Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Netwerk beveiliging
Beste security professionals,
Ik ben onderdeel van een initiatiefgroep voor een nieuw jongerencentrum. Nodeloos om te zeggen komt hier veel bij kijken en worden wij nauw in de gaten gehouden door onze lokale gemeente maar ik zal jullie niet vervelen met de politieke rompslomp.
Een belangrijk en essentieel onderdeel van onze (toekomstige) organisatie is uiteraard informatievoorziening. momenteel zijn wij op een punt aangekomen waar onze operationele zaken in detail op papier gezet moeten worden en is ons gevraagd om inhoudelijk in te gaan op IT.
Binnen het jongerencentrum zal er een klein it netwerk zijn waar alle informatie in wordt opgeslagen. Hieronder vallen ook belangrijke gegevens waaronder ''vertrouwelijke documenten'' en persoonsgegevens. Deze dienen uiteraard voldoende beveiligd te zijn. op een aantal beroepskrachten na zullen er ook een aantal vrijwillige medewerkers (beperkt) toegang hebben tot het netwerk zodat zij hierop kunnen werken. Echter achten wij iedereen die gebruikt maakt van het netwerk als een potentieel risico. Wat wij willen is om bepaalde gegevens expliciet en alleen op netwerk houden en de mogelijkheid tot het kopieren hiervan uitsluiten.
Naast het feit dat wij zullen werken met een beperkt aantal vergrendelde media dragers die enkel door onze organisatie verstrekt zullen worden vroeg ik mij af of er meer mogelijkheden zijn om bestanden te beveiligen tegen kopieren.
De bedoeling is namelijk wel dat dergelijke bestanden geopend en bewerkt kunnen worden op het netwerk. Ze mogen enkel niet gekopierd worden. Enig idee hoe wij dergelijke bestanden kunnen beveiligen tegen kopieren?
Ik ben onderdeel van een initiatiefgroep voor een nieuw jongerencentrum. Nodeloos om te zeggen komt hier veel bij kijken en worden wij nauw in de gaten gehouden door onze lokale gemeente maar ik zal jullie niet vervelen met de politieke rompslomp.
Een belangrijk en essentieel onderdeel van onze (toekomstige) organisatie is uiteraard informatievoorziening. momenteel zijn wij op een punt aangekomen waar onze operationele zaken in detail op papier gezet moeten worden en is ons gevraagd om inhoudelijk in te gaan op IT.
Binnen het jongerencentrum zal er een klein it netwerk zijn waar alle informatie in wordt opgeslagen. Hieronder vallen ook belangrijke gegevens waaronder ''vertrouwelijke documenten'' en persoonsgegevens. Deze dienen uiteraard voldoende beveiligd te zijn. op een aantal beroepskrachten na zullen er ook een aantal vrijwillige medewerkers (beperkt) toegang hebben tot het netwerk zodat zij hierop kunnen werken. Echter achten wij iedereen die gebruikt maakt van het netwerk als een potentieel risico. Wat wij willen is om bepaalde gegevens expliciet en alleen op netwerk houden en de mogelijkheid tot het kopieren hiervan uitsluiten.
Naast het feit dat wij zullen werken met een beperkt aantal vergrendelde media dragers die enkel door onze organisatie verstrekt zullen worden vroeg ik mij af of er meer mogelijkheden zijn om bestanden te beveiligen tegen kopieren.
De bedoeling is namelijk wel dat dergelijke bestanden geopend en bewerkt kunnen worden op het netwerk. Ze mogen enkel niet gekopierd worden. Enig idee hoe wij dergelijke bestanden kunnen beveiligen tegen kopieren?
Reacties (14)
18-03-2013, 15:19 door
Whoops
Door Murony: De bedoeling is namelijk wel dat dergelijke bestanden geopend en bewerkt kunnen worden op het netwerk. Ze mogen enkel niet gekopierd worden. Enig idee hoe wij dergelijke bestanden kunnen beveiligen tegen kopieren?
Zodra iets op het scherm is weergegeven, kan niemand garanderen dat het niet is gelekt.Waterdichte oplossingen bestaan simpelweg niet.
Maakt het wel zo moeilijk mogelijk:
- Netwerk niet aan het internet koppelen (bestanden uploaden onmogelijk).
- Geen fysieke toegang tot de computers (USB sticks of een schijfje branden onmogelijk)
- Geen losse bestanden gebruiken (Word, Excel, etc) (Leesrechten maakt kopieren per definitie mogelijk).
- Gebruik een informatiesysteem (Server met database. Frontend met beveiligde verbinding haalt de gegevens op).
- Telefoons verbieden (Mensen kunnen altijd foto's maken van het scherm, zo lekt vaak gevoelige data).
Belangrijkste: Don't reinvent the wheel.
Als het puur om persoonsdossiers gaat, overweeg een zorginformatiesystem, bijvoorbeeld MicroHIS.
Heb je meteen een stukje certificering binnen (bewijs van zorgvuldigheid indien iets onverhoopt lekt).
Tot slot: Eis een Verklaring Omtrent het Gedrag (VOG) van de gebruikers. Juridisch gezien wel zo handig.
18-03-2013, 15:27 door
AcidBurn
Zet alle bestanden in een beheer systeem - op die manier kun je rechten beheren (wie mag er wel / niet bij) en direct inzien als iemand bestanden download (kopieert).
Een van onze klanten gebruikt deze:
http://www.openkm.com/en/
Een van onze klanten gebruikt deze:
http://www.openkm.com/en/
Of een security aware ITer inhuren voor dit vraagstuk aangezien er veel is wat men over het hoofd kan zien en men toch verantwoordelijk zal zijn voor het al dan niet op straat liggen van persoonlijke informatie.
18-03-2013, 15:37 door
Whoops
Door AcidBurn: Zet alle bestanden in een beheer systeem - op die manier kun je rechten beheren (wie mag er wel / niet bij) en direct inzien als iemand bestanden download (kopieert).
In het geval van persoonsgegevens is het gebruik van losse bestanden absoluut "not done".Sterker nog, mocht iets lekken, wordt de verantwoordelijk gegarandeerd nalatigheid verweten!
Zorgverleners en huisartsen die werken op basis van een Excel worden zelfs berispt!
18-03-2013, 15:40 door
AcidBurn
Door Whoops:
Sterker nog, mocht iets lekken, wordt de verantwoordelijk gegarandeerd nalatigheid verweten!
Zorgverleners en huisartsen die werken op basis van een Excel worden zelfs berispt!
Door AcidBurn: Zet alle bestanden in een beheer systeem - op die manier kun je rechten beheren (wie mag er wel / niet bij) en direct inzien als iemand bestanden download (kopieert).
In het geval van persoonsgegevens is het gebruik van losse bestanden absoluut "not done".Sterker nog, mocht iets lekken, wordt de verantwoordelijk gegarandeerd nalatigheid verweten!
Zorgverleners en huisartsen die werken op basis van een Excel worden zelfs berispt!
Mee eens, ik weet echter niet in hoeverre dat geld voor bovengenoemde partij. OpenKM is een mooi begin (gezien het beperkte budget) om het in de hand te houden en kan later bijvoorbeeld door een Sharepoint oplossing worden opgevolgd. OpenKM heeft ook de mogelijkheid om bestanden direct in het systeem te bewerken (dus geen losse 'files' meer).
18-03-2013, 15:54 door
Whoops
Door AcidBurn: (gezien het beperkte budget).
Een beperkt budget geeft geen vrijkaartje...Voor bedrijven:
Stel dat iemands creditcard lekt, dan kan diegene een nieuwe
creditcard aanvragen en het probleem is weer opgelost.
Voor zorgverleners:
Stel dat iemand kampt met psychische problemen,
en deze gegevens komen onverhoopt op straat,
dan blijft dat diegene voor altijd achtervolgen.
