In de hedendaagse ontwerpen van ICT systemen wordt informatiebeveiliging niet op adequate wijze
aangepakt. Dit is één van de conclusies van Olaf Tettero in zijn proefschrift 'Intrinsic Information
Security'. Vaak richten ontwerpers zich eerst op de functionele eisen van een systeem om pas achteraf,
als het systeem al gebouwd is, de veiligheidsaspecten in ogenschouw te nemen. Tettero stelt echter vast
dat gedurende het gehele ontwerpproces rekening moet worden gehouden met beveiliging om enerzijds
de veiligheid en anderzijds het adequaat functioneren van telematica-systemen te kunnen garanderen.
Met het Information Security Embedded Design process presenteert hij een systematische benadering
om veiligheidsvraagstukken van meet af aan mee te nemen in het ontwerpproces van
telematicasystemen.

informatiebeveiliging

Het gebruik van telematicasystemen in bedrijfsprocessen (bijvoorbeeld een gedistribueerd
video-conferencing systeem) neemt flink toe. Daarmee zijn bedrijven steeds afhankelijker geworden van
het goed functioneren van deze systemen. Dit bleek onlangs opnieuw toen het I-love-you-virus op
Internet rondwaarde en her en der voor aanzienlijke schade zorgde. In het algemeen kan
informatiebeveiliging worden gekarakteriseerd door:

• vertrouwelijkheid: informatie mag alleen beschikbaar en toegankelijk zijn voor bevoegde personen;
  
• integriteit: informatie mag niet door onbevoegden worden gewijzigd of verwijderd;
  
• beschikbaarheid: bevoegden moeten tijdig de beschikking over en toegang tot de gewenste informatie
  hebben. praktijk
  In de praktijk komt het vaak voor dat beveiligingsmaatregelen pas aan telematicasystemen worden
  toegevoegd nadat deze operationeel zijn gemaakt. De ervaring leert echter dat de doelstellingen van
  bescherming hierbij vaak niet worden gehaald, omdat:
  
• de toevoegingen afwijkingen veroorzaken in de oorspronkelijke functionaliteit van het systeem;
  
• de toevoegingen de bruikbaarheid van bijvoorbeeld de gebruikersinterfaces verminderen;
  
• de toevoegingen extra verwerkingstijd vragen van gebruiker en systeem. Daarom is onderzocht hoe de
  veiligheidskwesties op een systematische manier in het ontwerpproces van telematicasystemen kunnen
  worden meegenomen. Het onderzoek van Olaf Tettero leidde tot een aanpak die Information Security
  Embedded Design process (ISED process) werd gedoopt.
  tekortkomingen ontwerpproces
  Als uitgangspunt voor het onderzoek werd het traditionele ontwerpproces zorgvuldig in kaart gebracht.
  Voor alle fasen van het proces werden activiteiten, actoren en hulpmiddelen benoemd. Vervolgens zijn
  voor alle fasen de tekortkomingen geïdentificeerd die aan het licht komen wanneer beveiligingskwesties in
  het ontwerp worden meegenomen. Die tekortkomingen kunnen als volgt worden samengevat:
  
• Het traditionele ontwerpproces richt zich hoofdzakelijk organisatorische aspecten en veronachtzaamt de
  invloed van organisatorische aspecten;
  
• Beveiligingsaspecten verschillen wezenlijk van de aspecten gerelateerd aan de primaire
  systeemfunctionaliteit;
  
• Beveiligingsaspecten worden vaak uitgesteld of veronachtzaamd. systematische aanpak
  

De systematische aanpak van het ISED proces maakt het mogelijk deze tekortkomingen op te heffen. In
het begin van het ontwerpproces ondersteunt het ISED proces bij de identificatie van risico's en
beveiligingseisen. Daarbij wordt niet alleen naar de technische aspecten gekeken, maar ook naar
omgevingsfactoren. Vervolgens structureert het ISED proces het inbedden van beveiliging in de
verschillende activiteiten van het ontwerpproces. Het helpt bij het definiëren van de ontwerpactiviteiten,
bepaalt welke actoren bij welke activiteiten betrokken moeten worden en welke hulpmiddelen daarbij
gehanteerd kunnen worden. Daarnaast bevat het ISED proces reeks middelen om kwetsbaarheden in
het ontwerp te ontdekken.
promotie

Op donderdag 8 juni aanstaande zal Olaf Tettero zijn proefschrift "Intrinsic Information Security.
Embedding security issues in the design process of telematics systems" verdedigen aan de Universiteit
Twente. Het onderzoek dat tot dit proefschrift leidde voerde hij uit bij het Telematica Instituut in
Enschede. Op dit moment werkt Tettero bij TNO Fysisch en Elektronisch Laboratorium in Den Haag,
waar hij zich bezighoudt met het evalueren van veiligheidsaspecten van IT producten.

Het proefschrift kan worden bekeken en besteld op de website van het Telematica Instituut: www.telin.nl of als pdf worden opgehaald.