Basiskennis - Technische beveiligingmaatregelen(ICT-beveiliging)

Uit IBpedia

Inhoud 1 Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia 2 Technische maatregelen (ICT-beveiliging) 2.1 Beheer van bedrijfsmiddelen 2.1.1 Afspraken over omgaan met bedrijfsmiddelen 2.1.2 Wat zijn bedrijfsmiddelen 2.1.3 Het gebruik van bedrijfsmiddelen 2.1.4 Classificatie 2.2 Logisch toegangsbeheer 2.2.1 Discretionary Access Control (DAC) 2.2.2 Mandatory Access Control (MAC) 2.2.2.1 Verlenen van toegang 2.2.2.2 Bewaken van toegang 2.3 Beveiligingseisen voor informatiesystemen 2.3.1 Correcte verwerking in toepassingen 2.3.2 Validatie van in- en uitvoergegevens 2.4 Cryptografie 2.4.1 Cryptografiebeleid 2.4.2 Sleutelbeheer 2.5 Soorten cryptografische systemen 2.5.1 Symmetrisch 2.5.2 Asymmetrisch 2.5.3 Public Key Infrastructure 2.5.4 Eenrichtingsvercijfering 2.6 Beveiliging van systeembestanden 2.6.1 Bescherming van testdata 2.6.2 Toegangsbeheer voor broncode van programmatuur 2.6.3 Beveiliging bij ontwikkelings- en ondersteuningsprocessen 2.7 Uitlekken van informatie 2.7.1 Uitbesteden van ontwikkeling van programmatuur 2.8 Samenvatting 2.9 0 Casus 3 Gerelateerde IBpedia artikelen

Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia

Dit wiki-hoofdstuk is door vier leden van het PvIB gesschreven om het algehele beveiligingsbewustzijn te vergroten en om te dienen als examenstof voor de opleidingsmodule ISFS. Gegeven de Creative Commons licentie van dit boek kunt u de hoofdstukken uit dit wiki-boek in dezelfde schrijfstijl aanvullen en indien nodig corrigeren. Het voorwoord en informatie over de schrijvers van het oorspronkelijke boek kunt u lezen via (Downloadlink voor het boek).

Kennisportaal IBpedia is een gemeenschappelijke Wiki voor informatiebeveiliging en digitale architectuur. Het is ontstaan vanuit de behoefte om vrije kennisdeling over informatiebeveiliging en digitale architectuur op een hoger niveau te brengen en een aanvulling op bestaande gemeenschappen en non-profit organisaties.

Technische maatregelen (ICT-beveiliging)

Inleiding Uit een risicoanalyse komen technische beveiligingsmaatregelen voort. De maatregelen bevinden zich op het vlak van fysieke beveiliging, die veelal ook technisch van aard zijn, maar ook op het gebied van de beveiliging van de ICT-infrastructuur. Dit hoofdstuk gaat in op het beheer van de bedrijfsmiddelen, de beveiliging van de ICT-infrastructuur en de beveiliging van de data tegen ongewenste inzage door middel van toegangscontrole en door middel van cryptografische toepassingen. De correcte werking van een toepassing en de correcte verwerking van informatie komen ook aan bod. Informatie moet betrouwbaar zijn. Wat hebben we aan informatie wanneer we er niet op kunnen vertrouwen dat die informatie juist en volledig is?

Hoewel informatiesystemen niet per definitie geautomatiseerde systemen zijn, zien we in de praktijk wel steeds vaker dat geautomatiseerde systemen een belangrijke rol spelen in de informatievoorziening. Daardoor speelt de beveiliging van deze geautomatiseerde systemen en de daarbij behorende infrastructuur in toenemende mate een belangrijke rol. ICT-beveiliging richt zich dan ook hoofdzakelijk op het beveiligen van de ICT-infrastructuur. Dit hoofdstuk gaat in op de beveiligingsmaatregelen die op het ICT-vlak genomen kunnen worden.

Beheer van bedrijfsmiddelen

Een van de manieren om risico’s te beheersen c.q. te managen is door controle uit te oefenen op veranderingen die mogelijk risicovol zijn. Deze controle kan op verschillende manieren ingevuld worden. Er zijn verschillende modellen en methoden die handvatten geven voor het uitoefenen van controle, denk bijvoorbeeld aan COBIT™ en ITIL^®. In elk van de toegepaste modellen of methoden is een aantal basiselementen te vinden die helpen deze controle uit te kunnen oefenen. De basiselementen zijn:

• Afspraken over hoe met bedrijfsmiddelen omgegaan wordt;
• Afspraken (processen) over hoe veranderingen tot stand komen;
• Afspraken over wie de wijzigingen (changes) mag initiëren en uitvoeren en hoe de wijzigingen getest zullen worden.

Een valkuil bij het vastleggen van deze, initieel vaak als bureaucratisch geïnterpreteerde, afspraken is dat deze tot doel worden verheven, in plaats van de nadruk te leggen op de betekenis.

COBIT™ staat voor: Control Objectives for Information and related Technology en is een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving.

ITIL^® staat voor: Information Technology Infrastructure Library en is ontwikkeld als een referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie.

Afspraken over omgaan met bedrijfsmiddelen

Het doel van het vastleggen hoe met bedrijfsmiddelen omgegaan moet worden is het voorkomen van fouten door verkeerd gebruik. Verkeerd gebruik kan ook tot onnodige schade leiden. Denk hierbij alleen maar aan een simpel voorschrift om geen papier met metaal (zoals paperclips en nietjes) in een papierversnipperaar te doen. Hoe complexer middelen worden hoe nuttiger het is duidelijke gebruiksaanwijzingen en instructies op te stellen.

Wat zijn bedrijfsmiddelen

Bedrijfsmiddelen zijn noodzakelijk voor een organisatie. Bedrijfsmiddelen kosten geld of vertegenwoordigen een bepaalde waarde. Bedrijfsmiddelen zijn onder andere:

• Informatie in de vorm van bijvoorbeeld documenten, databases, contracten, systeemdocumentatie, procedures, handleidingen, systeemlogs, plannen en handboeken;
• Programmatuur zoals systeemprogrammatuur, gebruikersprogrammatuur en ontwikkelprogrammatuur;
• Apparatuur zoals servers, pc’s, netwerkcomponenten en bekabeling;
• Media;
• Diensten;
• Mensen en hun kennis;
• Immateriële zaken zoals imago of reputatie van de organisatie.

Bedrijfsmiddelen hebben een classificatie nodig om er beveiligingsniveaus voor te kunnen vaststellen. De eigenaar dient hier voor te zorgen. Ieder bedrijfsmiddel moet een eigenaar hebben.

Een goede registratie van bedrijfsmiddelen is noodzakelijk voor de risicoanalyse, zie : Dreigingen en risico’s (risicoanalyse). Daarnaast is registratie soms nodig voor de verzekering, financiële verantwoording en wettelijke vereisten (bijvoorbeeld registratie persoonsgegevens bestanden in het kader van de Wet Bescherming Persoonsgegevens (WBP). Registraties van bedrijfsmiddelen worden bij voorkeur twee maal per jaar gecontroleerd en hiervan wordt een verslag gemaakt voor het management.

De informatie die vastgelegd wordt over bedrijfsmiddelen is:

• Soort, type bedrijfsmiddel;
• Eigenaar;
• Locatie;
• Formaat;
• Classificatie;
• Bedrijfswaarde.
• Deze informatie is nodig voor bijvoorbeeld herstel na een incident of calamiteit.

De eigenaar is iemand die verantwoordelijk is voor een bedrijfsproces of deelproces of bedrijfsactiviteit en draagt zorg voor alle aspecten van de bedrijfsmiddelen. Denk hierbij aan de beveiliging, het beheer, de productie of de ontwikkeling.

Het gebruik van bedrijfsmiddelen

Het gebruik van bedrijfsmiddelen is aan regels gebonden. Deze regels zijn bijvoorbeeld vastgelegd in een handleiding, maar ook in hoe om te gaan met mobiele apparatuur wanneer deze buiten de organisatie wordt gebruikt.

Classificatie

Allereerst een paar begrippen:

Classificeren is het indelen van informatie naar gevoeligheid;

Rubricering is de classificatie die aan informatie wordt toegekend, zoals geheim, confidentieel, en personeelsvertrouwelijk. De term rubriceren wordt vaak binnen de overheid gebruikt;

Merking is een bijzondere aanduiding, bijvoorbeeld een indeling naar zaak of organisatie of kring van gerechtigden.

De eigenaar is degene die verantwoordelijk is voor een bedrijfsmiddel. Een folder op het netwerk kan bijvoorbeeld een eigenaar hebben. Wanneer iemand toegang wil tot de informatie in die folder, moet de eigenaar daar toestemming voor geven. Van een laptop wordt meestal de gebruiker geregistreerd als eigenaar.

De eigenaar van een bedrijfsmiddel kent hieraan een juiste rubricering toe volgens een vooraf afgesproken lijst met classificaties. De rubricering geeft aan welke vorm van beveiliging noodzakelijk is. Dit wordt onder andere bepaald door gevoeligheid, waarde, wettelijke eisen en belang voor de organisatie. De rubricering is in overeenstemming met de wijze waarop het bedrijfsmiddel wordt gebruikt in het bedrijf. De eigenaar van het bedrijfsmiddel zorgt ook voor herclassificatie als dat nodig is. Als binnen een bedrijf of organisatie bedrijfsmiddelen zijn geclassificeerd kan alleen de eigenaar deze classificatie verlagen of hiervoor toestemming te geven. Bijvoorbeeld informatie wordt geclassificeerd als vertrouwelijk tot het moment van publicatie. Daarna wordt de classificatie verlaagd; de informatie is immers publiek geworden.

Als een bedrijfsmiddel een rubricering heeft, wordt het gemerkt of gelabeld. Dit kan fysiek, zichtbaar op het bedrijfsmiddel, of erin, zoals bij elektronische documenten, databases, records, berichten, op het beeldscherm waar de informatie staat en tenslotte verzendkanalen. Bij documenten kan een maatregel zijn dat de rubricering aan de boven- en onderzijde is opgenomen. Alle documenten met geclassificeerde informatie horen een exemplaar- of versienummer te hebben en iedere pagina is genummerd. Het moet ook duidelijk zijn uit hoeveel pagina’s het gehele document bestaat. Dit is wel een vrij zware maatregel, te meer omdat maatregelen ook gecontroleerd moeten kunnen worden.

Binnen de overheid worden rubriceringen gebruikt die te vinden zijn in het document VIR-BI (Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie). Deze zijn: Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim, Staatsgeheim Zeer Geheim.

De rubricering kan worden aangevuld met een merking. Door middel van een merking kan een specifieke kring van gerechtigden worden aangegeven.

Een voorbeeld hiervan is: Politie Zeer Vertrouwelijk, Crypto.

Een document met deze rubricering en merking is alleen bedoeld voor behandeling door personeel met een autorisatie voor het werken met encryptiemiddelen. Binnen de overheid worden mensen gescreend tot het niveau dat de classificatie aangeeft. Daarnaast worden nog andere richtlijnen gehanteerd, zoals toegang tot informatie op basis van ’need to know’ en uiteraard een ’clean desk policy’.

De eigenaar stelt vast wie toegang heeft tot welke gemerkte bedrijfsmiddelen. De rubricering van een bedrijfsmiddel bepaalt ook hoe deze fysiek opgeslagen mag worden. Hiervoor worden bedrijfspanden soms in compartimenten ingedeeld, met per compartiment verschillende beveiligingseisen en toenemende beveiliging, zie: In de ban van de ring.

Het gebruik van een rubricering is erg lastig te implementeren in een organisatie omdat mensen er bij na moeten denken om ze goed toe te passen. Er kan ook voor worden gekozen alle niet-geclassificeerde informatie niet te voorzien van een rubricering. Deze informatie is openbaar.

Logisch toegangsbeheer

Logisch toegangsbeheer betreft het verlenen van toegang tot digitale informatie en informatiediensten aan die personen die daartoe geautoriseerd zijn, maar ook het voorkomen dat niet-gerechtigden toegang krijgen tot deze digitale informatie. De eigenaar van de gegevens, over het algemeen een manager, zal in het autorisatieproces de autorisatie verlenen. Deze autorisatie kan door software automatisch verwerkt worden of door de systeem/applicatie beheerder worden verleend.

Discretionary Access Control (DAC)

Bij Discretionary Access Control ligt het besluit om toegang te verlenen tot informatie bij de individuele eindgebruiker. Een voorbeeld hiervan is anderen toegang geven op de eigen home directory. Een ander voorbeeld is het versturen van informatie aan personen die niet zelf direct toegang hebben tot deze informatie. Omdat dit een flexibele vorm van toegangscontrole is, is deze moeilijk te controleren en is de informatie moeilijk te beveiligen.

Mandatory Access Control (MAC)

Bij mandatory access control wordt centraal bepaald en gereguleerd welke personen en systemen toegang krijgen tot informatiesystemen.

Verlenen van toegang

Bij het verlenen van toegang wordt vaak onderscheid gemaakt tussen identificatie, authenticatie en autorisatie. Identificatie is de eerste stap in het toegangsverleningsproces. Bij de identificatie biedt de persoon of het systeem een token aan, bijvoorbeeld een sleutel of gebruikersnaam/wachtwoord. Vervolgens bepaalt het systeem waar toegang tot verkregen moet worden en of het token authentiek is. Zodra dit is vastgesteld kunnen autorisaties toegekend worden.

In de praktijk Bij de grensbewaking op het vliegveld bied ik ter identificatie een paspoort aan. De controleur (marechaussee) authenticeert vervolgens dit token door deze te controleren op echtheidskenmerken. Voor een informatiesysteem is het van belang dat deze controle op echtheidskenmerken (authenticatie) eenduidig vastligt. Iemand kan namelijk op verschillende manieren de authenticiteit van een paspoort controleren. Zo kan hij de foto vergelijken met mijn gezicht. Ook kan hij vaststellen dat de pasfoto terugkomt in het gaatjespatroon op de houderpagina. Om meer zekerheid te krijgen over de authenticiteit van het paspoort zou hij echter een centrale administratie kunnen raadplegen om vast te stellen dat het paspoort niet ingetrokken is of gestolen. De gewenste zekerheid over de authenticiteit van een token bepaalt welke controles uitgevoerd moeten worden voordat het token authentiek bevonden kan worden. In de laatste stap worden autorisaties toegekend. Zo kan op het vliegveld aan mij de autorisatie toegekend worden om de vertrekterminal te betreden. Deze controle is echter onvoldoende om autorisatie te krijgen tot andere delen van het vliegveld zoals de bagageafhandeling.

Bewaken van toegang

Naast de toegangscontrole is het van belang te bewaken wie waar toegang tot krijgt en of deze geen misbruik maakt van de toegekende autorisatie. Op het vliegveld zal bewaakt moeten worden dat ik niet probeer toegang te krijgen tot zones waarvoor ik niet geautoriseerd ben. Deze toegangsbewaking kan verschillende redenen hebben zoals het beperken van risico’s maar ook het tegemoetkomen aan wettelijke verplichtingen. Het kan zijn dat aangetoond moet worden dat alleen geautoriseerde personen toegang gekregen hebben tot bepaalde informatie. Dit maakt meteen duidelijk dat toegangsverlening niet alleen een systeemaangelegenheid is maar ook procedureel en organisatorisch.

Beveiligingseisen voor informatiesystemen

Vanaf het eerste moment dat een bedrijf gaat nadenken over de aanschaf en het (laten) ontwikkelen van informatiesystemen is het noodzakelijk dat beveiliging deel uitmaakt van het nieuwe project.

Informatiesystemen omvatten besturingssystemen, infrastructuur, bedrijfstoepassingen, kant-en-klare producten, diensten en toepassingen die voor de gebruiker zijn ontwikkeld. Ontwerp en implementatie van het informatiesysteem dat het bedrijfsproces ondersteunt kunnen van doorslaggevend belang zijn voor de wijze waarop de beveiliging wordt ingericht.

Beveiligingseisen moeten voorafgaand aan de ontwikkeling en/of implementatie van informatiesystemen worden vastgesteld en overeengekomen.

De beveiligingseisen worden in een risicoanalyse vastgesteld en tijdens de specificatie van de eisen voor het project verantwoord, overeengekomen en gedocumenteerd als onderdeel van de totale ’business case’ voor een informatiesysteem.

Het is beduidend goedkoper beveiligingsmaatregelen tijdens de ontwerpfase te implementeren en te onderhouden dan tijdens of na de implementatie.

In de praktijk Een grote organisatie laat een nieuw intranet ontwerpen. Twee weken voor de ingebruikneming wordt aan de Information Security Manager (ISM) gevraagd of zij nog even naar de beveiligingsmaatregelen kan kijken. Een gedegen onderzoek brengt zoveel zwakheden aan het licht dat het intranet totaal opnieuw ontworpen moet worden en er ruim een jaar vertraging optreedt in de implementatie. Vele honderdduizenden euro’s gaan onnodig verloren door een gebrek aan communicatie!

Bij de aanschaf van producten hoort een formeel test- en inkoopproces te worden gevolgd. In de contracten met de leverancier zijn de eisen die aan de beveiliging van het product worden gesteld, opgenomen. Wanneer de beveiligingsfunctionaliteit in het product niet voldoet aan de gestelde eis, dan moeten het risico dat dit met zich mee brengt en de beveiligingsmaatregelen die daarbij horen worden heroverwogen. Of er wordt besloten dit product niet aan te schaffen.

Correcte verwerking in toepassingen

Toepassingen (software, computerprogramma’s) moeten werken zoals bedoeld in het ontwerp en de ontwikkeling. Een programma dat mogelijk maakt dat fouten worden gemaakt, dat gegevens verloren gaan, dat een onbevoegde persoon wijzigingen kan aanbrengen of informatie kan misbruiken is een groot risico.

In toepassingssystemen, ook toepassingen die door de gebruiker zelf zijn ontwikkeld, horen geschikte beheersmaatregelen te zijn ingebouwd. Zo’n beheersmaatregel betreft bijvoorbeeld de validatie van invoergegevens, interne verwerking en uitvoergegevens. Hiermee wordt bedoeld dat de informatie eenduidig wordt ingevoerd en dat de gegevens controleerbaar correct zijn.

Voor de eenduidige invoer wordt vaak gebruik gemaakt van zogenaamde stamtabellen en begrippenlijsten. Deze lijsten, die in de software/database zijn ingebouwd, kunnen helpen voorkomen dat voor één begrip, meerdere woorden gebruikt worden.

In de praktijk Een politieman neemt een aanrijding op en vermeldt in het systeem: voetganger op trottoir aangereden door bromfiets. De volgende dag neemt een andere politieman op dezelfde locatie een aanrijding op en vermeldt in het systeem: wandelaar aangereden door bromscooter op het voetpad. Wanneer nu in de database gegevens worden gezocht voor een onderzoek naar verkeersgevaarlijke situaties zal niet de juiste informatie boven water komen. Het systeem moet afdwingen dat alleen de woorden voetganger, trottoir en bromfiets ingevoerd kunnen worden en de woorden wandelaar, voetpad en bromscooter niet. Wanneer vervolgens op de juiste woorden gezocht wordt, zullen alle aanrijdingen die aan de criteria voldoen uit het systeem komen.

