Veel informatiebeveiligers grijpen elke nieuwe technologische ontwikkeling op ICT-gebied aan om wéér de aandacht te vestigen op de risico’s in informatiebeveiliging. Je moet immers wat als je geen nieuwe argumenten hebt. Vaak gaat zo’n nieuwe ontwikkeling vergezeld van ook weer een nieuwe term, in een jargon waarvan normale stervelingen meestal helemaal niets snappen. Tegenwoordig worden de pijlen gericht op cloud computing en preventie dataverlies (DLP). Zelfs alleen al het denken aan de risico’s die met deze issues over de wereld worden uitgestort, zou bestuurders acuut grijze haren moeten bezorgen.

Natuurlijk hebben beveiligers hier een punt. We praten immers over serieuze risico’s. Deze risico’s zijn echter niet nieuw. Maar als je in het verleden je informatiebeveiliging niet goed hebt ingericht en niet tijdig hebt bijgestuurd, dan loop je nu wel risico’s. Daarom zetten we in dit artikel nog eens de dreigingen uiteen en geven we aan hoe u hier pragmatisch mee kunt omgaan.

Hackers grotendeels een gepasseerd station

Nadat jarenlang de aandacht is gevestigd op dreigingen van buitenaf door hackers en ander gespuis, begint het besef nu door te dringen, dat het risico van inbreuk op de informatiebeveiliging door interne medewerkers een stuk groter is. Of anders gezegd, zowel het risico van aanvallen door hackers als de loyaliteit van eigen medewerkers is in het verleden vaak overschat.
Marcel Snippe, sales­specialist ‘data loss prevention’ (DLP) bij Symantec in Nederland, schudt moeiteloos een aantal zorgwekkende cijfers uit zijn mouw. Hij put daarvoor onder andere uit onderzoek dat enige tijd geleden onder de duizend grootste ondernemingen in de Verenigde Staten is uitgevoerd. Meer nog dan hete hangijzers als compliance en identiteitsbeheer is gegevensverlies voor deze ondernemingen een pijnpunt.
Ander onderzoek, van het Ponemon Institute, heeft aangetoond dat de kosten van dataverlies steeds verder oplopen. In de Verenigde Staten gaat het gemiddeld om 6,7 miljoen dollar per geval, waarbij tweederde deel bestaat uit gemiste klandizie. Bij 44 procent van de ondervraagde organisaties is de oorzaak inbreuk op gegevensbestanden en bij 88 procent nonchalance van mensen binnen de eigen organisatie.
Dichter bij huis, in Duitsland, is uit onderzoek gebleken dat bedrijven gemiddeld 2,4 miljoen euro kwijt zijn als vertrouwelijke informatie op straat komt te liggen. Een relatief kleiner deel (33 procent) dan in de Verenigde Staten wordt in Duitsland toegeschreven aan het mislopen van klandizie, maar ook hier is het eigen personeel in het overgrote deel (83 procent) van de gevallen de schuldige.
In deze tijd van economische neergang is het extra oppassen geblazen, waarschuwt Snippe. Zes van de tien ontslagen of vrijwillig opgestapte medewerkers gaan ervandoor met bedrijfsinformatie, ontdekte het Ponemon Institute, en ruim twee derde gebruikt de gestolen gegevens bij een toekomstige werkgever of is van plan dat te doen.

