Beveiliging van gegevensbestanden in Belgische ondernemingen

UNIVERSITEIT GENT FACULTEIT ECONOMIE EN BEDRIJFSKUNDE ACADEMIEJAAR 2002-2003

Beveiliging van gegevensbestanden in Belgische ondernemingen

Scriptie voorgedragen tot het bekomen van de graad van: Licentiaat in de toegepaste economische wetenschappen Stefanie Van Eeckhout onder leiding van Prof. dr. I. De Beelde

Ondergetekende Stefanie Van Eeckhout bevestigt hierbij dat onderhavige scriptie wel mag worden geraadpleegd maar niet mag worden gefotokopieerd. Bij het citeren moet steeds de titel en de auteur van de scriptie worden vermeld.

Woord vooraf Het schrijven van een licentiaatverhandeling als bekroning van vier jaar studie is een boeiende, maar geen gemakkelijke opgave. Daarom zou ik graag een dankwoord richten aan allen die me op de één of andere manier geholpen hebben bij de verwezenlijking van dit werk.

In de eerste plaats wens ik mijn promotor prof. dr. I. De Beelde, te danken voor de vakkundige begeleiding. Ook laat ik een dankwoord na aan Kris Van Overmeire, voor de vele nuttige tips en het nazicht van dit werk.

Voorts wens ik dank te betuigen aan alle bedrijven die medewerking verleend hebben om het empirisch onderzoek tot een goed einde te brengen.

Niet in het minst gaat mijn dank uit naar mijn vriend Bert Verleyen, die een steun en toeverlaat was gedurende deze vierjarige studie en tot slot wil ik al mijn vrienden en in het bijzonder mijn ouders te danken voor hun onvoorwaardelijke morele en financiële steun.

I

Inhoudsopgave DEEL 1: LITERATUURSTUDIE

Hoofdstuk 1: Van handmatige tot elektronische gegevens

3

1. 2.

Inleiding .............................................................................................................................. 3 Beveiliging .......................................................................................................................... 4 2.1 Wat is beveiliging? ...................................................................................................... 4 2.2 Bepaling van de waarde van informatie ...................................................................... 5 2.3 Maatregelen van beveiliging ....................................................................................... 9

3.

IT audit .............................................................................................................................. 12 3.1 Ontstaan van het beroep ............................................................................................ 13 3.2 Interne en externe audit ............................................................................................. 13 3.3 Werkwijze van de auditor ......................................................................................... 13

4. 5.

Wet inzake de informaticacriminaliteit ............................................................................. 14 Besluit................................................................................................................................ 15

Hoofdstuk 2: Beveiliging van gegevens in databanken

16

1. 2.

Inleiding ............................................................................................................................ 16 Fysieke beveiliging ........................................................................................................... 17

3.

Toegangsbeheersing .......................................................................................................... 19 3.1 Specifiëren van toegang ............................................................................................ 19 3.2 Verlenen van toegang................................................................................................ 19 3.2.1 Paswoorden ................................................................................................... 20 3.2.2 Badges ........................................................................................................... 22 3.2.2.1 Pas en PIN code.................................................................................. 22 3.2.2.2 Smartcard ........................................................................................... 23 3.2.2.3 Certifiers ............................................................................................. 23 3.2.3 Biometrie ....................................................................................................... 24 3.2.4 Supplementaire maatregelen......................................................................... 27 3.3 Bewaken van toegang................................................................................................ 27

4.

Beheer van wijzigingen..................................................................................................... 27 4.1 Functiescheiding........................................................................................................ 28 4.2 Integriteitsbewaking .................................................................................................. 28 4.3 Virussen..................................................................................................................... 29 4.3.1 Virusachtige programma’s ............................................................................ 30 4.3.2 Echte virussen ............................................................................................... 31

II

5.

Herstellen van oude records .............................................................................................. 33 5.1 RAID ......................................................................................................................... 33 5.1.1 RAID levels ................................................................................................... 34 5.1.1.1 Level 0 ................................................................................................ 34 5.1.1.2 Level 1 ................................................................................................ 35 5.1.1.3 Level 2 - 3 - 4 ..................................................................................... 36 5.1.1.4 Level 5 ................................................................................................ 37 5.1.2 Baten van RAID............................................................................................ 37 5.1.3 Kosten van RAID.......................................................................................... 38 5.1.4 Trade – off ..................................................................................................... 39 5.1.5 Beperkingen van RAID................................................................................. 39 5.2 Back-up ..................................................................................................................... 40 5.2.1 Soorten back-ups........................................................................................... 41 5.2.2 Methoden van back- up .................................................................................. 43 5.3 Data recovery ............................................................................................................ 44

6.

Besluit................................................................................................................................ 47

Hoofdstuk 3: Opstellen van een veilige communicatie

48

1.

Inleiding ............................................................................................................................ 48

2.

