Hoe kwetsbaar is uw informatievoorziening?

PDF Versie


Hoe kwetsbaar is uw informatievoorziening?

De beveiliging van automatisering mag zich niet in een
warme belangstelling verheugen. Na het plaatsen van een
firewall, het installeren van intrusion detection software
om hackers op te sporen en het laden van antivirus software
keert men terug tot de orde van de dag. Aan welke risico's
een organisatie is blootgesteld, blijft meestal buiten
beeld. Dat veiligheid zo'n abstract onderwerp is, komt
vooral door een gebrek aan concrete informatie. Bedrijven
waken er immers voor om opening van zaken te geven over
wantoestanden. Juist daarom is het de moeite waard om te
proberen een tip van de sluier op te lichten. Hoe kwetsbaar
is uw informatievoorziening?

Sterke Verhalen

Dat de beveiliging van computersystemen niet hoog scoort
op de prioriteitenlijst van IT-managers spreekt eigenlijk
vanzelf. Het is in eerste instantie een kostenpost waar
geen directe baten tegenover staan.  Het is verder een
vertragende factor bij de oplevering van automatiseringsprojecten,
die toch al onder tijdsdruk staan. Bovendien spreekt het
beheersen van risico's sowieso niet tot de verbeelding,
zo leert de psychologie. "Vergelijk het maar met
condoomgebruik," legt Chris Verhoef uit, hoogleraar
informatica aan de Vrije Universiteit van Amsterdam.
"Iedereen snapt het belang van zo'n voorzorgsmaatregel,
maar in de praktijk is lang niet iedereen bereid om
dergelijke veiligheidsvoorzieningen ook te treffen."

De analogie met voorbehoedsmiddelen reikt nog verder.
Ook in de automatisering is het namelijk betrekkelijk
zinloos om mensen te willen veranderen door te wijzen op
alle gevaren waaraan hun systemen bloot staan.  "Als er
weer eens een griezelverhaal in de krant staat over
duizenden kredietkaart gegevens die voor het oprapen
lagen, wordt dat al snel vermaak," vertelt Edo Roos
Lindgreen, partner bij KPMG EDP Auditors en deeltijd
hoogleraar IT & Auditing aan de Universiteit van Amsterdam.
"Dergelijke berichten hebben eerder een averechts effect
op het beveiligingsbeleid, omdat iedereen ervan uitgaat
dat zijn organisatie niet zo lek is."

Muur van Zwijgen

Laten we de aandacht derhalve niet richten op spectaculaire
blunders of gewiekste computercriminelen, maar op de
praktijk van alledag. Welke dagelijkse routines vormen
de zwakke plekken in de beveiliging van automatiseringssystemen?
En hoe zijn deze lekken te dichten?

De beantwoording van deze betrekkelijk simpele vragen
blijkt niet eenvoudig. De informatie die beschikbaar is
over veiligheidsproblemen schiet namelijk schromelijk
tekort. De incidenten die bekend raken, betreffen bijna
uitsluitend aanvallen van buitenaf: virussen, hacking,
defacing van websites en het eerder vermelde openbaar
maken van creditcard gegevens. Hoe vervelend deze vormen
van computercriminaliteit ook zijn, ze vormen feitelijk
slechts een randverschijnsel. Uit onderzoek blijkt keer
op keer, dat 80% van veiligheidsincidenten intern
plaatsvindt, waarbij eigen medewerkers de boosdoeners
zijn.

Maar wat dienen we ons dienen voor te stellen bij dergelijke
interne malversaties? Hier stuiten we op een muur van
zwijgen. Bedrijven brengen automatiseringsproblemen en
de daarmee samenhangende fraudezaken nooit in de
openbaarheid, omdat de schade die ze lijden als gevolg
van de negatieve publiciteit vele malen groter is dan de
primaire schade.

Door dit grote zwijgen blijft er ook een geheimzinnige
waas hangen rond veiligheidskwesties. Bij gebrek aan
concrete informatie rijzen al snel beelden op van zware
criminelen die financiele applicaties manipuleren. De
incidenten die wel in de openbaarheid zijn gekomen, laten
echter zien dat de risico's in feite een alledaags en
bijna banaal karakter hebben.