Diefstal van voormalige werkgevers bestaat al eeuwen

Werknemers nemen al eeuwen spullen mee van werkgevers bij wie ze ontslag genomen dan wel gekregen hebben. Kennis en informatie worden daarbij gezien als een evidente eigen verworvenheid en niet als iets dat via diefstal is verkregen. De gedachte daarachter is dat zeker loyale werknemers hun werkgever tenslotte heel veel hebben gegeven waarvoor zij nooit zijn betaald en dat ze dus recht hebben op die dingen waaraan ze wat hebben en die ze misschien later kunnen gebruiken.
Dat heeft niets met recessie te maken. Dat heeft te maken met de normen en waarden die gelden in de Westerse arbeidsverhoudingen. De werkgever mag blij zijn, dat de werknemer hem een aantal jaren heeft laten profiteren van zijn competenties en kennis. Maar die kennis en competenties blijven natuurlijk van de werknemer. (Zie ook ‘De piramide van Maslow vraagt om uitbreiding’.)
Het is zelfs zo, dat een beetje systeembeheerder zich diep zou moeten schamen, als hij in de traditionele omgevingen niet in staat zou zijn om alle, ook vertrouwelijke, informatie, op zijn scherm te krijgen. Om de functiescheiding te realiseren, waarmee dat niet langer mogelijk is, heb je een zeer grote ICT-afdeling nodig. Voor kleinere en middelgrote ICT-afdelingen zou het onderbrengen van (een deel van) de ICT in de cloud echter een uitstekende oplossing kunnen zijn. Maar daarover hoor je beveiligers niet praten.
De meest gangbare transportmedia om informatie een bedrijf uit te smokkelen, zijn opneembare cd’s of dvd’s, USB-geheugensticks en e-mail. Beveiligers zouden dergelijke media het liefst verbieden. Want bedenk alleen maar eens op hoeveel plaatsen een mail-attachment wordt opgeslagen als deze wordt verzonden als bijlage bij een e-mail. De verstuurde informatie is dan zeker niet meer ‘in control’. Maar verbieden is alleen mogelijk als gegevensuitwisseling gemakkelijker op een andere manier verloopt. Om te voorkomen, dat men gaat ‘slepen met informatie’ is een algemene voorziening nodig. (Zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’.)

Beveiligingsrisico’s in de cloud volgens Enisa

Cloud computing wordt gezien als één van de snelst opkomende toepassingen, die bovendien een grote impact zal hebben op Europese bedrijven en overheden. Enisa, het European Network and Information Security Agency, heeft daarom een rapport gepubliceerd over de beveiliging van cloud-services. Organisaties en overheden kunnen met de checklist die het rapport biedt, bepalen of een cloud-leverancier veilig genoeg te werk gaat. Giles Hogben van Enisa: ” Het EU-agentschap heeft ruim een jaar aan het rapport gewerkt, in nauwe samenwerking met beveiligingsleveranciers en universiteiten. Het rapport is vooral bedoeld voor middelgrote en kleinere bedrijven. Enisa verwacht dat deze de grootste markt vormen voor cloud computing. Bovendien heeft juist deze groep bedrijven grote behoefte aan hulp om beveiligingsproblemen rondom cloud computing te begrijpen.
Enisa stelt dat cloud computing heel veel mogelijkheden heeft, maar dat veel organisaties er niet mee van start gaan omdat ze de beveiliging niet goed genoeg vinden. De belangrijkste conclusie is dat de schaalgrootte en flexibiliteit van cloud computing zowel een voordeel als een nadeel zijn voor de beveiliging. De enorme concentratie van resources en data maakt het een aantrekkelijk doelwit voor criminelen, maar het biedt ook weer mogelijkheden voor een robuustere, schaalbare en goedkopere beveiliging.
Middelgrote en kleinere organisaties maken zich vooral zorgen om de bescherming van hun gegevens en om de aansprakelijkheid bij incidenten die de infrastructuur raken. Zij zoeken vooral hierover zekerheid, zo stelt Enisa. Daarom biedt het rapport een lijst vragen die zij aan cloud-leveranciers kunnen voorleggen, de security checklist. Niet alleen is dat volgens de onderzoekers prettig voor de klanten, maar ook voor de leveranciers. Die laatste zijn steeds meer tijd kwijt aan het beantwoorden van vragen van klanten die zekerheid willen over de beveiliging.
De drie grootste risico’s van cloud computing zijn volgens Enisa:

• de vendor lock-in, doordat er weinig garanties zijn voor de portabiliteit van data, applicaties en service;
• falende mechanismen voor het scheiden van data en applicaties van klanten;
• juridische problemen die ontstaan als niet aan de wettelijke eisen wordt voldaan, die worden gesteld aan gegevensbescherming.

