Informatiebeveiliging altijd 'a pain'

Combineer wiskunde en gedragswetenschappen, dan kom je tot goede digitale beveiliging.

‘Alles kan altijd beter: Kennis en ervaring delen is de boodschap!’ zo las ik ergens voordat het volgende artikel mijn aandacht trok. “Justitie ontwikkelde ROBIN, een eigen systeem voor informatiebeveiliging, maar Den Haag trok de stekker eruit. BZK worstelt overheidsbreed met PKI en heeft geen inzicht in de resultaten. Informatiebeveiliging blijkt duur en complex en blijft vaak in mooie voornemens steken, of in torenhoge ambities. Een reconstructie.” Door: Peter Mom, magazine: 18 december 2008.

Daaraan gevolg gevend: Hoofdpijndossier? Als je het zo leest komt het niet positief over. Verbazend, nee, de Nederlandse overheid heeft geen goed track record op het gebied van het succesvol realiseren van ICT-projecten. Type op Google maar eens in overheid ICT mislukking en je krijgt in 0,07 seconden maar liefst 21.700 resultaten. Of beter, lees het rapport van de Algemene Rekenkamer, ‘Lessen uit ICT-projecten bij de overheid’, daar wordt het in context geplaatst.

Maar is dit weer zo’n voorbeeld van ICT-verspilling? Nee, er is goed en efficiënt gewerkt, complimenten. Het is alleen een verschrikkelijk complex en lastig onderwerp bestaande uit een aantal ingewikkelde deelproblemen. Informatiebeveiliging is simpelweg altijd ‘a pain’: – Authentication; – Privacy; – Authorization; – Integrity; – Non-repudiation.

Korte samenvatting: er moet voor gezorgd worden dat authenticiteit, autorisatie, geheimhouding, integriteit en onloochenbaarheid goed geregeld zijn. Technisch geen probleem, het probleem is de gebruiker, het besef, de organisatie en discipline. Dat technisch ondervangen, afdwingen, is moeilijk, kostbaar en soms ondoenlijk. De techniek is tegenwoordig te koop, daarvoor was ROBIN dus niet meer nodig. De procedures zijn ook te koop, maar u moet zelf naleving afdwingen.
Er moet een evenwicht gevonden worden tussen ‘Connectivity’, ‘Convenience’ en ‘Cost’. Ja, medewerkers moeten toegang hebben tot systemen. Wat heb je daar anders aan. Nee, ze gaan niet vanuit een bunker werken en 44 verschillende wachtwoorden per dag ingeven. De kosten, ja, je moet beveiligen, maar wel tegen acceptabele kosten. Er zijn maar twee zaken 100 procent zeker in het leven, je betaald belasting en gaat dood. Afdoende is voldoende, maar doe het wel slim. Over slim:

Toegangscontrole
U kent het gezegde ‘You can be a dog on the internet and no one will know the difference’. Er zijn drie manieren, liefst combinaties daarvan, waardoor we kunnen vaststellen wie wie is in de digitale wereld. ‘Something you know, something you have or something are’.

Know: Een wachtwoord.
Have: Een ‘token’ zoals zo’n apparaatje dat je van de bank krijgt. Je voert een nummer in, krijgt een nummer terug en klopt dat weer in en krijgt toegang, tenminste als je snel genoeg bent.
Are: Biometrische identificatie zoals een irisscan of een vingerafdruk.

Gebruik altijd combinaties en een goede toevoeging is ook dat van het apparaat van waar af ingelogd wordt een digitaal ‘ID’ wordt getrokken. Bijvoorbeeld het serienummer in combinatie met de toepassingen die erop geïnstalleerd zijn.
Verandert er wat dan sturen we een sms’je met een aanvullend password naar de mobiele telefoon van de eigenaar van het password. Voert die dat niet in binnen tien minuten, pech gehad, geen toegang. Een uitstekend middel om uw organisatie tegen ‘Social Engineering’ te beschermen.

Een ketting is net zo sterk als de zwakste schakel en voor een hacker is die zwakste schakel een (digitaal en sociaal) onnozele collega. Het is van eminent belang om de vraag ‘who is who (and what is who allowed to do)’ beantwoord te krijgen op het net, daar mogen we de gebruikers wel wat voor laten doen. Maar niet meerdere malen, ‘single sign on’ is iets wat we ook moeten gebruiken. Is het niet uit gebruikersvriendelijkheid, dan is het wel vanuit efficiency.

Public Key Infrastructure
Nu we weten wie er binnen is, rest ons autorisatie, geheimhouding, integriteit en onloochenbaarheid te regelen. Voor dat doel zetten we computercryptografie in. De bouwstenen daarvan zijn: – Symmetrische of ‘Secret Key’ Algoritmen – Asymmetrische of ‘Public Key’ Algoritmen – Hash-functies – Certification Authorities (CA’s) – Certificaten

Afspraken over protocollen, algoritmen en sleutels, noemen we een ‘Public Key Infrastructure’ (PKI). ‘PKIoverheid was binnen de overheid niet erg bekend. “Men begint het nu pas te promoten.”’ Gerelateerde artikelen: PKI wordt langzaam ‘veelbelovend’. Door: Peter Mom, db-diep:18 december 2008: 18 december 2008
In dit artikel wordt beschreven wat de Nederlandse overheid allemaal doet op het gebied van Public Key Infrastructure’s. Veel, versnipperd en naar mijn mening inefficiënt.