Kortom, dosiers dienen altijd optimaal te worden beschermd!
Te weinig budget? Meer budget vinden of afzien van het project.
Door AcidBurn: OpenKM is een mooi begin
Geen mooi begin, hooguit het begin van een hoop ellende.OpenKM of SharePoint kunnen nooit de benodigde beveiliging bieden.
Daarbij zijn de goedkopere informatiesystemen, zoals gebruikt in het
gemiddelde zorgcentrum, niet exorbitant duur. En heb je meteen
voldaan aan de zorvuldigheidseisen omtrent het beheeer.
Netwerk niet aan het internet koppelen (bestanden uploaden onmogelijk).
Ja - bestanden uploaden onmogelijk. Maar patches downloaden ook. En e-mailen en whatever we allemaal tegenwoordig belangrijk vinden. Security is iets dat je mensen moet verkopen, anders zien ze het nut er niet van in en doen ze het niet. Door internet niet toe te staan op machines wordt 't allemaal wel veiliger, maar zal niemand het gebruiken...
19-03-2013, 12:35 door
Murony
Bedankt voor alle reacties. Naar aanleiding hiervan maakt ik op dat dergelijke vertrouwelijke gegevens het beste buiten het gewone netwerk gehouden kunnen worden.
Is het naar jullie mening een oplossing om deze gegevens centraal te houden op 1 computer die niet verbonden is met het netwerk? Hier zal het dus daadwerkelijk gaan om een losse op zichzelf staande computer die niet verbonden is met internet.
Op deze manier kan er nog steeds gewerkt worden met de gegevens (zei het beperkt) en is de mogelijkheid tot kopieren redelijk uitgesloten.
De eerder genoemde foto's maken van een beeldscherm is niet tegen te houden in mijn ogen. Echter vind er in het gehele pand en dus ook in de kantoor ruimtes camera bewaking plaats. als blijkt dat dergelijke gegevens gelekt zijn is het dus mogelijk deze terug te zien en een eventuele dader aan te pakken.
Is het naar jullie mening een oplossing om deze gegevens centraal te houden op 1 computer die niet verbonden is met het netwerk? Hier zal het dus daadwerkelijk gaan om een losse op zichzelf staande computer die niet verbonden is met internet.
Op deze manier kan er nog steeds gewerkt worden met de gegevens (zei het beperkt) en is de mogelijkheid tot kopieren redelijk uitgesloten.
De eerder genoemde foto's maken van een beeldscherm is niet tegen te houden in mijn ogen. Echter vind er in het gehele pand en dus ook in de kantoor ruimtes camera bewaking plaats. als blijkt dat dergelijke gegevens gelekt zijn is het dus mogelijk deze terug te zien en een eventuele dader aan te pakken.
19-03-2013, 12:54 door
Whoops
Door Murony: Is het naar jullie mening een oplossing om deze gegevens centraal te houden op 1 computer die niet verbonden is met het netwerk? Hier zal het dus daadwerkelijk gaan om een losse op zichzelf staande computer die niet verbonden is met internet.
Lijkt mij de makkelijste en vooral goedkoopste oplossing. Ook weinig beheer nodig!Tip: Denk ook alvast na over een veilig en betrouwbaar backup protocol.
Door Anoniem: Ja - bestanden uploaden onmogelijk. Maar patches downloaden ook.
Ooit van WSUS of AutoPatcher gehoort? Updates op een internet-vrij netwerk is absoluut geen probleem...Door Anoniem: En e-mailen en whatever we allemaal tegenwoordig belangrijk vinden
Ja, maar "belangrijk vinden" en "belangrijk zijn" is een groot verschil...Een datalek riskeren omdat iemand zonodig z'n Facebook moet kunnen checken is waanzin.
Professionals die werken met gevoelige data hebben op dat moment geen internet nodig.
Gewoon een tweede systeem aanbieden met alle "voor de leuk en handig" dingen.
Een internetloos en fysiek ontoegankelijk systeem is de goedkoopste en meest betrouwbare oplossing.
