Column: Waarom beveiligingsbeleid faalt
Na een afwezigheid van vijf jaar is Security.NL columnist Peter Rietveld weer terug van weggeweest. Regelmatig zal hij columns over informatiebeveiliging en security gerelateerde onderwerpen schrijven.
Een korte introductie: Ik ben Peter Rietveld, werkzaam als specialist in de IT beveiliging sinds medio jaren '90, in de IT sinds de boom eind jaren 80. Ik werk bij Traxion, een onafhankelijk bedrijf gespecialiseerd in Identity Management. Sinds begin 2005 doe ik heel boeiend werk gedetacheerd bij defensie (DTO), als security architect.
Ik heb hiervoor projecten uitgevoerd voor onder meer Fortis, ABN/AMRO, Fokker, Debis, Interbank, het Radboud Ziekenhuis, CMG, NCRV, Justitie, Belastingdienst, het ABP en nog zo wat. Dit in zo afwisselend mogelijke rollen als ontwikkelaar, netwerkbeheerder, 3e lijner, pentester, consultant, architect, forensisch onderzoeker, project manager en lijnmanager.
Naast mijn werk ben ik al enkele jaren moderator op de security list van Kurt Seifried.
______________________________________________________________
Waarom beveiligingsbeleid faalt
Kenmerkend voor de meeste vormen van beleid is dat het de doelstellingen bepaald. Daar zit altijd een stuk gevoel in, zo van: we gaan die kant op, doen dat en dat en daarmee worden/bereiken we dat en dat. Nu kennen de meeste organisaties ook een beveiligingsbeleid. Hierin staan zinnen als: "Er zijn passende technische maatregelen genomen ter ondersteuning en aanvulling van de procedurele en organisatorische maatregelen." Nou, daar kun je wat mee. Dit soort zinnen staat garant voor eindeloze discussies, meestal met het volgende patroon: techneuten vragen apparatuur aan die ze toch al wilden hebben, en als ze er echt zin hebben, richten ze een database in. De staf bedenkt een nieuwe managementlaag, claimt resources, stemt af en treedt krachtig op, procesboeren gaan de spelers in kaart brengen en processen beschrijven. En zo ontvouwt zich het vertrouwde landschap van regels, methodieken, systemen en processen waar de IT al jaren in grossiert en waarin verdacht weinig verandert. Alleen dit keer moet het 'vanwege de beveiliging'. Is beveiliging familie van Rupsje Nooitgenoeg?
De gemiddelde organisatie beperkt het beveiligingsbeleid tot een kantje of 12. Kort en helder, raden de specialisten aan, anders zou niemand het lezen, laat staan ernaar handelen. In de regel meldt het dat we de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie borgen en als het wat nieuwer is wordt het woord processen genoemd.
Bestaande functionarissen krijgen extra doelstellingen en rollen opgelegd. Zo ontstaat een virtuele beveiligingsorganisatie die “ingebed is in de staande processen.” Klinkt prachtig, maar het betekent niet meer dan dat een boel mensen worden opgezadeld met vage doelstellingen waarvan ze geen idee hebben wat ze er mee moeten. Ondanks dat het beleid kort is, is het helemaal niet helder, wordt het niet gelezen en wordt er al helemaal niet naar gehandeld.
Voor de gemiddelde bestuurder is aan dit alles weinig eer te behalen. Met een beleid dat nauwgezet voorgeschreven is (zoals door VIR en ISO), dat in de praktijk leidt tot nog meer kansarme discussies en projecten zonder aantoonbaar nut dan je normaal al hebt, kun je je niet profileren. Het is een verplicht nummer: inwisselbaar, ongeïnspireerd en zonder draagvlak. Dat zijn de symptomen van de échte ziekte: het beleid is niet geïntegreerd met de rest van het beleid, waarmee het alleen in naam beleid is. Het is dan ook verbazingwekkend als je een manager tegenkomt die zich er bij betrokken voelt: in tien jaar informatiebeveiliging moet ík de eerste nog tegenkomen.
Maar zodra er een groot incident is, stort het kaartenhuis in elkaar. Verbazing en verwarring bij de top, want alle nodige stappen zijn toch gezet? Het kan toch niet zo zijn dat we - vul maar in - niet geregeld hebben? We hebben zoveel jaren álles gedaan en niet op geld gekeken!