Met PKI zijn autorisatie, geheimhouding, integriteit en onloochenbaarheid prima te regelen. Het valt waarschijnlijk totaal buiten het interessegebied van de lezers om hier dieper op encryptie en algoritmen in te gaan, dus dat doen we maar niet. De geïnteresseerde heeft het net om verdere informatie te vinden. Desalniettemin, geloof me, zeer interessant en als je jezelf erin verdiept heb je altijd spijt dat je niet meer van wiskunde weet. Zo moest de auteur dezes weer even de schoolbanken in om echt te begrijpen waarom asymmetrisch 1.000 _ meer rekenkracht vraagt dan symmetrisch.

We blijven in dit artikel praktisch: ‘Wat door de mens gemaakt is kan door de mens gekraakt worden’. In de niet-digitale wereld kent men de Haagse methodiek. Onparlementair vertaald gaat het hier om: Incident, Detectie, Alarmering en Respons. Oftewel de inbraakpogingen met behulp van bouwkundige maatregelen dermate vertragen dat de alarmopvolger voldoende tijd heeft om naar het beveiligde object te gaan zodat de dader geen kans krijgt er met de buit vandoor te gaan, voordat de opvolger ter plaatse is.

In de digitale wereld moet je er gewoon voor zorgen dat de ‘Window of opportunity’ die de hacker heeft zo kort mogelijk is. Maximaal een halve dag. Dat kan met kort levende certificaten.

Paspoort versus Visum
In de digitale wereld is de alarmopvolging simpelweg te langzaam. Is de hacker eenmaal binnen dan kan hij of zij veel te lang actief zijn, dagen, maanden en soms ook jaren. Zijn of haar investering loont dus. Het rondpompen van een lijst met ingetrokken en vervallen certificaten; de ‘certificate revocation’ list of CRL, gaat te langzaam. Als er überhaupt wat vervalt of ingetrokken wordt.

De oplossing hier is om certificaten met een beperkte levensduur uit te geven. Als overheden meer controle op buitenlanders willen hebben dan eisen ze ook een visum bij het paspoort. Het paspoort dient voor identificatie en het visum voor autorisatie. De toestemming is beperkt in tijd en kan nog andere beperkingen vermelden. Aan ‘a pain’ moet ‘credentialing’ toegevoegd worden. Combineer wiskunde en gedragswetenschappen, dan kom je tot goede digitale beveiliging.

Hoofd- & financiële pijn
De wereld digitaliseert steeds verder, boeven zijn slim en criminaliteit is van alle tijden. De markt voor een goede PKI-infrastructuur met kort levende certificaten moet geweldig groot zijn. En zal alleen maar groter worden. Iedereen heeft het over e-facturatie, het elektronisch medisch dossier (EMD) en dat soort zaken. Daarvoor is een goede PKI-infrastructuur nodig. Anders is het onverantwoordelijk.
Volgens www.nederlandtegenterrorisme.nl werken meer dan 200.000 professionals samen tegen terrorisme. Als we de genoemde aantallen in het artikel PKI wordt langzaam ‘veelbelovend’ lezen, dan gaat dat digitaal schijnbaar nagenoeg geheel onbeveiligd.

Met deze zaken in het achterhoofd begonnen in 2003 een aantal bekenden met het ontwikkelen van een ‘state of the art’ PKI-infrastructuur met zeer kortlevende certificaten. Ze waren hun tijd vooruit, bijvoorbeeld Microsoft heeft het onderwerp pas zeer recent op haar ’roadmap’ voor de komende jaren gezet. Sten Kalenda, vliegenier, ‘white hacker’ en ‘Chief Technical Officer’ van TrustAlert, een Nederlands bedrijf actief met de ontwikkeling van beveiligingssoftware, heeft het product, RESEPT, sinds eind 2006 klaar.

Gebruikers zijn er ook, zoals Océ, en vele anderen die actief zijn in de voorhoede van de technologische ontwikkeling en die zich daarom bewust zijn van de noodzaak van gecontroleerde toegang tot beveiligde digitale omgevingen. En inzicht hebben in alle problemen die erbij komen kijken.

Veel problemen. Genoeg om iemand niet alleen een stevige hoofdpijn te bezorgen, maar het slechten van alle obstakels die genomen moeten worden om te komen tot een goede oplossing vergen visie, een goed team, veel geld en een beetje geluk. Het vergt grootheid en lef; het toegeven van verlies. Daarom mijn complimenten aan Den Haag. Zowel voor het ‘de stekker trekken’ als voor het inzicht destijds dat er een goede oplossing moest komen voor ‘a pain’.

Nu die er is vraag ik me af of al die andere overheidsinitiatieven en organisaties zoals het NICTIZ dezelfde grootheid en lef op kunnen brengen. Hierbij de uitnodiging aan hen om via dit medium te vertellen wat zij doen en waarom zij vinden dat dat economisch verantwoord is.

Robert Stamsnijder is ondernemer.