te omzeilen of door je te laten identificeren als een ander persoon. Dat is moeilijk, want accessmanagement heeft vaak een hoge prioriteit.

Een meer eenvoudige aanvalsmethode is een ‘grote schoonmaak’. De moeilijkheid van digitale vingerafdrukken is dat onbekend is waar zij zich in het document bevinden. Ze zijn onzichtbaar opgeslagen. Met een schoonmaakactie wordt extra ruis in een document gestopt in de hoop dat daarmee bewijsmateriaal wordt beschadigd of zelfs gewist. Opsporingsmogelijkheden worden verstoord, al blijft het voor de aanvaller onzeker of de sporen daadwerkelijk gewist zijn.

Een meer effectieve aanval is mogelijk als ook een document met een vingerafdruk van een collega in bezit is. Door twee documenten van verschillende eigenaren op bitniveau te vergelijken, kan gedetecteerd worden waar de vingerafdrukken zich bevinden. Dit maakt het beschadigen of wissen ervan eenvoudiger. Wel is deze aanval lastig omdat een collega moet helpen bij de frauduleuze handelingen. Als dit toch lukt, is de kans verkleind dat sporen in het document naar de dader wijzen.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!