Door Anoniem: Kan een systeembeheerder potentieel bij raw data via dumps of backups , buiten de auditing om? Om deze te delen aan een 'alien state actor' of 'hostile/friendly ' state actor in andere termen (take your pick)
Zijn systeembeheerders niet best wel interessant voor deze Actoren of is dit een potentieel schizofrene gedachte? ;)
Want: lijkt mij dat auditing voornamelijk voor user level is. Om komende en gaande stromen van ingehuurde werkkrachten te loggen als ze iets over iemand opvragen.. dit geld voor alle databases van de overheid, de zorg, de telecom bedrijven eigenlijk....... interessant niet waar ? Vraag mij af of iemand hier ooit al eens serieus over nagedacht heeft? ;)
Je lijkt het woord auditing te gebruiken voor het loggen van dingen. Maar een audit is het controleren van een organisatie, inclusief de IT die een organisatie gebruikt, maar ook inclusief hoe men het beheer en de toegang daarvan heeft ingericht. Dus ook wat een systeembeheerder doet, mag en kan wordt doorgelicht tijdens een audit.
Dat iemand met veel rechten op de systemen van een organisatie interessant kan zijn voor kwaadwillenden is zeker geen rare gedachte. Niet alleen voor statelijke actoren, denk ook aan georganiseerde misdaad. Ik heb voor een bedrijf gewerkt waar veel te halen was waar het voorkwam dat georganiseerde misdaad mensen via uitzendbureaus het bedrijf in probeerde te krijgen. Kennelijk ook wel eens met succes, want ik heb daar uit de eerste hand gehoord hoe iemand een vervalste opdracht die veel geld had kunnen kosten, compleet met een overtuigend nagemaakte handtekening van het hoofd van de directie eronder, via de interne post had ontvangen. De bedrijfscultuur was daar niet dat mensen bij een hint van de grote baas meteen gingen rennen om te zorgen dat het voor elkaar kwam, maar nadachten en vragen stelden. Één vraag aan het hoofd van de directie maakte meteen duidelijk dat die de opdracht niet had gegeven, en die werd dus niet uitgevoerd maar daar werd de politie bijgehaald — met uiteindelijk een spectaculaire ontknoping in een ander land waarbij de criminelen in een val liepen die voor hun was uitgezet.
Zulke dingen gebeuren dus echt, en mensen met veel rechten op IT-systemen zijn natuurlijk interessant. Maar aangezien alles tegenwoordig via netwerken met elkaar verbonden is, en vaak in de cloud staat, is het veiliger en eenvoudiger voor de criminelen en statelijke actoren om met phishing, malware en hacks ergens virtueel binnen te komen dan om het via fysieke aanwezigheid. Maar een corrupte systeembeheerder is een mogelijkheid die je ook weer niet moet uitsluiten.
Een manier om risico's te verkleinen is om zo min mogelijk mensen vergaande rechten te geven op systemen. Er zijn diverse systeembeheertaken. Maak daar specialisaties van en geef mensen alleen de rechten die ze voor hun taken nodig hebben. Wie een OS installeert hoeft geen rechten binnen een DBMS te hebben, bijvoorbeeld, en vice versa. Er kan, zoals al genoemd is, met het vierogenprincipe gewerkt worden: organiseer het werk zo dat taken altijd door twee mensen worden uitgevoerd. Daar kan je ver in gaan als het moet: taken waar volledige rechten op een systeem voor nodig zijn kunnen alleen uitgevoerd worden vanuit een ruimte waar nooit alleen gewerkt mag worden. In andere ruimtes is de benodigde toegang simpelweg niet beschikbaar. Controleer actief dat mensen in die ruimte ook echt nooit alleen werken. Dan heb je twee rotte appels nodig die samenwerken voordat het misgaat.
Behalve technische en organisatorische maatregelen is ook de bedrijfscultuur een factor, zoals mijn voorbeeld van de vervalste opdracht illustreert. Het helpt enorm als een organisatie bedachtzaamheid stimuleert, kritische vragen waardeert, als de sfeer en werkwijze ernaar is dat mensen goed van elkaar door krijgen wat ze aan elkaar hebben. Een bedrijf dat hart voor zijn medewerkers heeft levert medewerkers met hart voor de zaak op. Dat vergroot de kans dat dingen die niet kloppen aan het licht komen en aangepakt kunnen worden aanzienlijk, want medewerkers met hart voor de zaak kan het echt wat schelen als ze iets niet goed zien gaan, en onderschat niet hoe veel er wordt opgemerkt door betrokken medewerkers. Niet alles, maar wel veel.
Je vraagt je af of iemand ooit al serieus heeft nagedacht over dit soort dingen. Reken maar dat daarover wordt nagedacht, en dat gebeurt al veel langer dan wij leven en dan er geautomatiseerd wordt, want problemen met criminaliteit en onbetrouwbare medewerkers zijn van alle tijden. Maar dat wil niet zeggen dat er altijd en overal goed over wordt nagedacht, en de niet aflatende druk om altijd maar dingen goedkoper te doen en uit te kleden tot het minimum dat nodig is om het draaiende te houden werkt ongelukken in de hand: feitelijk gaan organisaties onder dat minimum zitten en komen ze daar pas achter als ze een keer goed op hun bek gaan. Dat gaat ook in het groot mis: de problemen met supply chains door de Covid-pandemie zijn daar een voorbeeld van.