Digitale veiligheid

De digitale veiligheid staat weer in de belangstelling. De overheid heeft een rapport uitgebracht, waaruit blijkt dat het in de grond van de zaak slecht gesteld is met de digitale veiligheid. Hierover berichtte de NOS.

Natuurlijk ontbrak de eeuwige ‘ethische hacker’ nietDe ethische hacker bestaat niet. Het is een beetje als de ethische inbreker, of de ethische moordenaar. Liever spreek ik van beveiliging tester . In het algemeen is de respons van zowel het bedrijfsleven als de overheid een technische, met als achteraf gedachte iets met gedrag. Het liefst een bewustwordingscampagne, want als wij ons bewust zijn van het gevaar van ons gedrag, dat helpt dat de boel veilig te maken. Als wij het over hacken hebben, is techniek de belangrijkste factor waar wij ons op richten.

Begrijp mij goed, techniek is belangrijk en er moet zeker veel aandacht voor zijn, maar wij lopen de kans een groot deel niet te vangen. Beveiliging, computerbeveiliging, gaat over drie zaken, CIA Confidentiality, Integrety en Availability. In het Nederlands, Vertrouwelijkheid, Integriteit en Beschikbaarheid. In het algemeen monitoren wij dat met SIEM, Security Information and Event Management. En inzicht daarin krijgen wij weer door het lezen, al dan automatisch, van logs. Dat is, op haar beurt, erg afhankelijk van hoe wij monitoren. Beveiliging Events die wij niet definiëren komen niet in event logs en vallen dus niet te monitoren.

Wat er gemonitored wordt is in eerste instantie bepaald door het bedrijfsbrede beveiligings beleid. Eigenlijk alle technische en niet technische maatregelen moeten hun grond in dat beleid vinden. En daar wringt de schoen. Niet zozeer dat de niet technische maatregelen niet in zo een beleid hun grond vinden, maar dat technische maatregelen helemaal niet meer in zo een beleid hun grondslag vinden. De niet technische maatregelen zijn er vaak helemaal biet, of zeer summier. Dat terwijl niet technische maatregelen eigenlijk belangrijker zijn dan technische maatregelen.

Natuurlijk kunnen bijna alle niet technische maatregelen worden afgedwongen door technische maatregelen, wat niet wegneemt dat er voor de niet technische maatregelen te weinig aandacht is. Neem de vertrekkende werknemer. Wat moet er gebeuren met haar accounts, haar toegang. Dat zijn redelijke vragen die, vooral in grote organisaties, wel een beschrijving hebben, waar vaak van wordt uitgegaan dat de beschrijving ook dat is wat er gebeurt. Of document classificatie. Het is a priori niet duidelijk welke klasse van vertrouwen, openbaar, vertrouwelijk, strikt vertrouwelijk, alleen voor bepaalde personen, gehanteerd wordt. Dit moet in het bedrijfsbrede beveiligingsbeleid worden opgenomen.

Veel computerkraken worden te laat opgemerkt. Deels komt dit omdat er geen ‘event’ plaatsvindt bij de kraak, men gebruikt een bekende userid/wachtwoord combinatie, of toegang tot bepaalde resources wordt door het systeem als toegestaan gezien.

De opmars van Agile technieken, zoals Scrum of DevOps maken het risico op fouten in het programma met een veiligheid component groter. Maar ook de opmars van internet handige apps en toepassingen maken de kans op een breuk in de veiligheid groter. Het testen van opgeleverde software en hardware is in veel gevallen naar het verdomhoekje verwezen.

Agile technieken zijn niet slecht, alleen wordt het kind met het badwater weggegooid. Deels door commerciële motieven, deels uit onwetendheid. Aan het internet hangende apparaten behoeven geen standaard wachtwoord, zij kunnen zelf simpel onbruikbaar gemaakt worden door geen wachtwoord/gebruikers id mee te geven. De meeste software daarentegen moet op zijn minst getest worden op veiligheid kenmerken in het totale product.

Een lek zoals Snowden bij de NSA, de grote wachtwoordkraak bij Adobe waren te voorkomen geweest als er deugdelijke procedures waren die maken dat kopieren van data op zijn minst ontdekt waren door ‘events’. Niet etechnische events, maar gewoon procedureel afgedwongen events.

Voor veel veiligheidslekken zijn eigenlijk stomme, procedureel afgedwongen, maatregelen voldoende. Wij kennen de meeste ook. Laat zaken niet direct vanaf het internet toegankelijk zijn, geef geen wachtwoorden door de telefoon en zo voorts. Het bijna heilige geloof in techniek over gedrag is gevaarlijk. Veel problemen kunnen voorkomen worden door goed te testen, gedrag aan te passen en betere administratie. Het is aangebracht om meer aandacht aan procedures, processen en dergelijke te besteden. Niet als vervanging van technische maatregelen, maar als aanvulling.

Geef een reactie