ZBC Kennisbank

Informatiebeveiliging is helemaal niet zo moeilijk

 

Vrijwel iedere Nederlander weet hoe je een kerncentrale moet beveiligen. Om te beginnen plaats je deze zoveel mogelijk in een dunbevolkte uithoek van je land. Verder zorg je ervoor dat de splijtstoffen die worden gebruikt voor de opwekking van kernenergie gescheiden in hun beveiligde omgeving blijven.

Informatiebeveiliging werkt in feite op dezelfde manier. Als het echter om informatie gaat, heet beveiligen ineens ingewikkeld en vooral kostbaar te zijn. Iedereen die dat niet direct beaamt, is zich onvoldoende bewust van de dreigingen en wordt veroordeeld tot het volgen van een awareness training. En sowieso wordt zo iemand niet meer serieus genomen.
Toch durf ik te beweren, dat informatiebeveiliging niet ingewikkeld is, wanneer je kiest voor de goede maatregelen.

Welke maatregelen werken niet goed?

Het probleem is dat veel informatiebeveiligers nog steeds uitgaan van het soort fysieke, technische en organisatorische maatregelen, dat wil zeggen van de traditionele maatregelen.
Fysieke maatregelen zijn tegenwoordig echter achterhaald. Onder het mom van kennisdeling en flexibel werken brengen we immers data op allerlei plaatsen en bedrijfsmuren houden daarbij niets tegen. En de techniek ontwikkelt zich in een zo hoog tempo, dat wat vandaag veilig is, misschien morgen al weer is gekraakt of hooguit een houdbaarheid heeft van enkele jaren. Ook organisatorische maatregelen (procedures) houden, net zo min als een bordje verboden toegang, iets tegen. De sancties bij overtredingen zijn behoorlijk opgeschroefd, maar de schrikreacties van organisaties zijn alleen maar gericht op het verminderen van aansprakelijkheid, om zo boetes te voorkomen. (Zie ook ‘Datalek is vaak juist geen menselijke fout.’) Dat het misschien handiger is die boetes te voorkomen door een goede informatiebeveiliging, komt bij veel organisaties niet op.
Waar het op neer komt, is dat de beproefde traditionele maatregelen niet goed meer werken. Het verbeteren van die maatregelen door meer toezicht en sancties is dweilen met de kraan open. Het wordt er niet veiliger door en het geeft wel een hoop overlast in de vorm van minder flexibiliteit en efficiency. Zeker als dienstverlener creëer je door zo te blijven beveiligen een dreiging voor je bedrijf, die groter is dan die als data op straat komen te liggen. Want welke klant wil nog zaken doen met een dienstverlener die niet flexibel en efficiënt is?
En waarom maken we ons veel drukker over de risico’s van cybercrime dan over de risico’s van een ontploffende kerncentrale? De impact is in dat laatste geval groter, dus is blijkbaar de kans veel kleiner. En dat ligt uiteraard aan de beveiliging. Laten we daarom de logische principes die gelden voor de beveiliging van een kerncentrale eens vertalen naar informatiebeveiliging. Het zijn er drie en we bespreken ze in de volgende hoofdstukken.

Data die je niet hebt, hoef je ook niet te beveiligen

Niet voor niets is de kerncentrale in Dodewaard al jaren geleden gesloten. Deze lag in het hart van Nederland. Daar wil je gevaarlijke spullen niet hebben.
Iets dergelijks zou je met data kunnen doen. Data zou je weg kunnen gooien, nadat je ze gebruikt hebt. Dat is wel het meest rigoureus. Maar je weet natuurlijk nooit waar die data nog goed voor zijn en ach, die digitale rommelzolder is groot genoeg. En natuurlijk hebben data ook waarde en voor veel data geldt nog een bewaarplicht. Weggooien is dus meestal niet een optie. Je kunt dat ‘weg gooien’ echter ook wat subtieler doen en wel op twee manieren:

  • Je archiveert de data. Dat betekent dat ze worden opgeslagen in een archief en dat ze niet meer gemuteerd of verplaatst kunnen worden en niet meer toegankelijk zijn voor operationele processen en dus ook niet voor kwaadwillenden. Alleen de archivaris heeft nog toegang tot deze data en alleen hij\zij heeft de mogelijkheid de data terug te zetten in het operationele proces.
  • Je anonimiseert of pseudonimiseert de data. Wanneer er persoonsgegevens in het spel zijn, worden de dossiers losgekoppeld van de personen. Daarmee verliezen de dossiers hun vertrouwelijkheid en kunnen er statistische onderzoeken (big data) op worden gedaan. De waarde van de data gaat zo niet verloren.

Als je met vertrouwelijke data op deze manier omgaat, dan ben je al een heleboel ellende kwijt. We kunnen het echter gemakkelijk nog veel veiliger maken door gebruik te maken van een tweede logisch principe.