Het belangrijkste voordeel van cloud computing is de schaalgrootte, waardoor beveiliging goedkoper is en men dus beter kan beveiligen voor hetzelfde geld. Ook kunnen updates sneller en efficiënter worden doorgevoerd.
Verrassend is, dat de belangrijkste risico’s niet de beveiligingsrisico’s betreffen maar juist contractuele zaken. Het inkopen van een ICT-voorzieningen als SaaS of cloud computing (zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’) blijkt dus het grootste risico te zijn en niet het gebruik van dergelijke voorzieningen. Voor gebruikers is dit dus überhaupt geen issue.

Beveiliging ontgroeit de middeleeuwen

In de middeleeuwen werd beveiliging als volgt gerealiseerd: belangrijkste verdedigingslinie was de stadsmuur of kasteelmuur inclusief de gracht met als zwakke plek de poort, die extra bewaking vergde en waar in geval van nood de ophaalbrug kon worden opgehaald. Informatieveiling wordt vaak nog op soortgelijke wijze opgezet. Nu kennis delen echter steeds belangrijker wordt voor bedrijven, is dit een onhoudbare en zeer onveilige situatie.
Rik Ferguson, senior security advisor bij Trend Micro, onderschrijft dit. Hij betoogt dat de fysieke locatie van IT-resources er bij een goede beveiliging weinig toe doet. Bij verandering van locatie hoef je de controle niet meer kwijt te raken dan voorheen: “Het gaat niet alleen om de fysieke locatie. Je hebt het gevoel de greep te verliezen vanwege de manier waarop de cloud is geïmplementeerd. Per definitie is de fysieke perimeter van een cloud-provider gebaseerd op de kleinste gemene deler, omdat het een verdedigingslinie is die verschillende klanten bedient. Dus het is veilig genoeg voor de klant die het laagste niveau van security verlangt. Alles daarbovenop is de verantwoordelijkheid van elke klant zelf.”

Risico’s van de cloud

Ferguson vervolgt: “Omdat de ‘provisioning’ (toewijzing van IT-resources) in een virtuele omgeving gebeurt, moeten we technologieën bedenken die zo’n omgeving beveiligen. Als een server wordt gevirtualiseerd blijven alle oude risico’s bestaan, zoals inbraken, doordat niet alle patches zijn uitgevoerd. Maar daarnaast komen nieuwe risico’s naar boven. Omdat veel virtuele servers op dezelfde fysieke ‘host’ draaien, kan één gecompromitteerde server als aanvalsplatform dienen om alle andere virtuele servers op dezelfde host aan te vallen. Traditionele netwerktechnologieën bieden daartegen geen bescherming en waarschuwen je zelfs niet, doordat het verkeer binnen dezelfde host blijft en dus niet zichtbaar is.
Een ander risico in virtuele omgevingen is dat van ‘slapende’ machines. Een virtuele server kan actief of inactief zijn. De toewijzing gebeurt dynamisch. Als een slapende virtuele server na langere tijd wordt ‘gewekt’, kan hij kwetsbaar zijn. De patches lopen waarschijnlijk achter, de configuratie kan gewijzigd zijn. Je creëert dus een ‘window of opportunity’ voor aanvallen binnen de hostomgeving.
Wat ook veel voorkomt in virtuele omgevingen is ‘VM sprawl’, het uitdijen van het aantal virtuele machines. Met vier of vijf muisklikken maak je een nieuwe virtuele server aan. Dat is wel even wat anders dan een nieuwe fysieke server bestellen, uitpakken en installeren. En plotseling begin je het spoor bijster te raken van waar je virtuele servers zijn en wat ze allemaal doen. Je dupliceert ook fouten die je in het begin hebt gemaakt.
Een ander probleem zit in het dynamisch verplaatsen van virtuele images van host naar host, wat heel makkelijk kan met een product als Vmotion van VMware. Hoe kun je er zeker van zijn dat de perimeter die je rond de ene host hebt gebouwd, wordt gerepliceerd naar de andere host als je een virtuele machine verplaatst? Misschien is hij wel van een hoog- in een laagbeveiligde omgeving beland.”