Cryptografie ...................................................................................................................... 50 2.1 Encryptie ................................................................................................................... 50 2.1.1 Symmetrische versleuteling .......................................................................... 51 2.1.2 Asymmetrische versleuteling ........................................................................ 52 2.1.3 Verschil tussen beide methodes .................................................................... 53 2.1.4 MAC.............................................................................................................. 54 2.2 Digitale handtekening ............................................................................................... 54 2.3 Certificaten en ‘Thrusthed Third Parties’ (TTP) ....................................................... 55 2.4 Pretty Good Privacy (PGP) ....................................................................................... 56

3.

Hacken............................................................................................................................... 56 3.1 Evolutie van hacken.................................................................................................. 57 3.2 Wapens tegen hacken................................................................................................ 57

4.

Firewalls ............................................................................................................................ 58 4.1 Taken van de firewall ................................................................................................ 59 4.2 Soorten firewalls ....................................................................................................... 61 4.3 Firewall structuren..................................................................................................... 62 4.4 Websites en firewalls ................................................................................................ 63

5. 6. 7.

Virtual Private Network .................................................................................................... 64 WebTrust ........................................................................................................................... 64 Besluit................................................................................................................................ 65

III

DEEL 2: EMPIRISCHE STUDIE Hoofdstuk 4 : Methodologie 1. 2. 3. 4. 5. 6. 7.

66

Inleiding ............................................................................................................................ 66 Opstellen van de vragenlijst .............................................................................................. 67 Populatie en steekproef ..................................................................................................... 67 Gegevensverzameling ....................................................................................................... 68 Gegevensanalyse ............................................................................................................... 69 Overzicht meegewerkte ondernemingen........................................................................... 69 Indeling in klassen............................................................................................................. 70

Hoofdstuk 5: Interpretatie van gegevens

71

1.

Inleiding ............................................................................................................................ 71

2.

Vergelijking binnen de sector ........................................................................................... 71 2.1 Telecommunicatie ..................................................................................................... 71 2.2 Metaal- en staalverwerking ....................................................................................... 74 2.3 Financiële instellingen............................................................................................... 75 2.4 Media ......................................................................................................................... 75 2.5 Voedings- en genotmiddelen..................................................................................... 76 2.6 Gezondheidszorg....................................................................................................... 77 2.7 Overige sectoren........................................................................................................ 78 2.8 Besluit........................................................................................................................ 78

3.

Vergelijking tussen de sectoren......................................................................................... 79 3.1 Toegang tot gegevensbestanden................................................................................ 79 3.1.1 Toegang tot data en computer (ruimtes) ....................................................... 80 3.1.2 Paswoorden ................................................................................................... 82 3.1.3 Smartcards, certifiers en biometrie ................................................................ 84 3.2 Beheer van wijzigingen............................................................................................. 85 3.2.1 Functiescheiding en integriteitsbewaking ..................................................... 85 3.2.2 Virussen......................................................................................................... 85 3.3 Back-up procedures ................................................................................................... 86 3.4 Fysieke beveiliging ................................................................................................... 89 3.5 Veilige communicatie ............................................................................................... 90 3.5.1 Firewalls en hackers...................................................................................... 90 3.5.2 Encryptie ....................................................................................................... 92 3.5.3 VPN en WebTrust ......................................................................................... 93

4. 5.

Vergelijking met de theorie ............................................................................................... 93 Besluit................................................................................................................................ 96

IV

Algemeen Besluit

97

Lijst van de geraadpleegde werken

Bijlage 1: Soorten dreigingen Bijlage 2: Gevolgen van virusschade Bijlage 3: Gecontacteerde bedrijven Bijlage 4: Achtergrondinformatie bedrijven Bijlage 5: Checklist

V

Gebruikte afkortingen IT

Information Technology

PC

Personal Computer

EDP

Electronic Data Processing

WCC

Wet op de Computer Criminaliteit

DAC

Discretionary Access Control

MAC

Mandatory Access Control

OTP

One-time passwords

PIN

Persoonlijk Identificatie Nummer

FAR

False Acceptance Rate

FRR

False Rejection Rate

WORM

Write once Read many

RAID

Redundant Array of Independent Disks

CD

Compact Disc

CD ROM

Compact Disc Read Only Memory

DVD

Digital Video Disc

EDI

Electronic Data Interchange

DES

Data Encryption Standard

RSA

Rivest, Shamir, Adleman

CA

Certification Authority

MAC

Message Authentication Code

TTP

Thrusted Third Parties

RA

Registration Authority

CRL

Certificate Revocation List

PGP

Pretty Good Privacy

DMZ

Demilitarized Zone

VPN

Virtual Private Network

VI

Lijst van figuren & tabellen

FIGUREN

Figuur 1: Relatie tussen gegevens en informatie (Eigen werk)