Gelegenheid maakt de Dief

"Dergelijke informatie komt eigenlijk alleen naar buiten
als de staat zich ermee bemoeit," legt Chris Verhoef uit.
"Bij parlementaire enquetes en andere overheidsonderzoeken
geldt immers het principe van openbaarheid." Zo bleek
uit een onderzoek van de FBI uit het begin van de jaren
negentig, dat iedereen bij een information broker voor
175 dollar binnen drie tot vijf dagen de volledige
salarishistorie van een willekeurige Amerikaan kon kopen.
Vooral werkgevers kochten deze informatie om scherpe
salarisonderhandelingen te kunnen voeren met hun
sollicitanten. De information brokers kochten deze
informatie op hun beurt voor 25 dollar bij laagbetaalde
werknemers van de overheid, die toegang hadden tot
belastingdossiers [1].

"De gelegenheid maakt de dief," luidt het commentaar van
Chris Verhoef.  "Medewerkers dienen gewoon geen toegang
te kunnen krijgen tot informatie die niet voor hen bestemd
is."  Zoiets is echter niet een twee drie geregeld. Bij
de Amerikaanse belastingdienst kwam in de loop van de
jaren negentig namelijk een ander schandaal aan het licht.
Een medewerker van de belastingdienst, die lid was van
de Ku Klux Klan, keek de belastingdossiers na van zijn
mede Ku Klux Klan leden om te zien of deze geld ontvingen
van de FBI en dus informanten waren [2].

Zowel Chris Verhoef als Edo Roos zijn ervan overtuigd,
dat iedereen die daar enige moeite voor doet alle informatie
kan inzien die binnen zijn organisatie beschikbaar is.
Mijn eigen bronnen bevestigen dit. Bij verzekeringsmaatschappijen
en pensioenfondsen in Nederland is het betrekkelijk
eenvoudig om gegevens in te zien, bijvoorbeeld via PC's
van collega's die pauzeren in de kantine terwijl ze hun
applicaties open hebben laten staan. Misbruik van dit
veiligheidslek kan vervelende gevolgen hebben. Voor een
sollicitant kan het bijvoorbeeld onaangenaam zijn, als
zijn beoogde werkgever beschikt over allerlei details
uit zijn arbeidsverleden.

Het kan overigens ook anders. Zo krijgen de telefonistes
van KPN geheime nummers niet op hun scherm, zodat ze ook
niet in verleiding kunnen komen om die informatie toch
prijs te geven. Dit laatste zou kunnen gebeuren als de
beller aandringt en een aannemelijk verhaal ophangt over
kinderen die het slachtoffer zijn geworden van een ongeluk
of iets dergelijks. In de Verenigde Staten is het voor
medewerkers van de belastingdienst inmiddels strafbaar
gesteld om bestanden in te zien die niet voor hen bedoeld
zijn---een andere manier om misbruik in te perken.

Kruipruimte

Dat gegevens gemakkelijk te raadplegen zijn, ook door
personen voor wie ze niet bedoeld zijn, is eigenlijk
inherent aan de automatisering. "Die automatisering is
immers juist opgezet om de toegang tot data te
vergemakkelijken," legt Edo Roos uit. Hij wijst daarnaast
op een ander veiligheidsrisico, dat eveneens onlosmakelijk
verbonden is met automatisering: de ongekende vrijheid
die systeem- en netwerkbeheerders genieten. "Het
systeembeheer is de kruipruimte van een informatiesysteem,
waar zelden licht binnenvalt," vertelt hij beeldend.

De systeem- en netwerkbeheerders hebben immers grote
bevoegdheden om de ICT-infrastructuur naar eigen inzichten
te configureren of om bestanden in te kijken. Bovendien
worden zij nauwelijks gecontroleerd, simpelweg omdat
niemand in de organisatie kan beoordelen wat zij nou
precies doen.

"Wanneer de prestaties van netwerk en systeem tegenvallen,
schakelt het management van een bedrijf vaak KPMG in om
een onafhankelijke audit te verrichten," zegt Edo Roos.
"Vervolgens blijkt de feitelijke configuratie van het
netwerk er heel anders uit te zien als de officiele versie
op papier." Meestal begint het met een systeembeheerder
die zijn eigen homepage op de webserver van zijn baas
zet. Daarna volgt de website van de voetbalclub waar de
systeembeheerder lid van is. Aangemoedigd door het behaalde
succes, laat hij zich daarna verleiden om tegen betaling
sites van commerciele bedrijven te hosten. "Vergis je
niet," waarschuwt Edo Roos, "wij komen dit in Nederland
heel vaak tegen, ook bij gerenommeerde bedrijven. Sterker
nog, vooral grote bedrijven met een complexe ICT-infrastructuur
zijn hier vatbaar voor. Bij middelgrote organisaties met
een overzichtelijke ICT-infrastructuur en een of twee
systeembeheerders valt het wel mee met de wildgroei."