Validatie van in- en uitvoergegevens

Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om ervoor te zorgen dat ze betrouwbaar zijn. Zakelijke transacties en vaste gegevens kunnen automatisch worden gecontroleerd. Denk bijvoorbeeld aan een invoerveld voor de postcode dat altijd een vast formaat kan hebben. Dit geldt ook voor verkoopprijzen, wisselkoersen, belastingtarieven en kredietlimieten.

Validatie is een belangrijk middel om gebruikersfouten en misbruik te voorkomen.

Cryptografie

De term cryptografie (geheimschrift) komt uit het Grieks en is een samenvoeging van de woorden kryptós dat ’verborgen’ betekent en gráfo dat ’schrijven’ betekent. Voorbeelden van cryptografie zijn zo oud als de spreekwoordelijke weg naar Rome. Het werd onder andere toegepast door de Romeinen om militaire boodschappen over te brengen. Zelfs als de boodschap in vijandelijke handen zou vallen, kon de vijand daar geen informatie uit afleiden omdat de boodschap op het oog nietszeggende gegevens bevatte. Onderzoek naar cryptoalgoritmen wordt ook wel cryptoanalyse genoemd en werd niet alleen toegepast om algoritmen te ontwikkelen maar ook om algoritmen van vijanden te kraken. Cryptoanalyse heeft zich vooral gedurende en na de tweede wereldoorlog sterk ontwikkeld.

Vaak wordt cryptografie gezien als middel om informatie geheim te houden, maar ook andere toepassingsgebieden, zoals het beschermen van de vertrouwelijkheid, authenticiteit of integriteit van informatie zijn te danken aan cryptografie.

In het nieuws Een student van de Radboud Universiteit in Nijmegen is erin geslaagd met een zelf gebouwd apparaatje ter waarde van veertig euro een wegwerpversie van de OV-chipkaart te kopiëren. De kopie is onbeperkt te gebruiken als vervoersbewijs. De student luisterde het berichtenverkeer tussen een origineel wegwerpkaartje en de chiplezer bij een poortje elektronisch af. Daarbij bleek dat de informatie die wordt overgestuurd niet is versleuteld, zoals dat wel gebeurt bij de ov-chipkaarten voor abonnementen die op naam van de reiziger staan. Voor wegwerpkaartjes is een chip met versleuteling blijkbaar te duur. Bron: www.computable.nl

Cryptografiebeleid

Cryptografie is een maatregel die ingezet kan worden door de organisatie als bijvoorbeeld gegevens vertrouwelijk zijn. Over het gebruik van cryptografie moet goed worden nagedacht en dit moet in een beleidsdocument worden beschreven.

In dit document komt aan de orde:

• Waarvoor gebruikt de organisatie cryptografie;
• Welke soorten cryptografie gebruikt de organisatie, voor welke toepassingen;
• Beheersing en beheer van sleutelmateriaal;
• Back-up;
• Controle.

Sleutelbeheer

Het beheer van de sleutels is een belangrijk onderdeel van het beleid in het gebruik van cryptografische technieken. Cryptografische sleutels behoren te worden beschermd tegen wijziging, verlies en vernietiging.

Bovendien horen geheime sleutels en persoonlijke sleutels te worden beschermd tegen onbevoegde openbaarmaking. Apparatuur die wordt gebruikt voor het genereren, opslaan en archiveren van sleutels behoort fysiek te worden beschermd. Onderdeel van het sleutelbeheer is ook de registratie van de sleutelparen. Welke paren zijn wanneer en aan wie uitgegeven. Tot wanneer zijn de sleutels geldig? Wat te doen als sleutels openbaar worden bij onbevoegden?

Een groot risico is wanneer veel verschillende apparaten binnen een organisatie van dezelfde sleutelsets gebruik maken. Worden deze sleutels buiten de organisatie bekend, dan zullen alle apparaten (vaak laptops) opnieuw van sleutelmateriaal voorzien moeten worden. Dit kan een zeer kostbare operatie zijn die bovendien in zeer korte tijd uitgevoerd moet worden.

Soorten cryptografische systemen

Om gebruik te kunnen maken van een cryptografisch systeem moeten zowel de zender als ontvanger beschikken over het algoritme. Een kenmerk van een goed cryptografisch systeem is dat het algoritme zelf openbaar is. In hoofdlijnen zijn er drie vormen van cryptografische algoritmen te onderscheiden: symmetrische cryptografie, asymmetrische cryptografie en eenrichtingsvercijfering.

Het algoritme dient de toets der kritiek te doorstaan en open te zijn. Als veel mensen er goed naar kijken is het moeilijker om er een gat in te schieten. De sleutels zijn het geheime deel van de cryptografie. De OV chipkaart bevatte een geheim algoritme en een bepaald getal, deze waren de zwakheid. Als het ontwerp van de myfare chip ook publiek door de wetenschap was beoordeeld, had dit er zo nooit ingezeten.

Symmetrisch

Iedereen kent wel een symmetrisch cryptografisch systeem. Kenmerk van zo’n systeem is dat er een algoritme is en een geheime sleutel die zender en ontvanger delen.

In de praktijk Een simpele manier om een bericht te versleutelen is door het alfabet met getal x te verschuiven. Met x=+5 wordt A > F. Iedereen die de geheime sleutel heeft kan de boodschap decoderen door het alfabet met x=-5 te verschuiven. Zoals dit voorbeeld illustreert wordt de geheime sleutel gebruikt om zowel de boodschap te vercijferen als te ontcijferen. De sterkte van dit cryptografische systeem hangt direct samen met het vermogen van de zender en ontvanger de gedeelde sleutel geheim te houden.

Asymmetrisch

Een asymmetrisch systeem lost de kwetsbaarheid van het delen van een geheime sleutel op. Het kenmerk van een asymmetrisch systeem is dat voor het vercijferen en ontcijferen twee verschillende sleutels gebruikt worden. Dit systeem is eind 1970 bedacht door Ron Rivest, Adi Shamir en Len Adleman en werkt op basis van priemgetallen en modulo rekenen. Het meest opmerkelijke bij dit algoritme is dat het niet meer nodig is dat de zender en ontvanger dezelfde sleutel te bezitten. Het algoritme werkt met zogeheten sleutelparen. Hierbij zorgt de private sleutel van het sleutelpaar voor de vercijfering en alleen de publieke sleutel van dit sleutelpaar kan het bericht ontcijferen. Het mooie van dit systeem is dat de publieke sleutel bekend gemaakt kan worden aan de hele wereld.

Dit systeem kan op twee manieren toegepast worden. De eerste manier is om berichten te ondertekenen met de geheime sleutel. De ontvanger kan met behulp van de publieke sleutel verifiëren dat het bericht afkomstig is van de eigenaar van de bijbehorende private sleutel. De tweede manier is om berichten bestemd voor een persoon te versleutelen met diens publieke sleutel. Alleen de houder van de private sleutel behorende bij deze publieke sleutel is in staat dit bericht te ontcijferen. Merk hierbij op dat het gebruik van de private sleutel beperkt is tot de houder van private sleutel, terwijl iedereen gebruik kan maken van de publieke sleutel. Asymmetrische algoritmen kunnen op deze manier zowel ingezet worden om zowel de integriteit als de vertrouwelijkheid van berichten te garanderen.

Digitale handtekening
Asymmetrische cryptografie wordt bijvoorbeeld toegepast bij een digitale handtekening. Een digitale handtekening is een methode voor het bevestigen van de juistheid van digitale informatie, vergelijkbaar met het ondertekenen van papieren documenten door middel van een geschreven handtekening. Over het algemeen bestaat een digitale handtekening uit twee algoritmen: een om te bevestigen dat de informatie niet door derden veranderd is, de ander om de identiteit te bevestigen van degene die de informatie "ondertekent". In Europa is een digitale handtekening dankzij Richtlijn 99/93/EG nu gelijkgeschakeld aan een "papieren" handtekening. In de meeste gevallen moet die digitale handtekening dan wel met behulp van een gewaarmerkt certificaat te verifiëren te zijn en moet deze met een veilig middel (bijvoorbeeld een smartcard) zijn gemaakt.

Public Key Infrastructure

Asymmetrische cryptografie wordt ook wel Public Key Crypto genoemd. Let op dat dit niet hetzelfde is als Public Key Infrastructure (PKI). Bij een PKI komt veel meer kijken. Een kenmerk van een PKI is dat deze door afspraken, procedures en een organisatiestructuur waarborgen biedt over welke persoon of systeem hoort bij een specifieke publieke sleutel. Een Public Key Infrastructure wordt vaak beheerd door een onafhankelijke autoriteit. Vecozo is een Nederlands voorbeeld van een dergelijke autoriteit. Vecozo voorziet in het uitwisselen van vertrouwelijke informatie in de gezondheidszorg.