Scheiden van data

Het principe van scheiding is eigenlijk een zeer oud principe. Denk maar aan functiescheiding en dat je dure spullen goed opbergt als je er geen toezicht op kunt houden. Voor data betekent dit, dat je vertrouwelijke data scheidt van minder vertrouwelijke data en andere data. Vertrouwelijke data sla je vervolgens op in een extra beveiligde omgeving, waar gemakkelijk toezicht gehouden kan worden op ongeoorloofde acties van kwaadwillenden. Voor minder vertrouwelijke data is dat minder belangrijk. Natuurlijk gooien we ook die data niet op straat, maar de beveiliging hoeft niet meer te zijn dan zoals we ook ons huis beveiligen. We hangen geen bewakingscamera’s op, maar zorgen dat deuren en ramen gesloten zijn. Ook op database niveau hanteren we dit principe. Als het bijvoorbeeld gaat om persoonsgegevens, dan zorgen we ervoor dat de identificerende gegevens van een persoon gescheiden zijn van de andere gegevens over die persoon (personeelsdossier, medisch dossier enzovoort).
Scheiding is een principe dat we moeiteloos hanteren als we het nut ervan inzien en het niet te veel overlast bezorgt. Daar wringt echter de schoen. Twee voorbeelden:

  • Medewerkers krijgen toegang tot data, die ze voor hun werk nodig hebben. Daarbij is niet te zien of die data in een extra beveiligde of een zwak beveiligde omgeving staan. Met als gevolg dat data die uit een extra beveiligde omgeving afkomstig zijn, na verwerking (bijvoorbeeld een combinatie maken in Excel) opgeslagen worden in een zwak beveiligde omgeving of zelfs per e-mail worden verzonden. Als medewerkers zouden weten, dat het om vertrouwelijke data gaat, dan zouden ze die waarschijnlijk zonder probleem terug willen zetten op de plaats, waar ze ze vandaan gehaald hebben. Helaas zijn veel applicaties daar niet op berekend.
  • Het burgerservicenummer (BSN) wordt door de Autoriteit Persoonsgegevens beschouwd als een bijzonder persoonsgegeven en is dus strikt vertrouwelijk. Natuurlijk is dat BSN ook reuze handig om iedere Nederlander uniek te identificeren. We zien het daarom overal opduiken op schermen en in overzichten. Het staat vermeld op je paspoort, op je rijbewijs, maar ook in allerlei administraties van overheden, zorginstellingen en onderwijsinstellingen, terwijl een eigen patiëntennummer, studentnummer of medewerkersnummers ook prima zou werken, waarbij dan ergens goed beveiligd de vertaling wordt bewaard van het eigen nummer naar het BSN. Wanneer het BSN het eigen nummer automatisch zou vervangen in de communicatie met derden (bijvoorbeeld in declaraties), dan voorkomen we dat BSN’s in feite continu op straat liggen.

Kortom, we maken gebruikers onvoldoende bewust van welke data echt vertrouwelijk zijn en dus in de extra beveiligde omgeving thuishoren en ook stellen we niet de goede eisen aan onze software leveranciers. Daarom is ook het derde logische principe heel belangrijk.

Niet slepen met vertrouwelijke informatie

Zonder dat we ons ervan bewust zijn, slepen we continu met data. We printen informatie uit, we versturen het per mail, we downloaden informatie naar onze laptop, we zetten data op een USB-stick. Elke keer dat we dat doen, creëren we een kopie van de originele data. En als dit om vertrouwelijke informatie gaat, dan moeten we dus al die kopieën beveiligen. Vooral de e-mail is een ramp. Want stel, je verstuurt een vertrouwelijk document per mail, dan komt een kopie document terecht in je box van verzonden items, op de mailserver die het mailtje verstuurt, op de mailservers van de provider en de ontvanger en tenslotte op de PC, de tablet, de telefoon en op de thuiswerkplek van de ontvanger. Als de ontvanger het mailtje print, dan is er ook nog een hardcopy en zit het document in het geheugen van de printer. Niet leuk, als je al die kopieën moet beveiligen. Kostbaar en inefficiënt ook. Natuurlijk kun je de mail encrypten. Maar de ontvanger kan deze uiteraard weer decrypten en dan ben je de controle kwijt over de vertrouwelijke informatie en kun je niet meer garanderen dat deze informatie niet op straat komt te liggen.
Daarom zouden we voor het uitwisselen van vertrouwelijke informatie de mail niet meer moeten gebruiken. Veel beter is het om de ander gecontroleerd toegang te geven tot deze informatie. Stuur hem een link in een mailtje, die werkt zodra de ander ingelogd is in de omgeving waar het document staat. Niet alleen voorkom je dan, dat kopieën ontstaan, je houdt ook de controle over het document, omdat je specifiek rechten kunt toewijzen en omdat je eenvoudig kunt monitoren, wie wat gedaan heeft met dat document. Vrijwel ieder document  management systeem (DMS) is hiervoor geschikt. Al die kopieën zijn dan niet meer nodig. Voorts heb je tegelijk two factor authentication geregeld. Immers, de ander moet het mailtje met de link hebben en het password weten.
Veel gebruikers zijn zich echter onvoldoende bewust van al die kopieën die worden gecreëerd en het beveiligingsprobleem dat dit met zich mee brengt. Ook komt het voor dat een organisatie niet over een DMS beschikt. Dat laatste is natuurlijk geen argument. Er zijn cloudoplossingen beschikbaar voor minder dan een euro per gebruiker per maand.
We noemen ook hier weer een voorbeeld, waarin vertrouwelijk informatie onnodig wordt verplaatst.

