TUNIX BV
TUNIX in reactie op uitzending Zembla netwerkbeveiliging
Beveiliging moet je doen!
Het programma Zembla ging donderdag
3 juni in op de echte en
vermeende gevaren van inbraken via het Internet op
bedrijfsnetwerken.
Alhoewel een zeker sensatiegehalte niet vreemd was aan het
programma is het probleem dat aan de orde werd gesteld
zeker
actueel: de toenemende risico's die
ontstaan door koppeling van
bedrijfsnetwerken via het Internet dat naast grote
mogelijkheden
ook vele bedreigingen kent. In feite is aangetoond dat
beschikbare beveiligingsmaatregelen niet ingezet worden. Wat is
er eigenlijk aan de hand? Er
is sprake van twee tegengestelde
bewegingen die risicoverhogend werken:
1 Bedrijven en instellingen bieden steeds meer diensten en
functionaliteit aan via het Internet. De rol
van het Internet
wordt daardoor steeds bedrijfskritischer. De
beschikbaarheid
van nieuwe technieken als breedband- en draadloze
verbindingen,
via devices als laptops, PDA's en mobiele telefoons
fungeert
hierbij als katalysator.
2 Het Internet is een afspiegeling van de maatschappij,
met zijn
goede 'en' slechte kanten. Aangezien er geen tijds- of
fysieke
grenzen zijn op het Internet kunnen bedreigingen zich 24
uur
per dag vanuit de hele wereld manifesteren. De
toenemende
spanningen in de wereld vergroten deze dreiging alleen maar.
Tegelijkertijd zorgt het slechte economische klimaat er
voor, dat
er minder geld beschikbaar wordt gesteld om
informatiebeveiliging
adequaat in te richten; men beperkt zich tot de hoogst
noodzakelijke investeringen of stelt deze uit.
Zembla gaat echter voorbij aan de kern van het probleem. Die
kern
van de zaak is uiteindelijk het 'bewustzijn' inzake
informatiebeveiliging; natuurlijk is het zo, dat het
betrekkelijk
eenvoudig is om die encryptie te activeren op een
Wifi-verbinding,
een goede firewall te installeren of eens een audit of
penetration-test op het bedrijfsnetwerk uit te laten
voeren, maar
men 'doet' het niet! Bij het ontwikkelen van nieuwe diensten
of
het aansturen van processen staat de
functionaliteit centraal en
is beveiliging meestal het 'stiefkindje', 'als' het al aan
bod
komt. Beveiliging zit niet 'tussen de oren',
zeker niet in een
land als Nederland dat tot dusver niet te maken heeft gehad
met
ernstige beveiligingsincidenten of terroristische aanslagen.
Nederland bevindt zich wat dit betreft echter niet op een eiland
-
het Internet is er altijd
en overal. Zoals zo vaak, zal het
hoogstwaarschijnlijk eerst fout moeten gaan voor men wakker
schrikt en de noodzakelijke maatregelen neemt.
De vraag die uiteindelijk moet worden gesteld is: 'waarom' moet
ik
'wat' beveiligen en 'hoe'. Welke risico's loop ik en
welke
daarvan moet ik afdekken? Niet alles is immers
even kritisch of
gevoelig voor compromittering - het heeft geen zin om een
soort
paranoia te creeeren waarbij een doemscenario wordt
voorgespiegeld
als 11 september. Daarmee loop je het risico dat er lacherig
over
wordt gedaan en dat je je doel voorbij schiet. Hierin schoot
Zembla een beetje door. Wel is het zaak het bewustzijn
te
vergroten over de mogelijke
gevaren en een bepaalde 'sense of
urgency' teweeg te brengen dat we dit niet kunnen laten
rusten,
maar op professionele wijze dienen te benaderen.
Keurmerk zinloos zonder terugkerende controle op naleving
De overheid zou moeten werken aan
vergroting van het bewustzijn
door via publieke campagnes meer informatie te verstrekken.
Hierdoor vervult zij een initierende
rol waarbij het proces om
meer aan informatievebeiliging te doen op gang wordt gebracht.
Het aanscherpen van de regelgeving inzake een adequate
informatiebeveiliging leidt automatisch tot
een hogere mate van
bewustzijn maar moet wel gericht en doeltreffend zijn.
Belangrijke voorwaarde hierbij is, dat het om een
constant proces
gaat; informatiebeveiliging staat niet stil, maar het is
voortdurend aan verandering onderhevig. Als je
dus een keurmerk
in het leven roept, heeft dat alleen zin als dit regelmatig
wordt
getoetst, net als bijvoorbeeld het ISO-9001
keurmerk of de APK-
keuring. De ISO 17799-norm voor informatiebeveiliging zou
hiervoor
een goede basis kunnen vormen. Controleer je niet
regelmatig, dan is het keurmerk binnen de kortste keren een
wassen
neus.
Tot slot is de overheid uiteraard ook de bewaker van
onze grenzen
en van de nationale infrastructuur (electriciteit, gas,
water,
telecom, spoor- en wegennet) die ervoor zorgt dat de
BV Nederland
blijft draaien. Aangezien deze grenzen steeds meer vervagen,
de
afhankelijkheden steeds groter worden
en door liberalisering de
controle steeds moeilijker wordt, ligt hier wel een
duidelijke
taak. Het bewaken van de beschikbaarheid van
deze infrastructuren
(en daartoe behoort ook het Internet zelf!) en zorgdragen voor
een
adequate beveiliging daarvan, zou een
grotere mate van aandacht
verdienen dan het nu krijgt.
De in Zembla gedane suggestie van coordinatie van de expertise
op
dit vlak in een soort 'digitale NSA',
politie of AIVD lijkt op
zich zinnig. De aard van de materie is grensoverschrijdend,
dus
zou in Europees en in wereldwijd verband het nodige
kunnen worden
gecoordineerd. Uiteraard kunnen we leren van de ervaringen in
de
VS waar men, met het 'Homeland'-initiatief, op dit vlak
al verder
is.
In tegenstelling tot wat in Zembla werd beweerd - en met
doemscenario's en bangmakerij in feite
in de week is gelegd -
houdt dit 'niet' automatisch in dat de overheid zich meer
rechten
mag
toeeigenen. Door in te grijpen op de privacy wordt de
vrijheid van het individu onnodig aangetast. De huidige
wetgeving
biedt
nog voldoende ruimte om in te grijpen. Zoals eerder
aangegeven: security moet je 'doen'.
Praktisch verder
Kennis over deze betrekkelijk nieuwe materie is in Den
Haag
onvoldoende aanwezig
en het onderwerp staat niet hoog op de
politieke agenda. Of men in staat zal zijn om los te komen
van
het 'poldermodel' en dit probleem
op doortastende wijze aan te
pakken is de uitdaging voor de toekomst.
Dit commentaar is geschreven door Leo Willems, Chief
Security
Officer van 'TUNIX Internet
Security & Opleidingen'. TUNIX is
gespecialiseerd in netwerkbeveiliging en beschikt over een
unieke
kennis en ervaring met alle aspecten van het
Internet. TUNIX kan
u daarom adviseren maar zij kan ook de helpende hand bieden bij
de
praktische beveiliging
van uw bedrijfsnetwerk. Contactgegevens
kunt u vinden op 'www.tunix.nl' maar u kunt ook bellen:
024-3455000.
08 jun 04 16:52