6

Figuur 2: Soorten maatregelen (http://www.interaccess.nl/download/security.pdf )

10

Figuur 3: Data striping (Eigen werk)

35

Figuur 4: RAID mirroring (http://www.pcguide.com)

36

Figuur 5: Trade-off (http://www.pcguide.com)

39

Figuur 6: Schema voor selectie, implementatie en toetsing van uitwijkvoorziening (LINDGREEN E.R. et al., 2002, blz. 223)

47

Figuur 7: Symmetrische encryptie (VERLEYEN B., 2001-2002, blz. 13)

52

Figuur 8: Asymmetrische encryptie (VERLEYEN B., 2001-2002, blz. 13)

53

Figuur 9: Digitale handtekeningen (VANHESTE J., 2001, blz. 499)

55

Figuur 10: Situatie zonder firewall (VANHESTE J., 2001, blz. 474)

59

Figuur 11: Situatie met firewall (VANHESTE J., 2001, blz. 475)

59

Figuur 12: Combinaties van websites en firewalls (LINDGREEN E.R. et al., 2000, blz. 248)

63

Figuur 13: VPN verbinding (http://www.wown.info/j_helmig/vpn.htm)

64

Figuur 14: Frequentie van wijziging van paswoorden

82

Figuur 15: Plaats waar de back-up bewaard wordt

87

Figuur 16: Soorten firewalls

91

Figuur 17: Gebruik van encryptie

92

VII

TABELLEN

Tabel 1: Dimensies van kwaliteit (O’BRIEN J.A., 1993, blz. 340-342)

8

Tabel 2: Het bepalen van maatregelen tegen de bedreiging ‘ongeautoriseerd wijzigen van gegevens op een computer’ (LINDGREEN E.R. et al, 2000, blz. 137)

16

Tabel 3: Optredende risico's bij fysieke beveiliging (Eigen werk op basis van MUSAJI Y.F., 2001, blz. 59-69)

17

Tabel 4: Biometrische technieken (Eigen werk op basis van LINDGREEN E.R. et al, 2000, blz. 130-131)

26

Tabel 5: Verschil in gebruik van paswoorden binnen de telecommunicatiesector

72

Tabel 6: Verschil in gebruik van firewalls binnen de telecommunicatiesector

73

Tabel 7: Verschillen binnen de voedingssector

77

Tabel 8: Vergelijking tussen sectoren met betrekking tot de toegang tot data

80

Tabel 9: Vergelijking tussen sectoren met betrekking tot de toegang tot computer (ruimtes)

81

Tabel 10: Vergelijking tussen de sectoren met betrekking tot paswoorden

83

Tabel 11: Vergelijking tussen sectoren met betrekking tot het gebruik van smartcards, certifiers en biometrie

84

Tabel 12: Vergelijking tussen sectoren met betrekking tot virussen

86

Tabel 13: Vergelijking tussen sectoren met betrekking tot het gebruik van RAID

88

Tabel 14: Fysieke beveiliging bij Koramic en Pinguin

89

Tabel 15: Toepassingen van de firewall

91

VIII

Inleiding

Inleiding Toen ik met mijn thesistitel kwam aandraven, waren mijn medestudenten nogal verbaasd over mijn allesbehalve evidente keuze. Waarom kiest iemand die TEW studeert immers een thesis over gegevensbeveiliging, iets wat niet meteen in het directe studiedomein van economie ligt?

Voor mij was de keuze van dit onderwerp echter een evidentie, aangezien het de overkoepeling vormt van mijn interesses. Wie zou die kans niet met beide handen grijpen? Ik vond het dan ook een boeiende opgave om informatica en economie te koppelen in een werk waar ik zóveel tijd en energie ingestopt heb, dat ik er met trots kan op terugkijken. Het is bovendien een heel leerrijke ervaring in contact te komen met de werkelijkheid. Zo wordt in het empirisch deel (deel 2) van deze studie nagegaan hoe bedrijven in België staan tegenover het aspect beveiliging.

Er wordt dan ook een vergelijkende studie gemaakt tussen

ondernemingen uit verschillende sectoren. Maar vooraleer we de praktijk aan de theorie kunnen toetsen, is het nodig eerst een uitgebreid literatuuronderzoek (deel 1) te verrichten.

In hoofdstuk 1 wordt allereerst nagegaan wat het aspect beveiliging nu precies inhoudt. Het vormt dan ook een cruciaal onderwerp in de hedendaagse maatschappij! Wie is er immers niet bang zijn belangrijkste troeven te verliezen door overmacht, hackers, virussen,…

Dit kan

ernstige problemen met zich meebrengen, aangezien informatie vaak als het meest waardevol actief beschouwd wordt. In veel gevallen hangt het succes en zelfs de continuïteit van de onderneming af van deze kritieke informatie.

Een goed beveiligingsniveau is dan ook een

absolute noodzaak. Naast het aspect beveiliging worden ook de functie en taken van de IT-auditor weergegeven om tenslotte het hoofdstuk af te sluiten met de wet op de computercriminaliteit.

Hoofdstuk 2 handelt over de beveiliging van gegevens in databanken. Verscheidene thema’s komen hierbij aan bod. Zo vormt fysieke beveiliging de basis van het beveiligingsplan. Maar zonder toegangscontrole zouden nóg veel gegevens verloren gaan.

Toepassingen als

biometrie, paswoorden en badges worden dan ook grondig onder de loep genomen. Na de toegangscontrole wordt in de volgende paragraaf uitvoerig uitgewijd over virussen, aangezien

1

Inleiding

deze een bron van wijziging kunnen vormen. Naast de wijziging kan het ook zijn dat men oude records moet herstellen. Daarom behandel ik systemen als RAID, back-up en data recovery.

Beveiliging in databanken vormt echter niet de enige belangrijke topic.

Ook een veilige

communicatie is iets wat steevast bekomen moet worden. Dit wordt dan ook verder besproken in hoofdstuk 3. Gegevens die over het internet doorgestuurd en ontvangen worden, kunnen beveiligd worden door technieken als encryptie. Daarnaast is het belangrijk het bestaan van hackers niet uit het oog te verliezen. Daarom worden firewalls vaak gebruikt als bescherming tegen allerlei inbraken op het computersysteem. Ook VPN en tenslotte WebTrust worden besproken in het laatste deel van dit hoofdstuk.

Nadat de theoretische studie afgewerkt is, volgt het empirisch deel. Hierbij werden verschillende ondernemingen gecontacteerd en gevraagd een checklist in te vullen met betrekking tot hun beveiligingsniveau. De vragenlijsten werden verzameld en een vergelijkende studie is terug te vinden in hoofdstuk 4 en hoofdstuk 5. Hoofdstuk 4 beschrijft de methodolo gie die gevolgd werd, terwijl hoofdstuk 5 de resultaten van het onderzoek zal bestuderen.

Een belangrijke beperking van dit werk is het feit dat het niet in detail gaat. Technische details en dergelijke meer werden immers niet bestudeerd. Dit om te voorkomen dat het werk te uitgebreid zou worden. Het betreft ook nog altijd een thesis binnen een economische en niet binnen een informatica studierichting.

2

DEEL 1: LITERATUURSTUDIE


Hoofdstuk 1

:

Van handmatige tot elektronische gegevens 1. Inleiding Kent u die periode nog waarin ondernemingen over verscheidene kantoorruimtes beschikten die volgepropt zaten met dossiers, papier,…en dergelijke meer? Deze papierberg was niet (enkel) te wijten aan slordigheid of onachtzaamheid, ma ar was toen gewoonweg de enige manier om informatie voor lange tijd te bewaren. Tegenwoordig is deze papierophoping echter nergens meer voor nodig.

De opkomst van computers heeft ons leven immers veel gemakkelijker

gemaakt. Informatie kan nu opgeslagen worden in elektronische vorm, wat inhoudt dat we geen grote ruimten meer nodig hebben om alles in op te bergen. Deze manier van informatiebeheer brengt echter complicaties met zich mee. Zo wordt men voor het ophalen van data volledig afhankelijk van het computersysteem en is de kans op gegevensverlies groter. Daar tegenover staat wel dat informatie performanter en efficiënter opgevraagd kan worden.

Niet enkel het opslaan van data wordt gemakkelijker, ook de verspreiding ervan kan veel sneller en betrouwbaarder gebeuren door gebruik te maken van elektronische post. Merk op dat deze manier van werken een sterke beveiliging vereist. Het is immers niet ondenkbaar dat men gegevens van de harde schijf wist, of dat hackers vertrouwelijke berichten lezen en eventueel misbruiken. In onze hedendaagse maatschappij worden dan ook diverse technieken gehanteerd om tot een goede beveiliging te komen.

Een nieuwe technologie die stilaan de kop op steekt is e-commerce, het elektronisch zakendoen. Dit bestaat uit het uitwisselen van informatie en het afhandelen van transacties via het internet. Twee belangrijke zaken zijn hierbij van belang, namelijk toegevoegde waarde en vertrouwen. Wie investeert in e-commerce moet er ten eerste van overtuigd zijn dat het een grotere waarde zal bieden ten opzichte van de bestaande methoden en technieken. Ten tweede wordt het succes ervan niet enkel bepaald door de toegankelijkheid en aantrekkelijkheid, maar ook door het vertrouwen van de afnemers in de beschikbaarheid en vertrouwelijkheid van de aangeboden

3


diensten.

Om dit vertrouwen te kunnen winnen is een adequate beveiliging noodzakelijk

(LINDGREEN E.R. et al, 2000, blz. 254-256).