Een GHOR (Geneeskundige Hulpverleningsorganisatie in de Regio), waarvan er in Nederland 25 zijn, is onderdeel van een veiligheidsregio en moet ervoor zorgen dat alle zorg- en hulpverleners bij rampen goed samenwerken. Daar is men uiteraard druk mee in ‘vredestijd’. Dan moet deze afstemming plaatsvinden. Daarmee is geen vertrouwelijke informatie gemoeid. Tijdens een ramp heeft een GHOR slechts één taak: het bijhouden van slachtofferinformatie (hoeveel slachtoffers zijn er, in welk ziekenhuis zijn ze opgenomen). Ook dit betreft geen vertrouwelijke informatie. Echter krijgt het GHOR voor het bijhouden van slachtofferinformatie informatie van ziekenhuizen in de vorm van een spreadsheet, waarin naast identificerende gegevens ook het BSN staat. Die input is dus wel vertrouwelijk. Daarom eisen de ziekenhuizen van een GHOR dat ze NEN 7510 gecertificeerd zijn. Kosten van zo’n certificeringstraject zijn ongeveer 10K aan interne kosten en ook 10K out-of-pocket. Kortom, voor alle GHOR’s samen kost dit een half miljoen euro. Zou het niet handiger zijn, dat de GHOR’s gecontroleerd toegang krijgen tot de informatie? De hiervoor benodigde systemen zijn aanwezig en kunnen dus onmiddellijk gebruikt worden. Nu alleen de afspraken nog. Ik vrees echter dat tegen de tijd dat die zijn gemaakt, het half miljoen al uitgegeven is. 

Awareness richten op deze drie logische principes

Het grote voordeel van de drie genoemde logische principes is, dat ze duurzaam zijn en weinig overlast geven. In elk geval minder dan als je gaat beveiligen zonder deze drie principes toe te passen. Voorwaarde is, dat gebruikers snappen dat je op deze wijze een hoog beveiligingsniveau haalt zonder de ellende van honderden maatregelen, vaak in de vorm van beperkende procedures.
Vaak richten awareness activiteiten zich op maatregelen, waaraan gebruikers zich moeten houden en op wat de sanctie is als ze zich er niet aan houden. Doorgaans zijn die maatregelen heel onhandig. Denk alleen maar aan een password, waaraan steeds hogere eisen worden gesteld en dat je iedere maand moet wijzigen. Dat is voor veel gebruikers onwerkbaar, zodat ze het wachtwoord opschrijven.
Als we hierop de drie principes toepassen, dan kan dit veel gebruikersvriendelijker en dus ook veiliger. Door archivering en depersonificatie, hebben we al heel veel vertrouwelijke informatie uit het operationele proces gehaald. Door deze vertrouwelijke informatie te scheiden van andere informatie, zorg je ervoor dat veel mensen binnen de organisatie sowieso niet meer in de extra beveiligde omgeving hoeven te komen. En als ze het dan wel moeten, kan ook two factor authentication toegepast worden, zodat de sterkte van het wachtwoord er veel minder toe doet.

Er zijn duizenden toepassingen te vinden van deze logische principes. Leg daarom als organisatie deze principes uit aan je medewerkers en daag iedereen uit om hiervan toepassingen in het dagelijks werk te verzinnen. En besteed hier tijdens functioneringsgesprekken aandacht aan. Laat iedere medewerker steeds twee (nieuwe) toepassingen noemen, die hij nu ook in de praktijk brengt. En waardeer goede vondsten, communiceer dit en pas deze bedrijfsbreed toe. Dan kan met recht gezegd worden dat informatiebeveiliging leeft binnen de organisatie en wordt voorkomen, dat het alleen het speeltje van specialisten is, die niets snappen van de dagelijkse praktijk. Dan is het ook bij het halen van een ISO 27001 of NEN 7510 certificaat niet meer zo moeilijk om aantoonbaar te maken, dat je in control bent voor je informatiebeveiliging. (Zie ook ‘Binnen drie maanden een ISO 27001 certificaat halen’.)

ZBC gebruikt deze drie logische principes in zijn cursussen over privacy en informatiebeveiliging en past ze toe tijdens coachingstrajecten op dit gebied.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 7 december 2016


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *