Muur rond netwerk vertoont gaten

De traditionele ‘netwerkperimeter' is verdwenen. De eigen gebruikers, ingehuurde consultants, en ketenpartners moeten allemaal van buitenaf bij gegevens en systemen kunnen. Tegelijkertijd reikt de it-infrastructuur over oude grenzen door de komst van wifi-accesspoints, ‘memory sticks', laptops en smartphones. Dit stelt beveiligers voor nieuwe problemen.

Door Onno Breedveld

"Vroeger waren bedrijven met elkaar verbonden via allemaal afzonderlijke lijnen," vertelt Jacques Cazemier, architect informatiebeveiliging en business continuity management bij VKA. "Als er een nieuwe partner bij kwam, dan werden er nieuwe verbindingen gemaakt. Omdat al die huurlijnen privé waren, waren ze automatisch veilig. Je moest alleen oppassen dat men niet via-via binnenkwam."
"Tegenwoordig zijn die verbindingen georganiseerd als een straat met huizen: als je het ip-adres van een systeem weet - vergelijkbaar met een postcode en een huisnummer - dan kun je er naartoe." Cazemier trekt deze vergelijking nog verder door. "Voorheen had je een voordeur met een bel. Als je goedgekeurd was, dan mocht je naar binnen. Maar informatiesystemen hebben allang niet meer één voordeur. Denk aan usb, wifi, een compleet Unix-systeem op een memory stick, smartphones en pda's. De infrastructuur is zo complex geworden dat zelfs ‘intrusion detection'-systemen (ids) niet meer werken."

Micromanagement
Volgens Cazemier zijn er twee verschillende manieren om met deze veranderingen om te gaan. "De eerste is een herhaling van zetten: je maakt verschillende deelnetwerken, die je elk weer met hun eigen firewall isoleert. De andere mogelijkheid is rbac (role based access control), gebaseerd op ‘identity management' (im) en ‘access control lists' (acl). Daarbij worden privileges losgekoppeld van de afzonderlijke mensen en hard verbonden met functies. Hoewel deze technologie nog steeds wordt verkocht met efficiëntie als belangrijkste argument - je hebt op die manier alles in één keer geregeld - is het vooral een hulpmiddel om zaken beter beheersbaar te maken."
Cazemier ziet deze maatregelen echter als oude oplossingen voor nieuwe problemen. "Er zijn geen nieuwe beveiligingsmogelijkheden bijgekomen. Beide zijn micro-management. Dat kun je niet voor je hele organisatie opzetten; dat is niet vol te houden. Uiteindelijk is het onvermijdelijk dat we meer werk in beveiliging zullen moeten steken. We zoeken immers naar een oplossing voor een steeds complexer probleem. Hij noemt software tegen virussen, adware en spyware als voorbeeld. "Die zit niet alleen op de servers maar ook op elke afzonderlijke desktop."

‘Thin clients'
Volgens Cazemier zit een belangrijk deel van de ellende in de pc. "De back-office applicaties zijn niet het grootste probleem. Ik denk dat je die redelijk kunt afschermen. Het zijn de desktops die ons door de keel worden geduwd, met steeds meer lokale functionaliteit en opslag. De laptop maakt dat nog erger: die kunnen overal ingeplugd worden. en je kunt ze kwijtraken." Hij ziet de trend naar desktop-virtualisatie en thin clients dan ook als een belangrijke ontwikkeling op dit gebied. "Daar zou ik wel een lans voor willen breken. Gooi voor zakelijke toepassingen die pc overboord en vervang die door een thin client."
De manier waarop bedrijven daar op dit moment mee omgaan, heeft echter niets met beveiliging maar alles met besparingen te maken. "KLM heeft zijn beveiliging teruggetrokken naar de eigen organisatie," vertelt Wilbert Pijnenburg, de Nederlandse directeur van InfoSecure. "Zij laten hun mensen zelf hun pc's kopen en doen daar niets meer aan. Dat bespaart hun veel geld. Consumentenspul is tegenwoordig sneller en goedkoper dan de zakelijke systemen. Maar wat doe je als een manager naar de helpdesk belt om te zeggen dat zijn Aldi-laptop het niet doet? Je kunt hem niet twee dagen zonder een computer laten zitten." Desondanks is de trend wel naar een uniforme toegang vanaf elk apparaat dat html ondersteund. "Als je kijkt wat asp's aanbieden, dan is dat allemaal html. Saas-leveranciers zetten een applicatie neer in het datacenter en bieden dat over het internet aan."

