Gendo

Informatiebeveiliging

Round_vaultBij Gendo merken wij dat “Security” wordt vaak geassocieerd met geheimhouding. "Vertel niemand hoe het vergrendelingsmechanisme van de kluis werkt, dat maakt het moeilijker om in te breken". De slimme dief  die een bankoverval voorbereidt zal uiteraard eén van de ontwerpers van de kluis mee uitnemen voor een borrel om hem vervolgens na een paar drankjes uit te horen over het ontwerp.

Het idee om zaken geheim te houden om ze veilig te houden staat bekend als ‘security by obscurity’ en het werkt nooit. Dit komt omdat het erg moeilijk is zaken geheim te houden als veel mensen die het geheim kennen (bijvoorbeeld omdat ze de kluis ontworpen hebben, onderhouden, of er mee werken) gewoon rondlopen. Mensen praten graag over hun werk of ze koesteren een wrok tegen een voormalige werkgever of collega.  Het verkrijgen van geclassificeerde informatie is vaak slechts een kwestie van gewoon vragen. Dit fenomeen staat bekend als ‘social engineering’.

Helaas is het feit dat “keeping things secret to keep them secure” niet werkt zò contra-intuïtief dat het bijna onmogelijk is om uit te roeien.

Kerkhoffs Stalen kluizen werden communicatie apparatuur en computers. De oude ideeën bleven helaas bestaan, hoewel keer op keer bewezen werd dat ze onjuist waren. In 1883 publiceerde de Nederlander Auguste Kerckhoffs von Nieuwenhoff een reeks ideeën over veilige informatie-opslag en communicatie via de telegraaf (het high-tech apparaat van die dagen). Zijn basispremisse dat het enige geheim in een beveiligd systeem de sleutel moet zijn en dat alle andere onderdelen open moeten staan voor controle door zo veel mogelijk deskundigen is keer op keer bewezen en blijft overeind tot op vandaag. 

Geschiedenislessen
De Duitse marine had von Nieuwenhoffs werken blijkbaar niet gelezen aangezien het ontwerp van hun cryptografie apparaat Enigma was gebaseerd op de veronderstelling dat haar innerlijke werking geheim kon worden gehouden voor de geallieerden. Dit was wellicht mogelijk zolang er slechts twee of drie apparaten in gebruik waren, maar als je eenmaal begint om honderden van deze apparaten aan boord van onderzeeboten te installeren dan stijgt de kans dat een van hen wordt onderschept gestaag.

Het verhaal van de onderschepping van Enigma door de Britse inlichtingendienst en de slimme misleiding van de Duitsers door de geallieerden na het kraken van de Enigma-codes is eén van de  betere maar helaas minder bekende verhalen hoe Wereldoorlog II werd gewonnen. Na misleiding van de Duitse inlichtingendienst, die dachten dat de onderzeeër U-110 was gezonken met de Enigma aan boord (in werkelijkheid werd deze gevonden door de bemanning van de HMS Bulldog), Enigma was de Britse inlichtingendienst in staat om de Duitsers ervan te overtuigen dat hun systeem nog steeds geheim en dus veilig was. De Duitse Marine en Werhmacht bleven het systeem gebruiken, terwijl de geallieerden in staat waren hun communicatie te lezen. De onderschepping en decodering van berichten gebeurde in zeer korte tijd dankzij de vroege computers die werden gebouwd door de mensen in Bletchley Park. Het vermogen de Duitse communicatie te onderscheppen en te decoderen verkortte de oorlog naar schatting met twee jaar en was de sleutel tot het succes van D-Day. De Duitsers kostte het vertrouwen in security-by-obscurity de strijd om de Atlantische Oceaan en daarmee de oorlog aan het westelijk front.

Deze geschiedenisles is nog steeds actueel omdat bedrijven en overheden er niets van geleerd hebben en nog steeds dezelfde fouten maken als de Duitsers 65 jaar geleden. Daardoor blijven we zitten met onveilige systemen die noch onszelf, noch onze informatie of ons geld kunnen beschermen.

De vraag is; kunnen we systemen veilig, of op zijn minst veilig genoeg maken? Het antwoord is misschien. Het hangt af van de toepassingen, de aanvaardbare kosten en vooral de eindgebruikers van het systeem.

Open security; de enige manier
Beveiligingsexperts wereldwijd zijn het erover eens dat de enige manier om redelijk veilig systemen te creëeren is met een open ontwerp-en ontwikkelingsproces. Dit is precies het tegenovergestelde van de kluisfabrikant die probeert om de werking van het vergrendelingsmechanisme geheim te houden. In een open proces worden alle beschikbare gegevens over het ontwerp zo snel mogelijk gedeeld met zoveel mogelijk deskundigen. Hierdoor kunnen deze deskundigen zowel ontwerp als uitvoering bestuderen en de personen die het systeem bouwen op eventuele fouten en gebreken wijzen. Aangezien velen meestal meer weten dan een enkeling wordt het eindresultaat op deze wijze over het algemeen beter.