Een belangrijke rol zal weggelegd worden voor de IT-auditor. Hij staat immers in voor de controle van de gebruikte beveiligingsmechanismen.

In de huidige IT- markt zijn twee

fundamentele ontwikkelingen te onderscheiden, met name het toenemend belang en de toenemende complexiteit van IT. De activiteiten van bedrijven worden immers meer en meer afhankelijk van informatietechnologie. Hoewel e-commerce zich minder stormachtig ontwikkelt dan sommigen voorspeld hebben, zal het in de toekomst zeker aan belang winnen. De grote complexiteit van IT en vooral de snelheid waarmee technologieën zich ontwikkelen, zorgen ervoor dat het IT-audit beroep een dominante positie zal innemen (LINDGREEN E.R. et al, 2000, blz. 176-177).

2. Beveiliging 2.1 Wat is beveiliging? “Informatiebeveiliging is een verzamelnaam voor de processen die ingericht worden om de betrouwbaarheid van de informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil (LINDGREEN E.R. et al, 2000, blz. 15)”. Het heeft dus betrekking op informatie die vastgelegd, verwerkt, bewaard, ontvangen of gebruikt wordt, dit zowel op papier als op elektronische gegevensdragers.

Een voorwaarde is wel dat de

informatiestromen beheersbaar moeten zijn. Het besturingssysteem moet met andere woorden bijhouden wat de vertrouwelijkheid is van een bestand. Dit wordt meestal aangeduid door de term classificatie of rubricering. Indien een persoon toegang vraagt tot dat bestand, wordt eerst gecontroleerd of hij daartoe wel bevoegd is. Het doel van informatiebeveiliging is de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid van informatie garanderen. Dit zijn de drie componenten die bekend staan onder de afkorting CIA (confidentiality, integrity & availability). Deze aspecten zijn van essentieel belang voor het behoud van de concurrentiepositie, cashflow, winstgevendheid en het imago van de onderneming.

Beschikbaarheid verwijst naar de mogelijkheid dat gebruikers op de juiste

momenten toegang hebben tot informatie. De term betrouwbaarheid valt uiteen in drie aspecten: integriteit (de juistheid, tijdigheid en volledigheid va n informatie), de authenticiteit (de echtheid) 4


en de controleerbaarheid (het feit dat bepaalde zaken aan een controle onderworpen moeten worden). Tenslotte verwijst vertrouwelijkheid naar de bescherming van informatie tegen inzage of gebruik door derden (CAZEMIER J.A. et al, 1999, blz. 16). Meestal wordt informatiebeveiliging echter niet of heel weinig in overweging genomen. Problemen worden ontkend en er worden pas maatregelen getroffen als er effectief een incident heeft plaatsgevonden. Dat dit een foutieve handelswijze is die grote gevolgen met zich mee kan brengen, spreekt voor zich. Andere organisaties begrijpen wel dat beveiliging een noodzaak is, maar werken deze niet goed uit.

Nochtans worden organisaties steeds kwetsbaarder voor

allerhande bedreigingen en risico’s. De onderlinge verbondenheid van computers maken het immers steeds moeilijker om de toegang te beveiligen.

Om te bepalen welke

beveiligingsmaatregelen getroffen moeten worden, is dan ook een zorgvuldige planning vereist. Een goede beveiliging treedt pas op indien de managementverantwoordelijkheid voor beveiligingsaspecten zich uitstrekt over alle lagen van de organisatie. Dit betekent dat er inzet verwacht wordt van alle medewerkers in de onderneming (NEDERLANDS NORMALISATIE INSTITUUT, 2000, blz. 8).

2.2 Bepaling van de waarde van informatie Om in een gepaste beveiliging te voorzien, is het noodzakelijk dat de waarde van informatie bepaald wordt.

Het is namelijk afhankelijk van deze waarde dat voor een duurdere

respectievelijk goedkopere vorm van beveiliging geopteerd wordt. Om de waarde te bepalen moet er eerst een onderscheid gemaakt worden tussen gegevens en informatie. Deze termen mogen immers niet door elkaar gebruikt worden. “Gegevens kunnen gezien worden als de objectief waarneembare weerslag van feiten in een drager. Informatie daarentegen is de betekenis, die de mens aan de hand van bepaalde afspraken aan gegevens toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde gegevens (LINDGREEN E.R. et al, 2000, blz. 22)”. Als men spreekt over gegevens, dan bedoelt men onbewerkte feiten of waarnemingen. Het gaat over de grondstoffen, die omgezet moeten worden tot eindproducten. Informatie kan dan gedefinieerd worden als gegevens die getransformeerd zijn naar een zinvolle en bruikbare context voor de eindgebruikers. Informatie moet met andere woorden beschouwd worden als verwerkte gegevens (CRINS H.W. & DERKSEN J.G., 1992, blz. 4). Het verband wordt duidelijk in de volgende figuur:

