De uitgelekte documenten van Wikileaks doen de vraag rijzen of de diefstal van geheime data te voorkomen was. De oplossingen zijn immers voorhanden. Maar veel mensen gaan ervan uit dat het hen toch niet overkomt. “Het is makkelijk praten achteraf”, zegt de een. “Nee, zoiets kan je niet tegenhouden”, meent een ander. Maar als je […]

De uitgelekte documenten van Wikileaks doen de vraag rijzen of de diefstal van geheime data te voorkomen was. De oplossingen zijn immers voorhanden. Maar veel mensen gaan ervan uit dat het hen toch niet overkomt.

“Het is makkelijk praten achteraf”, zegt de een. “Nee, zoiets kan je niet tegenhouden”, meent een ander. Maar als je in de Wikileaks-affaire naar de feiten kijkt, merk je toch dat iemand, terecht of onterecht, toegang had tot geheime data en in de gelegenheid was deze op zo’n manier te stelen dat de ontvreemding pas ontdekt werd na (het dreigen met) publicatie.

Met behulp van een aantal point solutions is zo’n gegevenslek, theoretisch, in de meeste gevallen wel te voorkomen. Denk bijvoorbeeld aan identity management, data leakage prevention, port protection en application control.

Ik zeg bewust: in de meeste gevallen, want hoe stop je iemand die met zijn mobiele telefoon geheime informatie op een beeldscherm fotografeert? Ik zeg ook bewust theoretisch, want vaak faalt de beveiliging door een gebrek aan integratie tussen bovengenoemde oplossingen. De verschillende systemen begrijpen elkaar niet, en dat terwijl het succes van een dergelijke beveiliging toch echt bepaald wordt door de som der delen. Een andere belangrijke voorwaarde is het opstellen en het afdwingen van een duidelijk beveiligingsbeleid.

Wie, hoe en waar?
Gegevenstoegang moet bijvoorbeeld worden bepaald door identiteit (wie?), machine (hoe?) en locatie (van waar?). Isoleer je ze van elkaar, dan zijn ze makkelijk te omzeilen. Als ik inlog met de gebruikersnaam en het wachtwoord van een welbepaald persoon, dan ben ik ook die persoon. Zijn of haar machine gebruiken op een onbewaakt moment lukt ook nog wel. En door het verplaatsen van die machine kan ik laten uitschijnen dat ik mij mij elders bevind. Is een beveiligingsbeleid actief dat alle vereiste maatregelen kan afdwingen, acties blokkeren en registreren en daarover ook kan rapporteren, dan wordt het een stuk lastiger.

Een voorbeeld van zo’n beveiligingsbeleid: gebruiker Arjan moet dan (1) lid zijn van de groep R&D en (2) mag gegevens op Server A slechts benaderen vanaf een desktop-pc met (3) specifieke kenmerken die zich (4) binnen de bedrijfsmuren bevindt. Dus niet via een willekeurige externe laptop of via een desktop-pc die op de afdeling Boekhouding staat.

Arjan mag bovendien slechts (5) gegevens die zich in de map \Public bevinden wegschrijven naar een extern medium, zoals een USB-stick. En dan nog alleen indien (6) die USB-stick versleuteld is. Arjan mag slechts (7) bepaalde documenten via e-mail naar een extern e-mailadres sturen. Wil hij andere documenten versturen, dan moet hij (8) daarvoor een geldige reden opgeven die vervolgens geregistreerd wordt. Arjan mag tenslotte internet gebruiken, maar (9) geen gegevens uitwisselen via bepaalde websites.

Technologisch is dit allemaal mogelijk, doch slechts effectief bruikbaar indien via een eenduidig beleid afspraken worden gemaakt over wat wel en wat niet mag. En indien dit beleid vanaf één systeem gebouwd en beheerd kan worden zodat er altijd een realtime overzicht bestaat. En ten slotte: deze policy mag niet alleen voor netwerktoepassingen gelden, maar ook voor de daarop aangesloten pc’s, laptops, smartphones en iPads.

 

De oplossingen zijn voorhanden. Helaas zijn er vaak grote rampen nodig om verantwoordelijken te laten inzien dat IT-security allang niet meer vergeleken kan worden met een verzekering die je beschermt tegen risico’s die je zou kunnen lopen. Dat is een vrijblijvendheid waarvoor er geen plek meer is in 2010 en die bovendien een vals gevoel van veiligheid oproept. “Dat overkomt ons toch niet” en “Wie is er nu geïnteresseerd in wat ik doe?” zijn veelgehoorde uitspraken. Foresight is better than hindsight, dacht ik.