In software engineering staat deze methode inmiddels bekend als ‘Open Source’. Dit verwijst naar de publieke beschikbaarheid van de ‘broncode’ van een computerprogramma, het recept om de daadwerkelijke software te maken. Eric S. Raymond, eén van de founders van het Open Source initiatief stelde in zijn essay ‘The Cathedral and the Bazaar’: "given enough eyeballs, all bugs are shallow". Het idee is dat ieder software engineering probleem kan worden opgelost als er genoeg andere software-ontwikkelaars meewerken aan een issue.

Wat Eric Raymond deed was het herformuleren van een veel oudere methode voor het oplossen van moeilijke problemen genaamd de ‘wetenschappelijke methode’ of ‘peer review’. Dit is de formele wijze waarop wetenschappers elkaars werk in de gaten houden en elkaars ideëen uitdagen. Het is weliswaar geen perfect systeem, maar over het algemeen krijgt men met deze wetenschappelijke methode wel resultaten.

Beveiliging van informatie, is net als vele andere wetenschappelijke problemen, heel, heel moeilijk. Door veel mensen mee te laten werken aan het oplossen van het probleem krijgt men nog steeds  de beste systemen. Zoals von Nieuwenhoff 125 jaar geleden al stelde: het enige dat geheim moet blijven over een informatie-systeem is de sleutel die men gebruikt om toegang te krijgen, de rest moet openstaan voor peer review, zodat er sprake is van permanente controle.

De Open Source Security Testing Methodology Manual (OSSTMM) is een peer-reviewed reeks van testmethoden die gebruikt kunnen worden als een kader voor de beoordeling van de sterke en zwakke punten van informatie systemen, protocollen of zaken als fysieke gebouwen.

Praktische toepassing
Weten hoe theoretisch veilige systemen moeten worden samengevoegd is slechts een eerste stap in de richting van daadwerkelijke security. 

Cia_triad Teneinde informatiebeveiliging goed op te pakken is het eerst en vooral belangrijk om te begrijpen wat het is dat we proberen te beschermen. Een van de meest gebruikte modellen is dat van de CIA-triade. Dit klinkt onheilspellender dan het is. De letters staan voor CIA Confidentiality, Integrity en Availability (vertrouwelijkheid, integriteit en beschikbaarheid). Dit zijn de drie cruciale aspecten over gegevens die moeten worden afgewogen voor niet-openbare informatie om waarde te hebben voor een organisatie. Ten eerste, de informatie moet vertrouwelijk blijven. Dit kan zijn omdat het een strategisch bedrijfsgeheim is, privé-gegevens over een klant (bijvoorbeeld uw banksaldo) zijn of een militair geheim is, zoals troepen stationeringsinformatie. Maar deze vertrouwelijke informatie is alleen van waarde als de mensen die het gebruiken om beslissingen te nemen kunnen vertrouwen op de validiteit van de informatie. Dit is waar Integriteit om de hoek komt kijken. De informatie moet juist en volledig zijn. Beide zijn eenvoudig genoeg om te bereiken. Sla de informatie simpelweg op met de best beschikbare encryptie. Schakel vervolgens de computer uit, haal deze van het netwerk en begraaf deze ergens. Niemand zal de data kunnen kopiëren of wijzigen dus de vertrouwelijkheid en de integriteit zijn gewaarborgd. Het probleem ligt uiteraard in het woordje niemand. Als niemand de data kan krijgen dan kan er net zo goed geen data zijn. Het derde aspect, Beschikbaarheid (Availability), brengt alle vormen van hoofdpijn. Wil de informatie  waarde hebben dan moet deze wel beschikbaar zijn voor de mensen die het nodig hebben wanneer ze het nodig hebben. Deze drie aspecten zijn in permanent conflict met elkaar en een goede IT-veiligheid betekent het maken van de juiste afwegingen, afhankelijk van de aard van de informatie en de manier waarop ze wordt gebruikt.

Deze klassieke en enigszins statische visie is verder uitgebreid in het werk van veiligheids-goeroe Bruce Schneier. Hij stelt dat het veiligstellen van informatie gaat over (i) zo goed als redelijkerwijs mogelijk is beschermen, (ii) het opsporen van inbreuken op die bescherming en (iii) zorgdragen voor een tijdige en adequate reactie op de ontdekking van een dergelijke inbreuk. Dit additionele standpunt laat ruimte voor een veel flexibeler aanpak van de beveiliging van gegevens  ‘goed genoeg’ tegen bepaalde kosten, waarbij berekend risico’s worden gelopen die aanvaardbaar worden geacht in termen van een “cost/benefit trade-off”.

Een derde model is eigenlijk een handige checklist dat op vrijwel ieder beveiligingsprobleem kan worden toegepast.