Perimeters
Maar een bedrijf kan volgens Pijnenburg niet anders dan zijn medewerkers voorzien van een op-en-top beveiligde pc. "Mensen blijven gewoon hun dikke clients gebruiken. De back-officeapplicaties in het datacenter ontsluit je via het web. Maar dat betekent meestel wel dat je via die ingang minder functionaliteit tot je beschikking hebt." Pijnenburg refereert daarbij naar de termen macro- en microperimeter zoals die door het Jericho Forum gebezigd worden. "De macroperimeter is het ultieme doel. Daarbij verdwijnen alle externe grenzen en wordt de interne gebruikerszone gelijkgesteld aan het internet. De focus ligt dan op de protocollen." Die ontwikkeling zie je terug in de firewalls die steeds meer op applicatieniveau beveiligen. "We zijn van IP naar html gemigreerd."
"De microperimeter is een tussenfase waarbij de beveiliging wordt teruggetrokken naar de datacenters en de eindgebruikers. Grenzen blijven dus bestaan maar worden verlegd naar de plaats waar de informatie of de ‘assets' zich bevinden. Dit komt meer overeen met het huidige concept: het richt zich nog steeds op de infrastructuur en minder op het gebruik van veilige protocollen." Daarmee is deze perimeter een moderne variant van de traditionele beveiliging gebaseerd op firewalls, ‘screening routers' en ‘demilitarized zones'.
"De microperimeter brengt de beveiliging terug naar de kern van de infrastructuur," aldus Pijnenburg. "Nu de buitenste ring steeds poreuzer wordt, gaat men zijn datacenter beveiligen in plaats van de hele organisatie. Daarvoor zul je juist meer moeten doen op de laptop."
Daarbij blijven er toepassingen die op geen enkele manier door de firewall gecontroleerd kunnen worden. "Bedrijven controleren bijvoorbeeld de mail van hun medewerkers. Maar als ze via een versleutelde verbinding hun Hotmail-account benaderen, dan kan de firewall daar niets mee. Hetzelfde geldt voor chat."

Zwakste schakel
De grootste zorgen hebben Cazemier en Pijnenburg echter niet over de technologie maar over de gebruikers. "Je kunt de duurste techniek inzetten," zegt Pijnenburg, "maar een medewerker die een te zwak wachtwoord kiest, doet daarmee alles teniet. Hij is de zwakste schakel."
Maar dit zijn klassieke problemen. Er is meer aan de hand: de maatschappij en de werknemer zijn veranderd. "Steeds meer werk wordt mobiel uitgevoerd, waardoor informatie ook de hele wereld over reist. Technologie als smartphones, Blackberries, webmail, Skype en MSN stimuleren dit. Men wil en moet ‘altijd en overal' kunnen werken. En omdat er van medewerkers verwacht wordt dat ze zich flexibeler opstellen ten aanzien van werkplek en -tijden, integreert de privé-omgeving steeds meer met de zakelijke omgeving. Het verdwijnen van dat onderscheid levert weer nieuwe risico's op."
"Zo zetten de mensen die door Defensie naar Afghanistan zijn uitgezonden hun verhalen en foto's op Hyves, ook zaken waarvan hun werkgever dat liever niet zou willen. Zijn die daar eenmaal gepubliceerd, dan krijg je ze nooit meer van het net af."
"Andersom gebruikt de Belastingdienst de informatie op LinkedIn en Hyves bij het controleren van de aangifte. Op die sociale sites wil iedereen laten zien wie hij is. Daar staan alle bijbanen en commissariaten dus gewoon op."
Pijnenburg geeft nog het voorbeeld van een accountmanager die de foto's online heeft gezet van een leuke avond die hij stomdronken heeft afgesloten. Een klant waar hij een presentatie heeft gegeven googelt de account manager, ziet de foto's en belt vervolgens op om te zeggen dat de deal niet door gaat. Op die manier heeft privé-gedrag van werknemers direct invloed op de resultaten van de onderneming.