Een benadering die past in deze tijd

Volgens Ferguson is daarom een andere manier van denken nodig: “Als je een gevirtualiseerde omgeving wilt beveiligen, moet je de security niet meer van buiten naar binnen willen regelen. Dat is het traditionele model, met een perimeter aan de randen en diverse beveiligingslagen daarbinnen, zoals een firewall, intrusion prevention, http-scanning, mail scanning et cetera. Dat idee moet je totaal omkeren, je moet van binnenuit beveiligen. (Zie ook ’Elf geboden voor informatiebeveiliging volgens het Jericho Forum’.) Je moet data versleutelen, gebruikers authenticeren en de perimeter reduceren tot elke virtuele machine afzonderlijk. Als je een machine ‘zelfverdedigend’ kunt maken, is het onbelangrijk waar alle elementen zich fysiek bevinden. Je kunt ze verplaatsen naar de cloud doordat ze van binnenuit beveiligd zijn.”

Niet slepen met informatie

De kern blijft natuurlijk, dat je informatie niet over verschillende media moet uitwisselen. Door informatie te verplaatsen via mail, USB-stick of zelfs als hard copy, neemt het beveiligingsrisico vaak met een factor toe en kan niet meer gemonitord worden wie de informatie gebruikt en wat hij ermee doet. Maatregelen om de beveiliging met een aantal procenten te verbeteren zijn dan zinloos. Het is dweilen met de kraan open.
Tegenwoordig zijn er echter tools, waarbij je informatie eenvoudig van binnenuit kunt beveiligen. Een tool als MS SharePoint maakt het mogelijk om als gegevenseigenaar je eigen vertrouwelijke data te beveiligen en rechten toe te kennen op individueel niveau, waardoor zelfs het onoplosbare probleem van de systeembeheerder, die toch alles mag en daarmee het ‘need-to-know’-principe ondermijnt, wordt verholpen.
Als je dit als gegevenseigenaar niet inregelt voor je vertrouwelijke informatie en het niet monitort, dan maak je impliciet de keuze, dat je data niet vertrouwelijk zijn. Bij incidenten is het dan volstrekt evident, waar de schuldvraag ligt (nu vaak een collectieve verantwoordelijkheid) en de gegevenseigenaar kan er persoonlijk voor aansprakelijk worden gesteld. Want alleen bepaalde door gegevenseigenaren geautoriseerde individuen zijn gerechtigd om de informatie in te zien, te versturen of te dupliceren. Data zelf zijn zo beveiligd, ook als ze gedeeld worden. Dat werkt beter dan de achterhaalde bedrijfsmuren met ophaalbruggen en de moeizame pogingen om bewustwording te kweken. Het verhogen van de pakkans was immers ook de beste oplossing voor het probleem van te hard rijdende automobilisten. Met informatiebeveiliging werkt dit niet anders.
Dit is ook de kern van het verschil tussen ISO 27001 en ISO 27002 (of NEN 7510). ISO 27001 vereist maatregelen die deels nog gebaseerd zijn op verouderde principes. ISO 27002 en NEN 7510 gaan over doelstellingen en laten dus ruimte voor een betere aanpak. (Zie ook ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging’.)

Delen van dit artikel zijn overgenomen uit:
Tanja de Vrede, ’Rapport Enisa moet mkb veilig de cloud in helpen’. In: Automatisering Gids. 27 november 2009.
Geert Kelfkens, ‘Cloud vraagt nieuwe technieken’. In: Automatisering Gids. 19 maart 2010.
Geert Kelfkens, ‘Voorkomen van dataverlies verdient meer aandacht’. In: Automatisering Gids. 28 augustus 2009.

Download: