Wikileaks stoppen in 9 stappen (Arjan Aelmans)

Helaas zijn er vaak grote rampen nodig om verantwoordelijken te laten inzien dat IT security allang niet meer vergeleken kan worden met een verzekering die je beschermt tegen risico’s die je zou kunnen lopen

De recente Wikileaks publicatie van vertrouwelijke documenten van de VS-ambassades, doet de vraag rijzen of het stelen van deze geheime data voorkomen had kunnen worden. “Het is makkelijk praten achteraf”, zegt de een. “Nee, zoiets kan je niet tegenhouden” meent een ander. Maar wat zijn de feiten?

Feit is dat iemand, terecht of onterecht, toegang had tot geheime data en in de gelegenheid was deze op zo’n manier te stelen dat de ontvreemding pas ontdekt werd na (het dreigen met) publicatie.

Met behulp van een aantal point solutions is dit, theoretisch, in de meeste gevallen wel te voorkomen. Denk o.a. aan identity management, data leakage prevention, port protection en application control. Ik zeg bewust: in de meeste gevallen, want hoe stop je iemand die, met behulp van zijn mobiele telefoon, geheime informatie op een beeldscherm fotografeert ? Om maar een voorbeeld te noemen.

Ik zeg ook bewust theoretisch, want vaak faalt de beveiliging door een gebrek aan integratie tussen bovengenoemde oplossingen. De verschillende systemen begrijpen elkaar niet en dat terwijl het succes van een dergelijke beveiliging toch echt bepaald wordt door de som der delen. Een andere belangrijke voorwaarde is het opstellen én afdwingen van een duidelijk beveiligingsbeleid.

Een voorbeeld. Gegevenstoegang moet worden bepaald door identiteit (wie?), machine (hoe?) en lokatie (van waar?). Isoleer je ze van mekaar, dan zijn ze makkelijk te omzeilen. Als ik inlog met de gebruikersnaam en wachtwoord van een welbepaald persoon, dan bén ik ook die persoon. Zijn of haar machine gebruiken op een onbewaakt moment lukt ook nog wel. En door het verplaatsen van die machine kan ik laten uitschijnen mij elders te bevinden. Is een beveiligingsbeleid actief dat alle vereiste maatregelen kan afdwingen, acties blokkeren en registreren en daarover ook kan rapporteren, dan wordt het een stuk lastiger.

Een voorbeeld: gebruiker Arjan moet dan 1) lid zijn van de groep R&D en 2) mag gegevens op Server A slechts benaderen vanaf een desktop PC met 3) specifieke kenmerken die zich 4) binnen de bedrijfsmuren bevindt. Dus niet via een willekeurige externe laptop. Of via een desktop PC die op de afdeling Boekhouding staat.
Arjan mag bovendien slechts 5) gegevens die zich in de map \\Public bevinden wegschrijven naar een extern medium, zoals een USB stick. En dan nog alleen indien 6) die USB stick versleuteld is. Arjan mag slechts 7) bepaalde documenten via email naar een extern email adres sturen. Wil hij andere documenten versturen, dan moet hij 8) daarvoor een geldige reden opgeven die vervolgens geregistreerd wordt. Arjan mag tenslotte internet gebruiken maar 9) geen gegevens uitwisselen via bepaalde websites.

Technologisch is dit allemaal mogelijk, doch slechts effectief bruikbaar indien dmv. een eenduidig beleid afspraken worden gemaakt over wat wel en niet mag. En indien dit beleid vanaf èèn systeem gebouwd en beheerd kan worden zodat er altijd een realtime overzicht bestaat.

En tenslotte: indien deze policy niet alleen voor netwerktoepassingen geldt, maar ook voor de daarop aangesloten PC’s, laptops, smartphones en iPads. De oplossingen zijn voorhanden. Helaas zijn er vaak grote rampen nodig om verantwoordelijken te laten inzien dat IT security allang niet meer vergeleken kan worden met een verzekering die je beschermt tegen risico’s die je zou kunnen lopen. Dat is een vrijblijvendheid waarvoor er geen plek meer is in 2010 en die bovendien een vals gevoel van veiligheid oproept. “Dat overkomt ons toch niet” en “Wie is er nu geinteresseerd in wat ik doe?” zijn veelgehoorde uitspraken. Foresight is better than hindsight, dacht ik.

Arjan Aelmans, SE Manager Check Point Software Technologies