Beleid
Simpelweg verbieden is echter ook om andere redenen dan intreden op de privé-sfeer geen optie. "Volvo vroeg ons om hen te helpen hun beleid meer open te maken," vertelt Pijnenburg. "Zij wilden jongere mensen binnenhalen, maar die wilden niet bij hen werken vanwege het strenge beleid. Volvo stond chat en Hyves en andere manieren om de hele dag met elkaar in contact te staan niet toe. Maar vanwege de krapte op de arbeidsmarkt moesten zij veel vrijer omgaan met nieuwe technologieën. Dat betekent dat er nu beleid worden gemaakt voor het werken met sociale netwerken."
Volgens Pijnenburg zijn de meeste bedrijven in dit opzicht nog heel behoudend. "Zij willen hun werknemers zo veel mogelijk controleren. Maar de wereld gaat de andere kant op. De hoge benzineprijzen hebben bijvoorbeeld tot gevolg dat er meer thuis gewerkt wordt. Maar veel bedrijven hebben al die faciliteiten helemaal niet. Werknemers kunnen van buiten alleen bij hun e-mail."
Nog een voorbeeld: "Vroeger stopte je een paar A4-tjes in een envelope. Nu brand je een complete database op een CD en die doe je op de post. Die gegevens moeten versleuteld worden. Daar moet je beleid voor maken." Hetzelfde geldt voor laptops en memory sticks. Die investering moet je volgens Cazemier gewoon doen. "Een usb-stick met vingerafdruk of pincode kost vijftig tot tachtig euro. Dat is tien maal zo veel als een gewone stick. Maar weet je wat pas duur is: als je klantenbestand gestolen wordt."
Beter nog dan versleutelen is te zorgen dat die database helemaal niet meer op je laptop of stick hoeft te staan. "Die heeft daar niets te zoeken. Daar moet je rekening mee houden bij het opzetten van je architectuur."

Veiligheidsbewustzijn
Pijnenburg ziet de misdaad verschuiven. "Die richt zich steeds meer op het personeel. Voorbeeld daarvan is die Amsterdamse Postbank-medewerker die met zijn vrouw werd gegijzeld." Met het wegzakken van de perimeter wordt de techniek minder belangrijk meent Cazemier. "'Social engineering' wordt het grootste veiligheidsprobleem van de toekomst. Ik heb meegemaakt dat bij een gemeente een kopie van een deel van de Gemeentelijke Basis Administratie (GBA) werd afgegeven aan de leverancier om een product te testen. Simpelweg omdat er om gevraagd werd. Ik durf de weddenschap niet aan om een borrel te geven voor alle medewerkers die dat zonder blikken of blozen doen. Deze problemen los je ook nooit op. Je blijft altijd kwetsbaar voor ‘social engineering'. Het is vrijwel onmogelijk een goed verhaal en goede argumenten met techniek tegen te houden. Daarnaast zijn er altijd operationele redenen om het hek iets opzij te duwen. Je kunt wel zeggen dat er nooit getest mag worden met echte persoonsgegevens, maar als je te veel eisen stelt aan de organisatie levert dat operationele problemen op. Je moet mensen laten nadenken. Maar daarvoor moet je ze opvoeden."
Bewustwording blijkt het antwoord op deze problematiek. "Ik stap altijd eerst naar de financieel directeur of de boekhouder," vertelt Cazemier. "want hij is de eerste die weet wat de waarde van de bedrijfsgegevens is. Hij is mijn breekijzer in het managementteam. We praten een uurtje en dan gaan we samen naar de algemeen directeur."
"Mijn advies: Zorg dat je de technische maatregelen op orde hebt. Afhankelijk van de omstandigheden kan dat identiteitsmanagement zijn, of firewalls en segmentering. En doe dan wat aan de opvoeding van de gebruikers. Kweek veiligheidsbewustzijn."

Privé- én zakelijke it
Sociale netwerken, Google-applicaties en iPhones vormen een risico voor de onderneming. Werknemers willen de online diensten en apparatuur die ze privé hebben ook op het werk kunnen gebruiken. Gartner spreekt in dit verband dan ook van de ‘consumentering van de IT' of het ‘generatie X-/generatie Y-probleem'.
Volgens vice president en research fellow John Pescatore brengt deze ontwikkeling een heel stel nieuwe bedreigingen met zich mee. Kwaadwillenden richten zich op saas-leveranciers, de werknemers en desktop utilities. Iemand die Unilever wil kraken, kan zich ook richten op een van hun online toeleveranciers. Nu alle applicaties zich naar internet bewegen, verwacht Gartner bovendien een toename in ‘reverse engineering tools' voor deze toepassingen.
Sociale netwerken kunnen misbruikt worden, doordat men zich voordoet als een vriend. Zodra jonge werknemers deze tools ook in hun werk gaan gebruiken, zullen ze door hackers gebruikt worden om gegevens of toegangscodes te stelen, of om malware te executeren. Pescatore trekt daarbij de vergelijking met e-mail. Een afzenderadres was vertrouwd, dus werd het misbruikt voor virussen en wormen. Inmiddels vertrouwen gebruikers ook hun vriendenlijst.