Arme bestuurder. Het beleid werkt niet. Wordt het onvoldoende nauwgezet of hardnekkig uitgevoerd? Of zou het kunnen dat er iets ánders, iets veel fundamentelers, mis is? Jawel, dat zou best kunnen. Dat er iets fundamenteel mis is in de aanpak van informatiebeveiliging.
De gangbare aanpak is al in 1989 beschreven door Fites en via RFC2196 in alle handboeken beland. Het uitgangspunt is dat je assets (data, systemen, applicaties) classificeert en dan bepaalt wat er mee mis kan gaan. Je kiest vervolgens de meest waarschijnlijke scenario’s. Daar baseer je je maatregelen en beleid op.
Dit klinkt als een goed uitgangspunt, maar dat is het niet. Want: hoe weet je als schrijver van een document of als beheerder van een systeem wat een ander daarmee kan? Voor veel beheerders is een systeem veilig omdat het achter een firewall staat en er voor een hacker niets belangrijks op staat. Dus hoeven ze alleen spyware en virussen tegen te houden. Maar is dat zo? Hetzelfde geldt voor bestanden: wat voor een normale gebruiker slechts data is, kan voor een aanvaller informatie zijn. Wie zegt dat een aanvaller uit is op wat je zélf belangrijk vindt? Hoe goed kun je denken als een hacker, spion of spammer? Nooit goed genoeg. Dat maakt het uitgangspunt onbruikbaar.
Ook stap twee is niet goed: de gemiddelde beheerder of IT manager weet immers niet welke rottigheid anderen met je spullen kunnen uithalen. En zeker niet hóe ze dat zouden doen. Dus de bedreigingen waar je maatregelen tegen wilt nemen, hoe relevant zijn deze nu eigenlijk? Werken de maatregelen die je voorstelt wel? Kun je de waarschijnlijkheid van misbruik bepalen? De fout in de aanpak is dus heel fundamenteel: Garbage In, Garbage Out.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Security beleid werkt dan ook alleen maar als iedereen in de
hele organisatie er van doordrongen is dat security van
groot belang is.
In de organisatie waar je nu werkt is dat belang evident,
(het gebrek aan) security kan daar letterlijk mensenlevens
kosten. Voor andere organisaties wordt het steeds
duidelijker. Niet zo zeer in termen van mensenlevens
(hoewel... ziekenhuizen?) maar meer in termen van monetair
verlies.
niet eens is met de gangbare aanpak. Wat ik mis in het verhaal is hoe het
dan wel zou moeten en kunnen.
Ik zie trouwens dat volgens de schrijver de gangbare aanpak begint bij de
assets, ik zou beginnen bij de doelstellingen van de organisatie en de
wijze waarop de risico's worden gemanaged die de bedrijfsdoelstellingen
kunnen hinderen. Uiteindelijk kom je tot vrijwel hetzelfde technische
beveiligingsplan, maar dan wel met steun van het management en
daarmee een hogere kans op budgettering van de daadwerkelijke
implementatie. Die laatste stap wordt vaak overgeslagen bij
informatiebeveilingsplanning, vanwege budgetaire of interne poitieke
problemen.
Omgekeerd heeft de IT afdeling niet stil gezeten, de beveiliging
geimplementeerd die zij nodig achten en door miscommunicatie tussen
management, security officer en IT komt men niet tot elkander ook heeft
men dezelfde beveiligingsbehoeften.
pagina's.
Security beleid werkt dan ook alleen maar als iedereen in de
hele organisatie er van doordrongen is dat security van
groot belang is.
Kevin Mitnick's 'The art of deception' (gedeeltelijk) te
lezen. Het geeft je goede indruk hoe informatie geworven,
gebruikt en misbruikt kan worden.
heb gewerkt, en die toch echt vruchten hebben afgeworpen:
- CRAMM. Een omvangrijk traject, maar het wordt wel duidelijk hoe
bepaalde maatregelen in de eigen organisatie zijn doorgevoerd. Het
gevaar is dat als je klaar bent met invullen de premissen waarmee je
begon niet meer 100% correct zijn, maar dat is geen hele grote ramp. Het
is geen hersenchirurgie, het is beveiliging. De belangrijkste pijlers blijven
overeind.
- Risico analyse. Er kan na een analyse goed aan worden gegeven waar
de knelpunten liggen. Dit kan door een klein team worden gedaan met
grote kennis van beveiliging, huidige processen/ problemen, en
organisatiestructuur. Input van medewerkers is zeer welkom, zodat de
kennis van de huidige organisatie in de analyse wordt verwerkt. Indien
normaal wordt aangepakt werkt dit goed.