Een standalone pc is inderdaad beter dan aan het netwerk. Denk dan wel na over fysieke beveiliging en zorg voor harddisk encryptie. Mocht je fysieke beveiliging falen dan kan men niet gelijk bij de gegevens komen (mits de pc uit stond...)
19-03-2013, 13:57 door
AcidBurn
Lijkt mij de makkelijste en vooral goedkoopste oplossing. Ook weinig beheer nodig!
Tip: Denk ook alvast na over een veilig en betrouwbaar backup protocol
Tip: Denk ook alvast na over een veilig en betrouwbaar backup protocol
Lijkt mij toch wel de meest knullige oplossing - hoe lang moet je wachten tot iemand weer met USB sticks in het apparaat zit? Dat is vragen om problemen!
19-03-2013, 14:02 door
Whoops
Door AcidBurn: Lijkt mij toch wel de meest knullige oplossing - hoe lang moet je wachten tot iemand weer met USB sticks in het apparaat zit? Dat is vragen om problemen!
Daarbij ga ik er natuurlijk vanuit dat het systeem niet fysiek toegangelijk is,zoals beschreven in mijn vorige posts....
Natuurlijk geen perfecte oplossing, maar wel in het geval van geen budget en weinig kennis.
Wat nog belangrijk kan zijn, op juridisch gebied, is elk individu die met deze vertrouwelijke gegevens werken,
een geheimhoudings verklaring te laten tekenen.
Overigens kunnen we allemaal wel spammen met mogelijkheden, maar daar zal hij niet veel aan hebben
gezien zijn infrastructuur ons onbekend is. Het is belangrijk om te beseffen dat elk voordeel zijn nadeel heeft,
en daarbij goed moet beseffen dat elk idee die hier gegeven wordt niet altijd de beste is gezien dit geheel
afhankelijk is van hoe jou infrastructuur in elkaar zit.
Wat je bijvoorbeeld moeten weten is het volgende:
- Wat is je budget? (ongeveer)
- Ben je bekend met de risico's van open source software?
- Werk je met windows of linux clients?
- Gebruik je interne of externe servers?
- Zijn dit windows of linux servers?
- Maak je gebruik van Flex werkplekken of staat de OS los op de client pc geinstalleerd?
- Wil je bepaalde websites kunnen blokkeren? (proxy servert)
- Beschik je over een fysieke firewall? e.g. Watchguard (dure oplossing), of monowall (open source)
- Wil je gebruik maken van vLan's?
Hoe je netwerk fysiek in elkaar zit wil je natuurlijk niet openbaar maken gezien het om vertrouwlijke gegevens gaat.
Maar dit zijn natuurlijk wel vrij belangrijke punten om op te nemen. Als deze vragen je (nog) onbekend zijn, of je hebt hier totaal geen ervaring mee, dan is het wellicht verstandig iemand in te huren, of te vragen in jou omgeving om je hiermee te helpen.
1. Wat je om te beginnen wilt hebben, is een goed netwerk beveiliging. Dit kan je het beste doen door een
fysieke firewall te gebruiken, en vervolgens daarmee het internet/intranet toegang te regelen. Eventueel vLans aan maken.
2. Vervolgens wil je 1 centrale opslag medium hebben NAS (Network Attached Storage Device), waarbij
3. de toegang wordt beheerd door een Active Directory omgeving. Dit kan zowel door een windows als linux server.
Zorg hierbij ervoor dat wat er met elk bestandje op de NAS gebeurt, elke actie die wordt uitgevoerd, wordt opgeslagen
in een logboek, met het juiste ip & mac address om zo te kunnen zien vanaf welke client deze actie is uitgevoerd.
4. Maak in de active directory group policies aan om zo de rechten van elke gebruiker te kunnen bepalen.
5. Voor vaste medewerkers wil je dat zij niks op een fysieke medium kunnen op slaan, maak dus gebruik van roaming
profiles, zorg ervoor dat deze profiles op de NAS staan, en blokkeer het opslaan van bestanden op de client en alle
usb apparaten zelf.
