Afgelopen 25 jaar is de benadering van IT-beveiliging niet fundamenteel veranderd. Traditioneel gericht op inhoudsanalyse, reputatie of gedrag. Informatiebeveiliging binnen organisaties bestond ongeveer 10 jaar geleden hoofdzakelijk uit het upgraden van de virusscanner en het configureren van de firewall. Het digitale leven was overzichtelijk, de kwaadwillende waren bekend en organisaties wisten uit welke hoek de aanvallen kwamen en volgens welke tactiek de strijd moest worden gevoerd. Dikke muren om de organisatie moesten het kwaad buiten de deur houden. Achter de muren voelde men zich veilig.
Dit was jaren geleden het beeld wat men bij informatiebeveiliging had. Nu, anno 2010, is onze digitale wereld om ons heen fors veranderd. Nieuwe technologieën, nieuwe trends en hypes, nieuwe manieren van werken en leven. Het is een ‘ongoing’ vernieuwingsproces wat zeker haar eindpunt nog niet bereikt heeft. De dikke muren waarachter men zich vroeger veilig waande zijn op een wonderbaarlijke wijze ingestort of vertonen grote gaten. De boze buitenwereld wordt steeds slimmer en gebruikt alle middelen die zij tot haar beschikking heeft.
Een nieuw ‘strijdperk’ is ontstaan. SCADA (Supervisory Control and data Acquisition) netwerken waren vroeger voor de nutsbedrijven in ons land veilige losstaande omgevingen waar alle meet- en regel activiteiten op afstand konden worden uitgevoerd. Tegenwoordig zijn deze netwerken, welke inmiddels via TCP/IP aan het wereldwijde wolkje zijn gekoppeld, steeds vaker slachtoffer van cyberaanvallen. Het ontregelen van energiecentrales heeft vaak desastreuze gevolgen voor veel bedrijven en consumenten. Side-channel attacks waarbij bijvoorbeeld encryptiesleutels worden gebroken door op zoek te gaan naar zwakke plekken in de hardware was vroeger ondenkbaar. Tegenwoordig wordt aan de hand van analyse van elektromagnetische lekken, het stroomverbruik of zelfs via geluid in systemen ingebroken.
Naast de bijna futuristische nieuwe aanvalswapens zijn er in de boze buitenwereld nog meer ‘nieuwe’ dreigingen aan het ontstaan. Wat te denken van de nieuwe generatie werkers welke met hun nieuwe manier van werken een nieuwe uitdaging voor elke security organisatie met zich mee brengen. Deze categorie nieuwe medewerkers worden Millennials (jongeren tussen 14 en 27 jaar) genoemd. Millennials zijn opgegroeid met iPhones (en straks iPad’s), MP3 en MP4 spelers, uitgebreide mobiles. Peer tot peer wordt van alles onderling uitgewisseld. Sociale netwerken, Skype, Twitteren en Instant Messaging worden volop gebruikt. Allemaal dwars door de eigen firewall heen. De nieuwe werknemer neemt als vanzelfsprekend deze technologieën mee binnen de muren van het bedrijf waar zij (gaan) werken. De ultieme uitdaging voor een goede endpoint security.
Volgens James Lyne (Sophos) gaat het allang niet meer om massaal gedistribueerde virussen die iedereen tegelijk treft maar om gerichte aanvallen op hun data. Bedrijfsnetwerken worden uitgehold. De The Sunday Times meldt dat in een uitgelekt rapport van MI5, de Britse geheime dienst, China beschuldigt van het installeren van speciale onzichtbare software middels USB sticks die als relatiegeschenk zijn weggegeven. Zodra de USB stick wordt aangesloten op een computer wordt deze software op de PC actief. Vervolgens hebben Chinese computer hackers makkelijk toegang tot deze computers. Volgens MI5 heeft de Chinese geheime dienst niet alleen Britse bedrijven in het vizier; Chinese hackers zouden ook defensienetwerken en andere overheidssystemen hebben aangevallen en bovendien verschillende maatschappelijke organisaties de afgelopen jaren hebben bespioneerd.
En wat doet de gemiddelde security manager met al deze ‘schokkende’ informatie? Worden de muren om de organisatie nog hoger opgetrokken? Wordt er koortsachtig gekeken of men beter voor de ISO27002 certificering moet gaan in plaats van de ouderwetse ISO27001? Is het bewustzijn omtrent informatiebeveiliging nog wel ‘insync’ met de huidige ontwikkelingen?
Het antwoord op deze vraag is niet makkelijk te geven. Misschien is het in zijn geheel wel onmogelijk om hier überhaupt afdoende antwoord op te geven. Wat zeker wel kan helpen om de schade te beperken is om open te staan voor de nieuwe bedreigingen en risico’s. Accepteren dat deze risico ‘echt’ zijn. Het hopen dat de muren van Jericho het wel houden is niet meer voldoende. Het roer moet om. Van onbewust risico lopen naar bewust risico nemen. Maatregelen implementeren en actief de informatiebeveiligingsorganisatie gestalte geven.
Weten wat er speelt in de wereld van informatiebeveiliging, nieuwe ontwikkelingen en technologieën volgen. Dynamisch bezig zijn met risico’s en maatregelen zo nodig bijstellen of aanscherpen. Een mooi voorbeeld van ‘nieuwerwets’ omgaan met het vraagstuk informatiebeveiliging zijn de ideeën van het Jericho forum. Het Jericho Forum is de international ‘thought-leader op het gebied van IT security binnen open netwerk omgevingen. De huidige veiligheidsmaatregelen zijn vooral gericht op “perimeter defense”: het plaatsen van een grote beschermingsmuur rondom de te beschermen systemen.
Het forum stelt dat eigenlijk de ‘buitenste omheining (de ‘perimeter’) weggehaald kan worden waarbij toch de bedrijfsinformatie afdoende wordt beschermd. De-perimeterisation is volgens de Jericho Style Security for Dummies een mix van integrale encryptie, protocollen en hardwareverbindingen die impliciet veilig zijn en – vooral – authenticatie op het niveau van individuele gegevenselementen. Laat iedereen maar overal proberen aan te komen, dat is eigenlijk hun motto. Als je tot in de BIOS van de PC ingebakken voorzieningen hebt om de identiteit van iemand vast te stellen, dan hoef je pas op het werkelijk allerlaatste moment te beslissen of zo iemand ook werkelijk toegang heeft tot de informatie die wordt gevraagd.
De buitenste muur zo hoog op trekken zodat niemand er meer in kan helpt alleen als iedereen binnen de muren ook ‘binnen’ blijft en nooit naar buiten gaat. Geen poorten die open kunnen en geen vreemd volk binnen. De ontwikkelingen buiten de muren gaan echter onverminderd door. Cloud Infrastructuurdiensten, Platform as a Service (PaaS), Storage as a service of Software as a Service (SaaS) zijn ontwikkelingen die door gaan zetten. Cloud Service Providers, Private en Public Clouds. Volgens onderzoekers zal deze wijze van dienstverlening binnen enkele jaren gemeengoed zijn.
Hoe zal de Information Security Manager hiermee om gaan? Grensoverstijgend werken, nieuwe kansen of (nog meer) nieuwe bedreigingen? Eén ding is zeker. Goede informatiebeveiliging stopt niet bij de poort, het gaat verder en gaat, liefst voorop, mee in de vaart der volkeren. Slimmer beveiligen, bewust van wat er om zich heen gebeurt en zeker niet afwachten tot er zich een wonder voordoet.
Kurt de Bruin
Security Consultant
PinkRoccade Healthcare
Maart 2010