Complexiteit van IT-beveiliging groeit

Het Nederlandse bedrijf Consul Risk Management heeft
nieuwe software ontwikkeld waarmee de informatiebeveiliging
vergemakkelijkt wordt. Maar beveiliging kan nooit een
kwestie zijn van een vaste verzameling gereedschappen en
regels, zo blijkt tijdens de introductie.

Bedrijfsleven en overheid moeten steeds meer publieksgerichte
IT-systemen hebben. Dat daarbij de informatiebeveiliging
nogal eens in het gedrang komt, is geen verrassing. Beleid
maken op dat gebied betekent voortdurend de afweging
maken tussen openheid en veiligheid. Gereedschappen en
regels kunnen daarbij helpen, maar te automatiseren is
het beleid niet, zo blijkt uit commentaren bij de
introductie van een gereedschap van het Nederlandse Consul
Risk Management.

Consul specialiseert zich in brede zin in IT-beveiliging.
"Veel van de investeringen gaan naar de bescherming tegen
hackers, maar het is veel belangrijker te kijken naar de
geld- en informatiestromen in je bedrijf, dan te kijken
naar wie er aan je firewall rammelt. Als een hacker binnen
is, zegt een firewall niks meer", zegt medeoprichter
Gilbert Houtekamer van Consul. Afgezien van deze observatie
is uit onderzoek herhaaldelijk gebleken dat het frauderen
met informatiesystemen vaak een ''inside job'' is.

Ook een rigide structuur van beperkingen van wat medewerkers
wel en niet mogen doen, werkt niet, vindt productmanager
Koos Lodewijkx. "Men heeft de neiging een hele lijst te
maken van alle dingen die mensen fout kunnen doen, om
die vervolgens uit te kunnen sluiten." Dat ondervangt
niet de creativiteit van de fraudeur. "Je krijgt dan ook
een heel complex systeem en dat zie je vaak al bij
intrusion detection-systemen." De juiste manier is volgens
hem te kijken naar wat er eigenlijk normaal is aan wat
mensen in het bedrijf doen en daar een beveiligingsbeleid
op afstemmen - en als het aan Consul ligt, wordt dat een
tot op zekere hoogte geautomatiseerd beveiligingsbeleid.

Signaleren

Het bedrijf, dat een jaar geleden nog 11 miljoen euro
aan durfkapitaal binnenhaalde, wil met zijn nieuwe
softwarepakket Consul/ eAudit 4.0 laten zien welke
activiteiten er op het IT-netwerk van een bedrijf of
organisatie plaatsvinden. Het pakket signaleert wat er
met het netwerk, besturingssystemen, bestanden en
applicaties gebeurt en consolideert vervolgens die
gegevens.

"Het is een beetje Big Brother-achtig", verontschuldigt
Lodewijkx van Consul zich. Hij toont het in een week
opgebouwde logbestand van het pakket, met daarin het
totaal van 22.000 ''events'', oftewel acties van
uiteenlopende aard op het bedrijfsnetwerk. Een lijst van
164 ''uitzonderingen'' trekt de aandacht. Een deel daarvan
blijk zijn oorsprong te hebben in het door een bepaalde
persoon buiten werktijd bekijken van bepaalde bestanden.
Dat soort acties kan als ongebruikelijk in het pakket
geconfigureerd worden. Met een klik laat Lodewijkx
vervolgens zien wat de betreffende persoon die hele week
zoal heeft gedaan. Net zo snel kan getoond worden wie er
verder toegang tot dezelfde bestanden hebben gezocht.

Beheerder

Een andere lijst met ''speciale afwijkingen'' toont onder
andere een systeembeheerder die financile gegevens heeft
bewerkt. Waarschijnlijk is daarbij sprake van gewoon
onderhoud. "Maar dat wil je wel minimaal even weten",
zegt Lodewijkx. De ''policy generator'' in het onderdeel
van de software helpt organisaties met het vastleggen
van hun beveiligingsbeleid, in de vorm van acties die
moeten worden ondernomen als zich bepaalde events of
combinaties van events op het netwerk voordoen. De software
kan desgewenst wekelijks rapporteren, maar ook voor later
onderzoek kunnen alle gegevens opvraagbaar gemaakt worden.

Volgens Lodewijkx is de positionering van dergelijke
software ''wel wat lastig''. IT-afdelingen kunnen zich
op de vingers gekeken voelen, terwijl ze wel moeten
meewerken aan de installatie en goede werking van de
software.

Volgens professor Chris Verhoef van de VU in Amsterdam
is er nog een ander punt van aandacht. "Met deze software
kun je de  prestaties van je medewerkers meten. Dat mag
in de VS, maar niet hier."

Lodewijkx daarover: "Bij de implementatie zit je met
vragen over de privacy. Je moet van tevoren aan je
medewerkers vertellen dat je dit doet.  Je moet ook
duidelijk maken wat je met de gegevens doet."

Doorslaan

Beveiliging is een kwestie van mensen, processen en
technologie, stelt Eric Nieuwland van KPMG Information
Risk Management. "De Amerikaanse aanpak is er vooral een
van technologie." Maar dat algemene regelgeving om het
gebruik van die technologie af te dwingen ook kan doorslaan,
blijkt uit een betoog van Paul Wielaard. Als programmamanager
Informatiebeveiliging van de overheidsconsultantsclub
Het Expertise Centrum signaleert hij een kloof tussen de
praktijk en de overdaad aan wetten die de beveiliging
van overheidsinformatie moet afdwingen. "De arme lijnmanager
krijgt de ene na de andere regel over zich heen. Maar
hij moet daartegen juist worden afgeschermd", vindt
Wielaard. Als verantwoordelijke bij het ministerie van
V&W kreeg hij zelf eens bezoek van iemand van de rekenkamer,
die de naleving van al die wetten en regels kwam controleren.
"Ik kwam op 370 manjaren die we moesten inhuren." (fbl)

Weekblad 2002, week 38

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Deze tekst is copyright SDU.  Niets van deze uitgave
mag zonder schriftelijke toestemming van de uitgever
worden overgenomen of worden gepubliceerd.