In de praktijk Een huisarts wil haar behandelingen elektronisch gaan declareren bij de zorgverzekeraars. De zorgverzekeraars hebben een contract met een Certification Authority (CA). De huisarts vraagt bij de CA een certificaat aan. De CA controleert, voor de zorgverzekeraars, of de huisarts is wie zij claimt te zijn, bijvoorbeeld door haar diploma’s op te vragen en een handtekening. De huisarts krijgt toegang tot de website om het certificaat te kunnen downloaden. Dit is een bestandje dat op de computer wordt geïnstalleerd. Als de huisarts wil declareren gaat ze naar de website van de CA. Bij het inloggen wordt het certificaat op de PC gecontroleerd en wordt gevraagd naar de gebruikersnaam en het wachtwoord die horen bij het certificaat. De huisarts krijgt toegang en ze kan haar declaratiebestanden uploaden. Ook kan ze bijvoorbeeld controleren of een bepaalde patient wel verzekerd is en bij welke zorgverzekeraar.

Eenrichtingsvercijfering

Deze vorm van vercijferen wordt ook wel hashfunctie genoemd en is te vergelijken met het mengen van verf. Zodra twee verfkleuren vermengd raken is het zo goed als onmogelijk deze kleuren weer te scheiden. Dit soort algoritmen wordt hoofdzakelijk gebruikt om vast te stellen of bepaalde gegevens niet veranderd zijn. Het bericht wordt omgezet in een numerieke waarde. Met een bekend algoritme kan de ontvanger controleren of de boodschap de juiste hashwaarde heeft gehouden. Deze methode wordt gebruikt om de integriteit van berichten te controleren, bijvoorbeeld het wachtwoord op een computer. Er wordt geen vertrouwelijkheid mee geregeld.

Beveiliging van systeembestanden

Bescherming van testdata

Het is belangrijk dat testgegevens van apparatuur en programma’s zorgvuldig worden gekozen, beschermd en beheerst. Het is niet de bedoeling dat echte data, die immers gevoelige informatie zoals persoonsgegevens kan bevatten, wordt gebruikt om mee te testen. In testsystemen mag uitsluitend fictieve data voorkomen

Toegangsbeheer voor broncode van programmatuur

Systeembestanden vormen de bron van de automatisering van een organisatie. Wanneer de broncode van deze bestanden in verkeerde handen valt, kan een kwaadwillende toegang tot vertrouwelijke informatie krijgen. Deze bestanden dienen dus zeer zorgvuldig behandeld te worden.

De toegang tot broncode van programmatuur behoort te worden beperkt tot alleen de hoogst noodzakelijke medewerkers.

Beveiliging bij ontwikkelings- en ondersteuningsprocessen

Managers die verantwoordelijk zijn voor toepassingssystemen, zijn verantwoordelijk voor de beveiliging van de projectomgeving waarin de toepassingen worden ontwikkeld en de omgeving waarin de toepassingen worden ondersteund. Zij bekijken ook of voorgestelde wijzigingen deze beveiliging niet in gevaar brengen.

Uitlekken van informatie

Hoe voorkomen we dat gelegenheden zich voordoen om vertrouwelijke informatie te laten uitlekken?

Bewustwording van medewerkers is één van de mogelijkheden om de medewerkers te doordringen van het belang bedrijfsinformatie niet naar buiten te brengen. Het bekende circuit van verjaardagen, de vereniging, vrienden en vooral onbekende vrienden van vrienden vormt een risico. In een ontspannen sfeer wordt gemakkelijk informatie gedeeld die dan ook in verkeerde handen kan vallen.

Een bewuste poging om vertrouwelijke informatie los te krijgen is de zogenaamde ’social engineering’. Voor deze Engelse term is geen goede Nederlandse benaming in gebruik. Iemand weet het vertrouwen te winnen van een medewerker door zich voor te doen als een collega of leverancier maar is in werkelijkheid uit op vertrouwelijke informatie. In een grote organisatie waar niet iedereen elkaar kent, is de kans op succes groot. De social engineer maakt gebruik van menselijke zwakheden. We denken bijvoorbeeld dat als iemand het juiste jargon gebruikt, hij of zij wel van binnen de organisatie zal zijn. Maar de social engineer kan de termen hebben afgeluisterd in het café.

Daarnaast kan informatie uitlekken via verborgen communicatiekanalen. De kans dat de gewone medewerker van het bestaan van dit soort communicatiekanalen af weet is gering. Geheime communicatiekanalen zijn kanalen die niet zijn bedoeld voor het verwerken van informatiestromen, maar die desondanks kunnen bestaan in een systeem of netwerk. Het voorkomen van alle mogelijke geheime communicatiekanalen is moeilijk, zo niet onmogelijk. Er zijn immers altijd verbindingen naar binnen en naar buiten. Het gebruik van dergelijke kanalen wordt vaak in gang gezet door Trojaanse paarden (zie ook het hoofdstuk over malware). Het kan ook zijn dat de leverancier van een maatwerkprogramma een geheime toegang voor onderhoud in de applicatie heeft ingebouwd zonder dit door te geven aan de koper. Dit wordt ook wel een ’maintenance door’ of onderhoudstoegang genoemd. Deze praktijk wordt door de afnemer niet gewaardeerd. Wanneer de maatwerkapplicatie wordt gebruikt voor het verwerken van zeer vertrouwelijke informatie, kan een onafhankelijk bureau de broncode van de applicatie onderzoeken op dergelijke geheime communicatiekanalen.