6. Wil je kunnen bepalen welke websites er wel of niet mogen worden bekeken, dan zou je kunnen overwegen om een proxy
server te kunnen gebruiken, waardoor al het netwerk verkeer (internet) langs gaat.
7. Wi-fi is sterk af te raden gezien je met vertrouwlijke gegevens werkt. Niet aan beginnen dus, of zorgen
dat dit een guest network is, die totaal gescheiden is van jou infrastructuur.
Op deze manier maak je het voor een hacker en "medewerker" al moeilijk genoeg om zomaar bestanden te stelen.
Succes!!
een geheimhoudings verklaring te laten tekenen.
Overigens kunnen we allemaal wel spammen met mogelijkheden, maar daar zal hij niet veel aan hebben
gezien zijn infrastructuur ons onbekend is. Het is belangrijk om te beseffen dat elk voordeel zijn nadeel heeft,
en daarbij goed moet beseffen dat elk idee die hier gegeven wordt niet altijd de beste is gezien dit geheel
afhankelijk is van hoe jou infrastructuur in elkaar zit.
Wat je bijvoorbeeld moeten weten is het volgende:
- Wat is je budget? (ongeveer)
- Ben je bekend met de risico's van open source software?
- Werk je met windows of linux clients?
- Gebruik je interne of externe servers?
- Zijn dit windows of linux servers?
- Maak je gebruik van Flex werkplekken of staat de OS los op de client pc geinstalleerd?
- Wil je bepaalde websites kunnen blokkeren? (proxy servert)
- Beschik je over een fysieke firewall? e.g. Watchguard (dure oplossing), of monowall (open source)
- Wil je gebruik maken van vLan's?
Hoe je netwerk fysiek in elkaar zit wil je natuurlijk niet openbaar maken gezien het om vertrouwlijke gegevens gaat.
Maar dit zijn natuurlijk wel vrij belangrijke punten om op te nemen. Als deze vragen je (nog) onbekend zijn, of je hebt hier totaal geen ervaring mee, dan is het wellicht verstandig iemand in te huren, of te vragen in jou omgeving om je hiermee te helpen.
1. Wat je om te beginnen wilt hebben, is een goed netwerk beveiliging. Dit kan je het beste doen door een
fysieke firewall te gebruiken, en vervolgens daarmee het internet/intranet toegang te regelen. Eventueel vLans aan maken.
2. Vervolgens wil je 1 centrale opslag medium hebben NAS (Network Attached Storage Device), waarbij
3. de toegang wordt beheerd door een Active Directory omgeving. Dit kan zowel door een windows als linux server.
Zorg hierbij ervoor dat wat er met elk bestandje op de NAS gebeurt, elke actie die wordt uitgevoerd, wordt opgeslagen
in een logboek, met het juiste ip & mac address om zo te kunnen zien vanaf welke client deze actie is uitgevoerd.
4. Maak in de active directory group policies aan om zo de rechten van elke gebruiker te kunnen bepalen.
5. Voor vaste medewerkers wil je dat zij niks op een fysieke medium kunnen op slaan, maak dus gebruik van roaming
profiles, zorg ervoor dat deze profiles op de NAS staan, en blokkeer het opslaan van bestanden op de client en alle
usb apparaten zelf.
6. Wil je kunnen bepalen welke websites er wel of niet mogen worden bekeken, dan zou je kunnen overwegen om een proxy
server te kunnen gebruiken, waardoor al het netwerk verkeer (internet) langs gaat.
7. Wi-fi is sterk af te raden gezien je met vertrouwlijke gegevens werkt. Niet aan beginnen dus, of zorgen
dat dit een guest network is, die totaal gescheiden is van jou infrastructuur.
Op deze manier maak je het voor een hacker en "medewerker" al moeilijk genoeg om zomaar bestanden te stelen.
Succes!!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
