Informatiebeveiliging
Beveiliging van informatiesystemen en van daarin opgenomen gegevens en documenten is een hot item. Er is zelfs een al weer herziene Code voor Informatiebeveiliging, waarop ook extern kan worden getoetst ! Die belangstelling is niet ten onrechte, want er gaat regelmatig het een en ander mis. Nog niet zozeer omdat wij allemaal onvoorzichtig omgaan met onze procedures, onze wachtwoorden en zo, maar ook omdat leveranciers van systeem- en toepassingssoftware het niet voor elkaar krijgen om deze zonder ‘lekken’ te leveren.
Microsoft ontdekt ‘lekken’ in Windows ongeveer een keer per week, alhoewel het tempo de laatste tijd minder aan het worden is. XP is een wat stabielere omgeving dan de voorgaande versies, maar desalniettemin is het aantal patches groeiende. De systeemsoftware wordt zo verschrikkelijk complex dat het vaak niet mogelijk is om alle ‘bugs’ en ‘holes’ voor de release van de software te ontdekken. Oracle, de leverancier van de belangrijkste database management-omgeving in Nederland, wordt de laatste tijd geconfronteerd met een aantal ernstige lekken, waarop door de leverancier slechts met zeer grote vertraging wordt gereageerd. En zelfs in de patches blijken fouten te zitten, dus dat lost het probleem op door een ander te creëren. Ook open source-systemen (zoals Linux) zijn niet vrij van gevaarlijke fouten, al wordt daarop door de communities die die software beheren over het algemeen zeer snel en adequaat gereageerd. De meeste leveranciers dichten dit soort gevaarlijke ‘gaten’ over het algemeen snel na het bekend worden, maar toch…..Veel van dit soort programmeerfouten is te voorkomen door een goed uitgekristalliseerd programmeerproces. Meestal is daar te weinig tijd voor, en daarbij: het proces is dermate gecompliceerd dat fouten eigen inherent zijn aan dat proces. Problemen in de beveiliging via dit soort software-lekken zullen dus ook niet zijn te vermijden.
Het grootste probleem in het beveiligen van systemen en informatie bestaat uit de mensen die met die systemen en informatie omgaan. Procedures zijn er immers vooral om niet na te leven. Gekozen wachtwoorden worden vaak opgeschreven, wat het nut twijfelachtig maakt. En trouwens: het is belangrijk dat we weten wat het wachtwoord van onze collega is in geval van ziekte en afwezigheid, niet waar! Een Amerikaanse hacker breekt in op de site van het Witte Huis en download de totale e-mailbus van een staffunctionaris van George Bush. Volgens eigen zeggen had hij slechts een paar wachtwoorden nodig om dat doel te bereiken. Natuurlijk is een hacker een geval apart, maar hij had in dit geval nauwelijks hacking-technieken nodig om de e-mail te vinden. Of er staatsgeheimen uit naar voren kwamen is niet bekend, maar toch… Het meest pijnlijke is dat de identiteit van de hacker nog steeds onbekend is.
Als dit kan voorvallen in het land en bij de regering die informatiebeveiliging tot een credo heeft verheven, dan doet dit het ergste vrezen… Veel van dit soort acties komt in minder ernstige situaties iedere dag voor. Dat het een aantal maanden duurt voordat bij een Noorse instelling een databank toegankelijk kan worden gemaakt omdat het wachtwoord daarvoor niet gevonden kan worden is een beetje verwonderlijk als blijkt dat het de achternaam van de gepensioneerde of overleden gebruiker was in omgekeerde volgorde. Iedere hacker weet dat een dergelijk wachtwoord voor de hand ligt en zal eerst die mogelijkheden uitproberen. Het had zeker geen maanden geduurd als een specialist erbij gehaald was. Omgekeerd geeft dit voorbeeld ook aan dat de meeste gebruikers van informatiesystemen leken zijn die niet of nauwelijks bekend zijn met de achterkant van het systeem, die niet of nauwelijks op de hoogte zijn van technische middelen en tools om bijvoorbeeld een wachtwoord te achterhalen.
Het gaat dan ook vooral om de specialisten (van buiten) die weggehouden moeten worden van cruciale data. Lekken in software maken dat erg moeilijk. Daar zit dan ook het begin van de beveiligingsketen. Hoe goed ook georganiseerd, informatiebeveiliging loopt spaak als de gebruikte software te veel ‘lekken’ heeft; het is dan ook de hoogste tijd om te pleiten voor het handhaven van (nog) hogere kwaliteitsstandaards bij de softwareleveranciers. De gevolgen van softwarelekken zijn te groot om niet van leveranciers te verwachten dat de producten die ze leveren de toets van (elke) kritiek kunnen doorstaan.
November 2005