Een duidelijk Kader

Nou zijn systeem- en netwerkbeheerders niet uit ander
hout gesneden als de rest van de bevolking. Als zij
relatief vaak over de schreef gaan, komt dat doordat een
duidelijk kader ontbreekt waarbinnen zij dienen te
opereren.  "Eigenlijk is het voldoende om zich te houden
aan de basisprincipes van de organisatiekunde," legt Edo
Roos uit. "Iedereen die bedrijfskritische handelingen
verricht, moet door een ander gecontroleerd worden." Van
het instellen van een regelmatige audit gaat bijvoorbeeld
een gezonde preventieve werking uit. Als systeembeheerders
weten dat ze gecontroleerd worden, schrikken ze bij
voorbaat terug voor het plegen van onregelmatigheden.

Er is ook speciale auditsoftware op de markt om de
veiligheid van een automatiseringssysteem te vergroten.
Dergelijke software, die bijvoorbeeld door het Nederlandse
bedrijf Consul Risk Management wordt ontwikkeld, constateert
afwijkend gedrag van zowel eindgebruikers als ontwikkelaars
en systeembeheerders. "Het uitgangspunt is dat men niet
op voorhand allerlei beperkingen in het systeem inbouwt,
maar dat men eerst vastlegt wat normaal gedrag inhoudt,"
legt Koos Lodewijkx uit, support manager bij Consul Risk
Management. "Het is bijvoorbeeld normaal dat mevrouw
Jansen van de boekhoudafdeling van maandag tot en met
vrijdag tussen 8:00 en 18:00 uur mutaties invoert in een
financiele applicatie. Wanneer zij dat op maandagavond
om 23:30 uur doet, is dat echter vreemd. De software
constateert dat en zendt automatisch een waarschuwing
aan een beveiligingsexpert, die dan kan onderzoeken wat
er aan de hand is." Een van de grote voordelen van zo'n
systeem is, dat het ook het gedrag van de systeembeheerders
in de gaten houdt. Wanneer een systeembeheerder een
personeelsdossier opent of code wijzigt in de financiele
applicatie, komt dat meteen aan het licht.

Overigens kleven er ook beperkingen aan dergelijke
auditsoftware. "In een stabiele omgeving werkt zo'n
oplossing prima," verklaart Edo Roos. "Als er veel
veranderingen plaatsvinden in een organisatie of in een
automatiseringssysteem, kost het echter heel veel energie
om alle instellingen actueel te houden." Voorts wijst
hij erop, dat het lastig blijft om grote hoeveelheden
data goed te scannen. "Een beveiligingsexpert raakt al
snel overvoerd met irrelevante berichten, waardoor hij
de zaken die werkelijk de aandacht vragen over het hoofd
ziet," aldus Edo Roos.  Verder helpt ook de beste software
niet als misbruik plaatsvindt via reguliere wegen, zoals
het indringen op de PC van een collega wiens wachtwoord
bekend is.

Wild West Gebeuren

"Natuurlijk is het raadzaam om alle mogelijkheden aan te
grijpen die op dit moment beschikbaar zijn om de veiligheid
van automatisering te vergroten," geeft Chris Verhoef
aan. Maar hij maakt meteen duidelijk, dat een structurele
oplossing om de kwetsbaarheid van de informatievoorziening
te verbeteren nog ver weg is. "De automatisering is nog
steeds een Wild West gebeuren, zonder standaarden en
zonder certificering."

Alleen aan de zogenaamde embedded software worden specifieke
eisen gesteld op het gebied van veiligheid. Zo is de
software voor de besturing van vliegtuigen bijvoorbeeld
relatief betrouwbaar, omdat die moet voldoen  aan de
strenge eisen die in vliegtuig-industrie gelden. In de
vrije markt van kantoor- en bedrijfsapplicaties is de
consument echter overgeleverd aan leveranciers die
producten leveren die aan geen enkele veiligheidseis
hoeven te voldoen. "Als iemand zonder toestemming 100
Euro uitgeeft via een kredietkaard van zijn bedrijf, valt
hij in een heel maas van regelgeving.  Bedrijfskritische
informatie die een vermogen waard is, bevindt zich echter
in een organisatorisch vacuum. Dat is toch eigenlijk
onbegrijpelijk?," is de retorische vraag van Chris Verhoef.
Veiligheid en automatisering zullen nog geruime tijd op
gespannen voet met elkaar blijven staan.

Joost Welten

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Referenties

[1] Michael Betts, Personal data more public than you
think, Computerworld, p. 1, 9 maart 1992.

[2] Associated Press, Bill Would Tell I.R.S. Workers Not
to Snoop, New York Times, p. A9, 8 April 1997.