Peter Ambagtsheer maakt in een stuk over Viable System Models de referentie naar schaken en daar kan ik me tot op zekere hoogte wel in vinden. De infrastructuur lijkt tenslotte steeds meer op een schaakbord waar klant koning is, de (bedrijfskritische) applicaties de torens zijn, informatie als dame behandeld wordt en de rest als pionnen gezien worden.
De spelregel dat pionnen, met uitzondering van de eerste zet, maar één veld vooruit mogen gaan zorgt ervoor dat we altijd op achterstand staan. Dit geldt in het bijzonder voor de beveiliging van de infrastructuur en de informatie die hierover getransporteerd wordt en in opgeslagen. We leven nu eenmaal in een wereld die steeds verder digitaliseert, waarin informatie en computers onmisbaar zijn geworden. In een dergelijke wereld is het natuurlijk niet vreemd dat we steeds vaker met cybercrime geconfronteerd worden, welke ook nog eens makkelijk te internationaliseren is.
Simultaan schakenNet als bij schaken helpt kennis van openingsstellingen en de daarbij behorende tegenzetten om de kans op verlies te voorkomen. Maar de infrastructuur is aan constante verandering onderhevig en breidt zich ook steeds verder uit omdat gebruikers niet meer gebonden willen zijn aan kantoor. Introductie van nieuwe services zoals sociale media en mobiele applicaties brengen andere stukken op het bord of neemt ze met bijvoorbeeld cloud computing daarvan af. Deze blijven echter wel hun rol spelen in de uitwisseling van informatie waardoor complexiteit en afhankelijkheden steeds meer toenemen. Klant blijft koning en organisaties eisen steeds nieuwe functionaliteiten, welke ook nog sneller en goedkoper geleverd moeten worden. Dit zorgt ervoor dat it alleen nog defensief kan spelen omdat er eerst weer geleerd moet worden. Ervaring maakt de meester maar door alle nieuwe spelsituaties is het soms als simultaan schaken. Hierbij zijn de aanvaller vaak de grootmeesters want creatieve schakers zullen een opening proberen te forceren door een onverwachte zet te doen die nog niet in het boekje staat. En niet zelden zitten deze in een aanval op foutieve code of een fout in het ontwerp waardoor niet alleen een schakel maar de hele keten kwetsbaar wordt.
Wake-up callRecentelijk zijn we opgeschrikt door spraakmakende beveiligingsincidenten omdat we door het gebruiksgemak vergeten dat er nog een onderliggende technologie is die steeds complexer en daardoor kwetsbaar wordt. Beveiliging van informatie wordt daarom steeds belangrijker maar de bekende ITSM-methodieken besteden hier onvoldoende aandacht aan. Bij sommige organisaties, en helaas bij veel overheden, is het proces van beveiliging vaak ook nog eens onvolwassen. Ad hoc komt er eens een keer een specialist langs om voor de bewustwording een audit uit te voeren. Maar mijn ervaring met de grote namen in deze industrie leert dat dit veel weg heeft van een blinde die de manke leert lopen. Onervaren consultants vinken gericht op deeloplossingen lijstjes af terwijl de werkelijke risico's in de nog verborgen fouten zitten. Veel meer waarde hebben dan ook de penetratietesten waarbij niet alleen de kwetsbaarheid onderzocht moet worden maar ook de response hierop.
Nu zijn de servers in het perimeter netwerk meestal wel goed beveiligd en liggen zwakheden vaak in het interne netwerk waar servers en applicaties via een ‘next, next, finish' proces ingericht worden. Hierdoor blijven niet alleen onnodige services geactiveerd maar door virtualisatie ook vaak de slecht beveiligde maar ongebruikte testsystemen. Deze worden echter vaak buiten het bereik van een audit of penetratietest gehouden terwijl door ‘het nieuwe werken', uitbestedingen en overnames de scheidslijn tussen de boze buitenwereld en het veilige interne netwerk steeds troebeler wordt.
BokkensprongenOndertussen wordt alweer de volgende uitdaging geïntroduceerd in de infrastructuur met het 'bring your own device (byod)' idee omdat de standaard werkplek te dwingend zou zijn. Daardoor worden veel beveiligingsmaatregelen nutteloos omdat nauwelijks te voorkomen valt dat infrastructuur geïnfecteerd wordt met een virus als Stuxnet of de Duqu-malware variant. Een meegebrachte usb-stick of geheugenkaart kan dan bron zijn maar ook het Trojaanse paard om passief informatie te verzamelen. Met de credentials van een gebruiker, liefst met administratieve rechten wordt zo eenvoudig over de pionnen ter bescherming van de infastructuur heen gesprongen. En ook een gehackte blackberry kan helpen om informatie te verzamelen van je concurrent. Informatie ligt namelijk al lang niet meer besloten in de infrastructuur maar gaat en komt van alle kanten. Aantal bedreigingen beginnen daarom steeds meer op de legende te lijken waar de uitvinder van het schaakspel als beloning een rijstkorrel op het eerste veld en een verdubbeling op elk volgende vraagt.
Natuurlijk zullen de gebruikelijke maatregelen ter bescherming van de infrastructuur genomen moeten worden. Maar als de klant koning blijft dan zullen incidenten onvermijdelijk zijn als gebruikers zich niet bewust zijn van de risico's maar wel gebruik maken van eigen computers en de laatste gadgets. Een informatie beveiligingsbeleid is uiteindelijk vaak niet meer dan een stuk papier en naleving zal actief bewaakt moeten worden. Dat afdwingen wordt steeds moeilijker omdat gebruikers zich niet altijd binnen het eigen netwerk bevinden maar maken ook gebruik van breedband verbindingen thuis of mobiel internet onderweg. En op kantoor beperken ze zich niet alleen tot de eigen systemen maar gebruiken ook services in de cloud. Gebruikers doen dus niet altijd wat verwacht wordt en deze zullen daarom de zwakke schakels in de keten blijven maar wordt vooruit denken steeds moeilijker.
Volgende zetFocus moet daarom verschoven worden en dus moet er niet alleen naar de service gekeken worden zoals ITILv3 stelt maar ook op het gedrag van gebruikers gelet worden. Door mee te kijken met de gebruiker kunnen verstoringen of afwijkingen sneller gezien worden en wordt het eenvoudiger om te bepalen waar de oplossing gezocht moet worden. Gebruikers kunnen namelijk ook thuis verstoringen ondervinden, met services in de cloud of op hun tablet en zo worden veel vragen voorkomen. Hoewel het controversieel klinkt om spyware te gebruiken zullen we net als in het schaakspel moeten leren van de grootmeesters. Zeker nu bekend is geworden dat opsporingsinstanties deze software ook gebruiken mag ook afgevraagd worden of deze nog wel goed herkend worden door de gebruikelijke tegenmaatregelen.
Misschien moeten we dan ook het idee los laten dat we het spel nog kunnen winnen en is remise de best mogelijke uitkomst. Want hoe sterker de verdediging in het (data)centrum hoe eerder de aanval vanaf de flanken komt. Maar pionnen mogen ook en passant slaan en deze zet zorgt ervoor dat we voorbij gelopen worden door onnadenkende gebruikers. Internet zit tenslotte vol gevaren waar je nooit weet wie er meeluistert maar kunnen we ook niet meer zonder.