5


Gegevens

Informatie

Gegevensverwerking

Gegevensopslag

Figuur 1: Relatie tussen gegevens en informatie (Eigen werk)

Informatie wordt vaak het vierde productiemiddel genoemd naast kapitaal, materiaal en mensen. Daardoor zou het ook handig zijn mocht de waarde van die informatie bepaald kunnen worden. Voor kapitaal en materiaal is dat geen probleem. De waarde van mensen daarentegen is iets moeilijker te bepalen, en het wordt helemaal rampzalig indien men de waarde van informatie moet schatten. Nochtans is het essentieel om enige kennis te verwerven omtrent de waarde van informatie indien men zinnig over informatiebeveiliging wil nadenken. Doordat dit kwantitatief praktisch niet mogelijk is, kan teruggegrepen worden naar een kwalitatieve benadering. Deze waardering kan gerealiseerd worden aan de hand van volgende factoren: (http://www.kloek.org/Inf_bev.htm) §

Herstelbaarheid : de mate waarin ontbrekende of onjuiste gegevens hersteld of gereproduceerd kunnen worden. De vraag wordt gesteld of informatie reproduceerbaar is of niet en indien wel, zij het dan met enige moeite of niet? De waarde kan dus berekend worden als de kosten die nodig zijn om eventuele informatie te herstellen. Sommige informatie gaat nu eenmaal niet verloren bij een defect. onmiddellijk opnieuw geïnstalleerd worden. informatie wel uniek is.

Zo kunnen programma’s

Belangrijker wordt het wanneer de

Het wordt dan immers heel moeilijk (en duur) om ze te

recupereren. Hoe moeilijker ze dus herstelbaar is, hoe hoger de waarde ervan zal zijn (OVERBEEK P. & SIPMAN W., 1999, blz. 23-29). §

Misbaarheid : houdt verband met het probleem hoe lang men zich zonder bepaalde informatie kan behelpen. Bepaalde gegevens kunnen gemist worden, maar andere zijn 6


onmisbaar in een goed werkende onderneming. Indien belangrijke zaken plotseling wegvallen, kan de goede werking van het bedrijf immers in gevaar komen. De waarde van de informatie kan in dit geval uitgedrukt worden als het verlies dat geleden wordt na een bepaalde tijdsspanne (OVERBEEK P. & SIPMAN W., 1999, blz. 23-29). §

Betrouwbaarheid : de vraag stelt zich hoe betrouwbaar informatie moet zijn. Dit kan nagegaan worden aan de hand van drie aspecten.

Informatie kan onjuist zijn, door

bijvoorbeeld een invoerfout. Ze kan onvolledig zijn of ze kan zich op de verkeerde plaats bevinden. Deze aspecten kunnen de betrouwbaarheid serieus aantasten. Kleine fouten zijn echter niet altijd storend, maar kunnen in bepaalde gevallen wel verkeerde informatie opleveren. Zo is bijvoorbeeld het verschil tussen debet en credit van uiterst groot belang (OVERBEEK P. & SIPMAN W., 1999, blz. 23-29). §

Belang: men vraagt zich af wie belang kan hebben bij de informatie. Het is zo dat ze in eerste instantie van belang is voor de gebruikers en de eigenaars. Maar meestal zijn ook derde partijen hierin geïnteresseerd. Zo zouden concurrenten graag de verkoopsgegevens van andere bedrijven kennen, het personeel zou gegevens of bestanden kunnen wijzigen of wissen voor eigen belang,… Er moet dus voor vo ldoende beveiliging gezorgd worden wil men niet de dupe zijn van inbraken, spionage,… (OVERBEEK P. & SIPMAN W., 1999, blz. 23-29).

O’ Brien zal het aspect ‘waarde van informatie’ bekijken, door na te gaan wat de kwaliteit is van die informatie (O’BRIEN J.A., 1993, blz. 340-342). Indien ze kwaliteitsvol is, zal het een ramp zijn mocht deze verloren zou gaan. Informatie van lage kwaliteit is echter niet zo belangrijk en wordt in mindere mate beveiligd tegen verlies of diefstal. De kwaliteit van informatie wordt bestudeerd door te stellen dat er drie dimensies aan vast hangen, namelijk tijd, inhoud en vorm. Ze geven de kenmerken weer waaraan informatie van hoge kwaliteit moet voldoen. Hieronder worden deze dimensies en hun aspecten besproken.

