’Bedreiging te laconiek opgevat’

OTR Group heeft een poging gedaan om de belangrijkste onderwerpen samen te vatten in het rapport ’How will the increasing conflict between communications and security be resolved?’. Een vraag waar wel een antwoord op is, maar kort is dat antwoord niet. Een goed beveiligingsbeleid vraagt maatregelen op zeven terreinen, constateert OTR Group: de externe verbinding, vaststelling van de identiteit van de gebruiker (authenticatie), vaststelling van de acties die een gebruiker mag ondernemen (autorisatie), gegevensbescherming, inhoudelijke screening, verkeersbeheer en last but not least: testen om de effectiviteit van de genomen maatregelen te beproeven. Firewall Het eerste aandachtsveld is de verbinding met de buitenwereld. Bedrijven dienen het contact tussen het interne en het externe netwerk te reguleren met een zogeheten firewall. Een firewall maakt het mogelijk te specificeren welke externe computers wel en welke geen toegang mogen krijgen tot het interne netwerk. Deze techniek wordt nu nog vaak alleen ingezet op een centrale server tussen het interne en het externe netwerk. OTR Group raadt aan om firewalls ook in te zetten op alle afzonderlijke werkstations en op alle mobiele apparaten met Internet-toegang. Dat laatste geldt ook voor mobiele telefoons, zeker wanneer binnenkort met GPRS continue toegang tot Internet mogelijk wordt. Authenticatie Een firewall op zich is niet voldoende. Voor wie zich erop toelegt, is het altijd mogelijk een firewall te omzeilen. Vandaar dat een noodzakelijke tweede stap is te identificeren, welke gebruiker een bepaalde computer bedient. Dat gebeurt in de regel door de gebruikersnaam en een wachtwoord te vragen. OTR waarschuwt ervoor dat dit een zwakke plek in de verdedigingslinie is. Mensen moeten in de hedendaagse samenleving veel te veel wachtwoorden, persoonlijke identificatienummers en wat dies meer zij onthouden, niet alleen op hun werk, maar ook in hun privéleven. Dat leidt er onontkoombaar toe, dat mensen steeds dezelfde wachtwoorden gebruiken en/of die gegevens ergens gaan opslaan of opschrijven, met alle risico’s van dien. Dat probleem is deels op te lossen met smart cards of biometrie, maar de aangedragen oplossingen op deze terreinen zijn nog te ingewikkeld en niet gestandaardiseerd. Een nieuw type oplossing dat OTR Group signaleert is dat van de Authentication Service Provider, een extern bureau dat de authenticatie voor zijn rekening neemt. De Rabobank zou overwegen om zijn bestaande systeem voor Internet-bankieren uit te bouwen tot zo’n dienst, meldt OTR Group. Autorisatie Na vaststelling van de identiteit van de gebruiker is het zaak te bepalen, wat de gebruiker in kwestie wel en niet mag doen op de computersystemen. Dergelijke rechten worden in de regel opgeslagen in Acces Control Lists. Veel bedrijven doen dat nog voor iedere applicatie opnieuw, maar dat leidt bij veel personeelswisselingen snel tot onbeheersbare situaties, stelt OTR Group. Bovendien is het veiliger om medewerkers minder rechten toe te kennen op momenten dat ze de systemen van buiten het bedrijf benaderen. Het is om deze redenen beter, want overzichtelijker, om de rechten op een centraal punt voor alle toepassingen te regelen. Genoemde maatregelen kunnen niet garanderen dat er niet met de gegevens geknoeid is. Eén van de methoden die men moet inzetten om de juistheid van verzonden gegevens te garanderen is encryptie. De meest gebruikte vorm is tot nog toe de Secure Sockets Layer-methode, maar die is niet absoluut veilig, stelt OTR Group. Het adviesbureau verwacht dat binnen drie jaar de veel veiliger Public Key Infrastructures op grote schaal zullen doorbreken. Met dergelijke oplossingen worden berichten niet alleen versleuteld, maar kan men voor aanbieding van een versleuteld bericht ook vaststellen dat men daadwerkelijk met de geadresseerde communiceert, en niet met iemand die zich voordoet als de geadresseerde. Inhoudelijke screening Een tweede probleem met de inhoud van communicatie is, dat er allerhande schadelijke zaken in verstopt zitten die er niet in thuishoren, zoals virussen en wormen. Dit probleem is onuitroeibaar zolang er geen mondiale databank voor virusbestrijding wordt opgericht. Veel bedrijven menen dat het volstaat de werknemers goed voor te lichten over de gevaren en de maatregelen die zij zelf kunnen nemen. Dat optimisme wordt door de praktijk weerlegd, constateert OTR Group. Handelingen van het eigen personeel veroorzaken 80 procent van de beveiligingslekken, blijkt uit onderzoek. Tegen de nieuwsgierigheid van employees die de verleiding niet kunnen weerstaan om te bekijken wie hen per e-mail zijn of haar liefde betuigt, is geen kruit opgewassen. Overigens doen bedrijven er wel goed aan om regels te stellen ten aanzien van het gebruik van e-mail en Internet. Als ze dan maar niet, zoals de meeste bedrijven doen, vergeten om te controleren of de medewerkers zich aan de regels houden, aldus OTR Group. Verkeersbeheer Een probleem apart is dat van ongewenste boodschappen zoals reclame per e-mail of – minder onschuldig – pogingen om computersystemen plat te leggen door een overdaad aan boodschappen te sturen en elektronische inbraken. Op dit moment is er nog weinig software beschikbaar om deze ongewenste activiteiten effectief tegen te gaan. In die situatie zal echter op afzienbare termijn verbetering komen. In de loop van volgend jaar zullen werkzame oplossingen beschikbaar komen om e-mails te screenen en eventueel te weigeren, zowel op afzender als op inhoudelijke kenmerken. Tevens verwacht OTR Group in de loop van 2002 effectievere hulpmiddelen voor het signaleren van oneigenlijke handelingen door buitenstaanders op de interne bedrijfssystemen. Penetratietest Maatregelen waarvan de werking niet beproefd wordt, zijn niet betrouwbaar. Dat geldt zeker bij de beveiliging van computersystemen. Nieuwe bedreigingen worden in moordend tempo ontwikkeld, veel sneller dan het tempo waarin bedrijven zich tegen de dreigingen wapenen. Een maatregel die vandaag effectief is, kan morgen al omzeild zijn. Toch voert nog maar 10 procent van de bedrijven regelmatig tests uit om de eigen beveiligingsmaatregelen te beproeven, constateert OTR Group. Zo’n audit door eigen mensen of liefst door een externe partij is echter een absolute voorwaarde om de veiligheid van het eigen netwerk te garanderen.