Uitbesteden van ontwikkeling van programmatuur

Wanneer de ontwikkeling van programmatuur wordt uitbesteed is het belangrijk dat de ontwikkeling wordt gesuperviseerd en gecontroleerd door de organisatie die de opdracht geeft.

En wie wordt de eigenaar van de broncode? De opdrachtgever moet indien mogelijk de intellectuele eigendomsrechten krijgen.

De kwaliteit en nauwkeurigheid van het uitgevoerde werk kan door certificering van een onafhankelijke instantie worden vastgesteld. Denk hierbij ook aan de opmerking hierboven met betrekking tot het controleren van verborgen communicatiekanalen.

Samenvatting

Toegang tot de gebouwen wordt gereguleerd, toegang tot de netwerkinfrastructuur ook. Hoe gaan we om met de toegangsrechten die de medewerkers op de ICT-omgeving krijgen. De ene medewerker krijgt andere rechten dan de ander. Op welke wijze wordt nu bepaald wie wat mag doen? Waarom mag niet iedereen inzage hebben in alle informatie? Wanneer dat allemaal bepaald is, wordt het tijd de beschikbare informatie te verdelen over de medewerkers die gerechtigd zijn inzage in bepaalde systemen te hebben. Dit gebeurt door middel van toegangscontrole. Hoe gaan we met onze bezittingen om? We regelen dat in gestandaardiseerde processen. Wanneer informatie echt beveiligd moet worden tegen inzage door ongeautoriseerden, dan komt het gebruik van cryptografische toepassingen om de hoek kijken. U hebt een inleiding gekregen in cryptografie en weet nu wat het verschil is tussen symmetrische en asymmetrische cryptografie en PKI-oplossingen.

0 Casus

Een middelgrote bank heeft grote uitbreidingsplannen voor de ICT-omgeving. De directie heeft besloten dat het noodzakelijk is alle ICT-voorzieningen te vervangen door nieuwe apparatuur. Open source wordt overwogen. Wel is het noodzakelijk dat alle nieuwe hardware goed ondersteund wordt. De huidige bankspecifieke programmatuur voldoet niet meer. De IT-afdeling gaat in eigen beheer of door middel van uitbesteding nieuwe programmatuur ontwikkelen die flexibel op verschillende Operating Systems (OS) moet kunnen draaien.

Deze bank kent een groot aantal medewerkers die echter maar in een beperkt aantal functies werken. Er bestaat een verschil in autorisatieniveaus. Een beperkt aantal medewerkers heeft inzage in strategische informatie zoals de jaarcijfers en de financiële administratie. Deze medewerkers hebben geen inzage in klantgegevens. Zo zijn er meerdere gescheiden autorisatieniveaus aanwezig.

De data die opgeslagen worden moeten uiteraard beveiligd worden tegen inzage door ongeautoriseerden. Uitwisseling van bepaalde gevoelige gegevens met externe partijen moet versleuteld gedaan kunnen worden.

Belangrijk is dat het nieuwe systeem controlemiddelen kent zodat alleen de juiste informatie ingevoerd wordt. Boekingen kennen, afhankelijk van de hoogte van het bedrag, meerdere controlemomenten. Zeer hoge bedragen worden door meer dan één persoon geaccordeerd.

Aan u wordt de taak gegeven een onderzoek in te stellen naar de beveiliging van het nieuw aan te schaffen netwerk en de computersystemen. Kiest u normale pc’s of een thin client principe? Motiveer deze keuze. Welk OS kiest u en waarom?

Hoe gaat u de autorisatiestructuur inregelen? Welke technieken gebruikt u om de verschillende niveaus vast te stellen?

Kiest u voor ontwikkeling van software in eigen beheer of kiest u een extern bedrijf? Geef de voor- en nadelen van beide opties en geef aan waar de valkuilen voor de bank liggen.

Binnen de casus staan meer aspecten waar rekening mee gehouden moet worden. Licht deze aspecten eruit en motiveer waarom u bepaalde keuzes maakt.

Gerelateerde IBpedia artikelen

Nederlandstalig:

• IBpedia, kennisdeling voor informatiebeveiliging en digitale architectuur
• PvIB het platform voor informatiebeveiliging
• Vakblad informatiebeveiliging
• Artikelen over informatiebeveiliging
• Certificeringen voor informatiebeveiliging
• De checklist pagina voor informatiebeveiliging
• De hitlijsten voor informatiebeveiliging

Engelstalig:

• IBpedia, knowledge sharing for information security and digital architecture
• PvIB, The Dutch Platform for Information Security
• Articles about information security
• The checklist page for information security
• Certification for information security
• Patterns for information security
• The hit list for information security