7


Dimensie tijd

Tijdigheid

Informatie moet geleverd worden op het moment dat ze gewenst is

Actualiteit

Informatie moet actueel zijn

Frequentie

Informatie moet zo vaak als gewenst is, geleverd worden

Tijdvak

Informatie kan geleverd worden over tijdvakken in het verleden, heden en de toekomst

Dimensie inhoud

Accuratesse

Informatie mag geen fouten bevatten

Relevantie

Informatie moet gerelateerd zijn aan de informatiebehoeften van een specifieke ontvanger in een specifieke situatie

Volledigheid

Alle gewenste informatie moet geleverd worden

Bondigheid

Slechts de gewenste informatie moet geleverd worden

Bereik

Informatie heeft een breed of smal bereik, is intern of extern gericht

Prestatie

Informatie kan prestaties laten zien door de uitgevoerde activiteiten, geboekte vooruitgang of bijeengebrachte hulpmiddelen te meten

Dimensie vorm

Helderheid

Informatie moet in een eenvoudig te begrijpen vorm geleverd worden

Gedetailleerdheid

Informatie kan in gedetailleerde of in samengevatte vorm geleverd worden

Volgorde

Informatie kan in een van tevoren aangegeven volgorde geleverd worden

Presentatie

Informatie kan gepresenteerd worden in de vorm van tekst, in numerieke, grafische of andere vorm

Media

Informatie kan geleverd worden in de vorm van afgedrukte papieren documenten, afbeeldingen op het beeldscherm of via andere media Tabel 1: Dimensies van kwaliteit (O’BRIEN J.A., 1993, blz. 340-342)

Door deze begrippen te evalueren kan vaak toch een idee ontwikkeld worden over de waarde van informatie.

8


2.3 Maatregelen van beveiliging Hiervoor werd nagegaan wat de waarde van informatie is. Afhankelijk van deze waarde moet beslist worden welke beveiligingsmaatregelen genomen moeten worden en hoeveel deze mogen kosten. Deze maatregelen kunnen echter niet zomaar getroffen worden. Er moet eerst nagegaan worden waartegen men zich effectief wil beschermen. Als er geen gevaar dreigt, is het immers niet echt nodig dat er beveiligd wordt, aangezien dit heel hoge kosten met zich mee zou brengen. Indien de dreiging echter groter wordt, is het beter dat uitgebreide maatregelen getroffen worden. Bedrijven zijn immers sterk afhankelijk van hun gegevensbestanden., wat betekent dat het verlies ervan kan leiden tot grote financiële tekortkomingen en zelfs tot het failliet gaan van de onderneming.

Dreigingen kunnen van verschillende aard zijn: ze kunnen opzettelijk zijn, er kunnen menselijke fouten en ongelukjes gebeuren, er kunnen technische storingen zijn (zoals de software die niet goed werkt) en er kunnen tal van externe oorzaken optreden die een dreiging vormen voor de aanwezige informatie (zoals brand, stroomuitval, bliksem,…). worden verder uitgediept in bijlage 1.

Deze soorten bedreigingen

Ze hebben grote gevolgen voor de beveiliging van

gegevens en dus voor het budget dat nodig zal zijn. In de praktijk wordt echter ondervonden dat vooral de ‘insiders’ bekend staan als grote dieven. ‘Outsiders’, zoals hackers staan slechts in voor een klein percentage van de verliezen. In een organisatie treden echter niet enkel bedreigingen naar de voorgrond. Risico’s zijn ook belangrijke factoren waar de onderneming moet leren mee omgaan. Een risico is eigenlijk de gemiddelde schade die de onderneming zal leiden door het feit dat een bepaalde bedreiging een verstorende werking heeft op de organisatie. Het treffen van beveiligingsmaatregelen kan de kans op allerhande risico’s verkleinen (LINDGREEN E.R. et al, 2000, blz. 22). Men kan dus gebruik maken van risicoanalyse om de gevaren in te schatten. Hiervoor beoordeelt men de schade die de organisatie zou kunnen oplopen door het optreden van een bepaald incident en de waarschijnlijkheid dat dit incident zich effectief zal voordoen. De resultaten van deze analyse kunnen dan gebruikt worden om na te gaan waar de prioriteiten gesteld moeten worden ten aanzien van het beheer van de beveiligingsrisico’s. Het is belangrijk dat deze analyse regelmatig herhaald wordt. Er kunnen immers wijzigende behoeften en prioriteiten optreden, er kunnen nieuwe bedreigingen ontstaan en men kan kijken of de bestaande maatregelen nog steeds effectief en geschikt zijn.

9


Nu bekend is waar eventuele beveiligingsmaatregelen noodzakelijk zijn, stelt zich nog de vraag welke maatregelen precies genomen moeten worden. Er bestaan immers talloze middelen om de informatie te beschermen.

Daarom wordt best eerst nagegaan welke werkwijze deze

beveiligingsmaatregelen hebben.

Ze kunnen ingedeeld worden in vier klassen: de

organisatorische, de procedurele, de fysieke en de technische maatregelen (OVERBEEK P. & SIPMAN W., 1999, blz. 73 - 77): §

Organisatorische maatregelen: zij hebben betrekking op de organisatie als geheel. Er moet een beveiligingsplan opgesteld worden en de verantwoordelijkheden moeten toegewezen worden.