  • Pro-tection; maatregelen om de informatie ontoegankelijk en/of onveranderbaar te maken
  • De-tection; waarneming van het doorbreken van de beschermende maatregelen
  • Re-action; actieve tegenmaatregelen bij waarneming om erger en/of herhaling te voorkomen

Protection, Detection, Reaction

Een combinatie van denken ondersteund door deze modellen geeft een goed kader voor de implementatie van technologie met bescherming van gegevens zoals vereist terwijl het toegankelijk blijft voor degenen die het nodig hebben.

Bewustwording en opleiding
Zelfs de beste technologie maakt iets niet veiliger wanneer de mensen die de technologie gebruiken niet weten hoe het juist gebruikt wordt, of niet gemotiveerd zijn om de noodzakelijke procedures te volgen. Bewustzijn bij de gebruikers van een systeem over het belang van veiligheid is het fundament onder een veilige omgeving. Zonder dat zijn alle andere inspanningen nutteloos. De duurste netwerkbeveiligingsapparatuur op de markt kan worden omzeild als wachtwoorden worden gedeeld (luid!) met volledige afdelingen, met inbegrip van personen die niet in dienst zijn van de organisatie in kwestie. Als mensen niet weten of zich niets aantrekken van het belang van procedures kan geen enkele technologie je redden.

Naast gemotiveerd te worden het juiste te doen moeten mensen weten wat het juiste precies behelst. Vaak wordt beknibbeld op de opleiding van de eindgebruiker omdat het budget reeds grotendeels besteed is aan een ‘state-of-the-art’ technische oplossing. Naar de mening van Gendo dient ten minste de helft van de veiligheids-begroting te worden besteed aan het scheppen van bewustwording en training van de eindgebruikers van een systeem. Het is de combinatie van goede technologie en mensen die empowered, kundig en gemotiveerd zijn die leidt tot beveiligde omgevingen. De afbeelding aan de linkerkant toont de resultaten van de privacy en de veiligheid indien de CIA-triade ondersteund wordt door goed gedrag en goed uitgevoerde en gehandhaafde technologie (dus zelfs de technologiezijde gaat ten minste gedeeltelijk over mensen, aangezien voor het goed werken van de tech-zijde ook geschoolde en gemotiveerde mensen nodig zijn).

Audits; wat doen we ermee
Met al deze technologie, procedures en kennis moeten er regelmatige controles plaatsvinden of zij op de juiste wijze worden gebruikt. Met andere woorden audits. Sommige van deze kunnen worden geautomatiseerd (zoals hebben gebruikers voldoende sterke wachtwoorden en veranderen ze vaak genoeg), andere aspecten zullen moeten worden gecontroleerd door in- of extern ingehuurd menselijke auditors. Een goede manier om de zwakke punten van de totale combinatie van technologie, procedures en mensen bloot te leggen is vaak door buitenstaanders de verdediging te laten testen door hen te laten proberen deze verslaan. Dit wordt ‘penetration-testing’ genoemd en Gendo staat u hier graag in bij. Dit soort controles zijn bedoeld om te leren en organisaties moeten dit dus alleen doen indien zij bereid en in staat zijn om de tijd te nemen ervan te leren. Anders zijn ze zonde van de tijd (of een dure vorm van entertainment).

Dit alles betekent niet dat er geen gevolgen moeten zijn voor falen bij controles. Als de gevolgen van het overtreden van de regels ernstig zijn moeten er ook ernstige gevolgen zijn. Dit moet duidelijk worden meegedeeld aan alle betrokkenen en wordt een deel van de arbeidsvoorwaarden en andere relevante juridische documenten. Het is niet goed om medewerkers achteraf te vertellen dat ze aan een bepaald onderwerp meer aandacht hadden moeten besteden. Vertel het ze van tevoren.

Voorbeeldfunctie
Als Gendo met haar klanten over security praat is onze lakmoesproef vaak: gelden de regels voor iedereen? Of alleen voor de medewerkers die tot twee keer het minimumloon verdienen? Op veel plaatsen worden fundamentele protocollen geschonden door goed betaalde (en schaarse) professionals zonder corrigerende maatregelen door het senior management. Zelfs wanneer de mogelijke gevolgen van dit probleem bekend zijn. De logica is dat het is gewoon onmogelijk is om deze eigenwijze professionals op dit vlak te sturen en deze mensen van cruciaal belang zijn voor de primaire processen van de organisatie. Kortom, zij komen ermee weg. Dit demotiveert anderen en al snel begint iedereen met het omzeilen van de regels en voordat je het weet begint eén en ander uit elkaar te vallen en hadden er net zo goed geen regels kunnen zijn.

Kortom, security-richtlijnen moeten top-down worden geïmplenteerd en de werknemers aan de top moeten het goede voorbeeld geven. Leading-by-example is over het algemeen een goede management stijl als het nodig is mensen gemotiveerd te houden om kleine ongemakken voor een abstract doel voor lief te nemen.