- Checklisten afwerken en gebruikers opleiden. Doordat de checklisten
95% van de belangrijkste items aanpakken is het een nuttige methode,
zeker gezien de kwaliteit van de meeste lijsten.
Zaken waar ik het niet eens mee ben zijn:
[...]
Klinkt prachtig, maar het betekent niet meer dan dat een boel mensen
worden opgezadeld met vage doelstellingen waarvan ze geen idee
hebben wat ze er mee moeten.
[...]
Dan moet je ze beter opleiden en concreter zijn. Dit ligt helemaal aan jezelf.
[...]
Het is dan ook verbazingwekkend als je een manager tegenkomt die zich
er bij betrokken voelt: in tien jaar informatiebeveiliging moet ík de eerste
nog tegenkomen.
[...]
Dan heb je nog nooit mijn huidige manager gezien. "Persuasion by fear"
werkt ook erg goed.
[...]
Hoe goed kun je denken als een hacker, spion of spammer? Nooit goed
genoeg. Dat maakt het uitgangspunt onbruikbaar.
[...]
Waarom nooit goed genoeg? Als er mensen zijn met veel verstand van
computer beveiliging en grote kennis van de interne processen, is dat wel
zeker duidelijk. Hackers zijn wat dat betreft echt niet uniek in hun gave om
zaken te begrijpen die eigen mensen met een goede security mindset niet
zouden bevatten.
[...]
de gemiddelde beheerder of IT manager weet immers niet welke
rottigheid anderen met je spullen kunnen uithalen.
[...]
Daar heb je auditors voor, alsmede penetration testers, security analisten
etc. Zolang het besef er maar is dat er iets moet gebeuren. Dat besef
ontbreekt, dat ben ik met je eens. Lastig om dat in de hoofden van
mensen te krijgen. DAAR ligt de uitdaging, de rest volgt vaak vanzelf.
situatie begrijpt bereikt de beste resultaten. Elke situatie
is anders en verandert ook steeds. Dat maakt het ontwerpen
van een goede beveiliging zo complex. Je moet rekening
houden met dingen die je nog niet kunt weten... Dat vereist
ook een heuristische aanpak op organisatorisch vlak... We
weten allemaal hoe moeilijk dat is in de beperkte wereld van
de techniek.... Laat staan in intermenselijke relaties...
Ciao,
Carlo
hoop verbeterd kan worden als het gaat om geautomatiseerde backup
systemen.Om een aantal punten van preventieve voobeelde tegeven.
Hang camera's in een data ruimte of server ruimte waar belangrijke
gegevens op staan hang deze aan een file server die 24 uur alles opslaat.
Wanneer dan iemand in de ruimte komt wordt deze gelijk herkend door
het camera systeem.
Een log systeem voor keycard readers.Dat gekoppeld is risico gevoeligen
plaatsen in gebouw. Zo kan ten alle tijden terug worden gevonden waar
een bezoeker was in het gebouw.Hang er een applicatie aan dat de
beveiliging alameerd als een bezoeker in een risico zone zich bevindt
zodat de beveiliging ok direct kan reageren en kan handelen.
Een ander voorbeeld zijn keycard readers die gekoppeld zijn aan
belangrijke servers in een data ruimten.Wanneer iemand
geautomatiseerd is met een bepaalde pas kan alleen die persoon
inloggen op de pc.Zo is het dus ook onmogelijk dat iemand met een
bezoekers pas toegang kan krijgen tot een data server.
Dit zijn hele simple manieren om blokades groter te maken die niet in een
gebouw thuis hoord.
verschrikkelijk veel geld. Want er moet WEL gewerkt kunnen
worden, productie gedraait, processen rollen enz. En dat is
er simpelweg niet. OF het maakt het productieproces of de
ondersteunende processen zo vertragend dat men onnodige hoge
risico's accepteert. IT managers zijn geen hackers. Dus die
kunnen al geen assesment maken WAT er fout kan gaan. De
eigen techneuten zijn geen hackers, dus die weten het ook
niet. Verder zijn de techneuten op IT gebied niet kundig
(genoeg) op het gebied van productie van de organsatie. Dus
kunnen ze geen inschatting maken over wat confidential is of
niet. Wat zeg ik, de meeste mensen kennen het verschil
tussen een standaard change en een change welke door een CAB
moet. Clue is dat er geen clue is... Security isn't a
mindset, security is not a journey en al helemaal geen
destination. Security is een afweging wat je denkt goed
genoeg te zijn zonder de productie teveel te verstoren. En
dus ALTIJD FOUT cq onvoldoende. Een beetje security is als
een beetje zwanger..
AS
van het netwerk te maken mag hebben.Omdat deze zo overbodig veel
werk boven op hun standaard werk krijgen waardaar door ander werk blijft
liggen.Ze zijn er gewoon simpel weg niet voor opgelegd en hebben de
kennis er niet voor in huis.Ik denk dat er een nieuwe revolutie nodig is in
het bedrijfs profiel zelf.
Wanneer er een security specialist zou aangenomen worden die alleen
maar bezig is met dichten van lekken.Een hacker het veel moeilijker
zou krijgen om zich toegang te verschaffen tot het netwerk.Tevens verdeel
je dan de werkzaamheden zodat een ITér zich alleen maar bezig hoeft te
houden met het net werk van het bedrijf waarvoor deze is opgeleid.
Dan kan een security specialist zich focusen op eventuele aanvallen van
buiten af.Of het testen van applicaties op beveiligings niveau en dit weer
door geven aan de programeurs die de patches schrijven.
Maar voor dat zo iets mogelijk is zouden er ook opleidingen voor nodig zijn.
En dat kan het nog niet omdat leraren gewoon geen kennis hebben van
bijvoorbeeld het schrijven assembly syntax.En dan is er nog een manage
ment probleem.Want waar zet je nou een security specialist neer boven of
onder een itér en hoe verloopt de communicatie met een manger.zet je ze
alle 3 als 1 team neer of zijn de iter en de security specialist samen een
team die raport uit brengen na een manger. Maar voordat het in die richting
ou gaan zijn we al in 2020 denk ik.
Het gebruik van de juiste terminologie is een leuk
uitgangspunt om de situatie van de andere kant te bekijken.
Echter, de duidelijke scheiding tussen tool, oftewel
gereedschap en methode, zoals je die stelt, is volledig
afhankelijk vanuit welk standpunt je vertrekt.
Volgens mij is een goede methode gewoon een goed stuk
gereedschap voor degene die weet er mee om te gaan. Het
betoog om bij het bepalen van de risico's eens out-the-box
denken is waar volgens mij de aandacht op gericht zou kunnen
worden.
In het door de schrijver gekleurde ervaring gekleurde
plaatje komt het nogal eens voor dat de hardware tot in het
debiele beveiligd is, terwijl de voordeur wijd open staat en
de beveiliging faalt door de deur voor je open te houden
omdat die vervelende laptoptassen anders van de kar af schuiven.
Het gaat dus niet om de methode of het gereedschap. Zonder
er op af te geven, want ik heb niets tegen een goede
methodiek; juist het 'zwaaien' met methodes en
gereedschappen voorkomt in veel gevallen dat mensen zich
bewust worden van hun rol ten aanzien van beveiliging.
Men zegt: "Ik heb niets te verbergen." En misschien is dat
ook wel zo, weten zij veel dat er mensen zijn die allerlei
nutteloze informatie samen kunnen voegen tot strings die
iets gaan betekenen zodra ze ergens ingevoerd of opgevraagd
worden?
Met andere woorden, laten we vooral ook aandacht besteden
aan al die zaken waarbij het gebruiken van eender welke
methode blikvernauwend werkt.
Ook ik mis de vervolgstap: wat moet je dan wel doen?
De code voor Informatiebeveiliging is een set van best practises. Dat lijkt
me dan toch en goede stap in de richting om beveiliging te beleggen in de
organisatie.
Er moet nu eenmaal geld worden vrijgemaakt. Beleid is daarbij
noodzakelijk.
Een groot deel van de beveiligingsmaatregelen nemen IT'ers uit eigen
beweging. Dat hoef je dus niet te regelen.
Via audits en regelmatige penetratietest haal je er periodiek zwakke
plekken uit. Heel belangijk is om dan ook de goede bevindingen de
aandacht te geven. Daarmee motiveer je je vakmensen en houd je
aandacht voor het onderwerp.
Een zeer belangrijk aandachtspunt is het gedrag van de gebruikers.
Daar lopen de meeste organisaties grote risico's. Hoe beinvloedt je dit
gedrag? Je kunt je data nog zo goed beveiligen maar hoe voorkom je dat
dat data op een USB-stick wordt geladen en op een verkeerde plaats
terechtkomt?
Wie kan me helpen aan effectieve maatregelen om het gedrag van
gebruikers te beinvloeden?
Wie heeft 1 a4-tje met IB-Beleid?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