§

Procedurele maatregelen: dit zijn regels die beschrijven hoe de verschillende beveiligingsmaatregelen uitgevoerd moeten worden.

§

Fysieke maatregelen: dit zijn alle maatregelen die gebaseerd zijn op apparatuur of andere materiële zaken.

Ze worden gebruikt om de gewenste beveiliging te realiseren

(bijvoorbeeld toegangspasjes,…) §

Technische maatregelen: zijn alle maatregelen die in de programmatuur ingebouwd zijn. Het intypen van een wachtwoord is hier een voorbeeld van.

Deze maatregelen zijn noodzakelijk om een goede beveiliging te kunnen opstellen. Het is natuurlijk ook belangrijk dat de juiste maatregelen op het juiste moment getroffen worden. Zo kan gekeken worden of ze in de juiste fase van de beveiligingscyclus gehanteerd worden. Daarom wordt dan ook een onderscheid gemaakt tussen vijf soorten maatregelen:

Figuur 2: Soorten maatregelen (http://www.interaccess.nl/download/security.pdf )

10


§

Preventieve maatregelen: In deze fase wordt getracht om de problemen te voorkomen. Voor elk probleem kan men immers op voorhand maatregelen treffen die het risico sterk doen afnemen. Zo kan een ongeoorloofde toegang tot pc’s voorkomen worden door gebruik te maken van toegangscontrole, verlies van gegevens kan opgelost worden door regelmatig back-ups te maken,… (CAZEMIER J.A. et al, 1999, blz. 19). Er kan een onderscheid gemaakt worden tussen permanente en elementaire maatregelen. Permanente maatregelen beveiligen het systeem continu, zonder dat ze opgestart moeten worden. Elementaire maatregelen daarentegen beveiligen pas nadat ze opgestart zijn. Daardoor moet de bedreiging eerst opgemerkt worden, waarna een signaal verstuurd wordt dat de maatregel in werking moet treden (LINDGREEN E.R. et al, 2000, blz. 22).

§

Detectieve maatregelen: Er wordt gepoogd om eventuele dreigingen op te sporen. Het bijhouden van een elektronisch logboek is één van de belangrijkste detectiemechanismen. In zo’n logboek wordt bijgehouden wie er geprobeerd heeft om toegang te krijgen tot het systeem. Een ander voorbeeld is een virusscan die virussen kan opsporen (LINDGREEN E.R. et al, 2000, blz. 22).

§ Repressieve maatregelen: Zij hebben tot doel de negatieve invloeden die voortvloeien uit een verstoring te minimaliseren. Men wil immers een zo snel mogelijke voortzetting van de activiteiten. Een ideaal voorbeeld hiervan is het bewaren van een back- up in een brandvrije kluis. Bij een brand kunnen gegevens dan onmiddellijk hersteld worden aan de hand van de back-up tape. Een ander voorbeeld van een repressieve maatregel is de verzekering. Deze kan schade niet beperken, maar ze kan wel de financiële gevolgen ervan verminderen (LINDGREEN E.R. et al, 2000, blz. 22). § Correctieve maatregelen: Dit zijn maatregelen die zich richten op het herstellen van objecten die door een incident beschadigd zijn (LINDGREEN E.R. et al, 2000, blz. 22). § Evaluatiefase: Het kan nuttig zijn om de voorbije incidenten te evalueren. Waren de beveiligingsmaatregelen voldoende? Bij eventuele gebreken dienen deze maatregelen dan ook aangepast te worden (LINDGREEN E.R. et al, 2000, blz. 22).

Uit dit alles volgt dat ondernemingen een onderscheid moeten maken tussen de verschillende maatregelen die getroffen kunnen worden.

Het is wel zo dat een absolute beveiliging

onbereikbaar en zeker onbetaalbaar is. Er moet dus een trade-off gemaakt worden tussen de mate van beveiliging en de noodzakelijke kosten die daarvoor gemaakt moeten worden.

11


3. IT audit Computerbeveiliging is een onderdeel van de interne controle in een organisatie en valt dus onder de verantwoordelijkheid van het IT-management. In grote organisaties wordt deze taak echter frequent gedelegeerd naar een aparte IT-beveiligingsfunctie. Deze functie heeft wel niet als taak de beveiligingsaspecten te implementeren. Dit valt immers onder de bevoegdheid van de informatici. De rol van de IT-beveiligingsfunctie is eerder coördinerend en ondersteunend. Naast deze functie speelt ook de auditor in vele gevallen een belangrijke rol. Specifiek voor de informatietechnologie is dan ook een toezichtfunctie weggelegd voor de IT-auditor. Vooral in deze tijd waar meer en meer gebruik gemaakt wordt van e-commerce is de IT-auditor een onmisbaar persoon geworden.

Bij deze vorm van audit moet dan ook opnieuw nagedacht

worden over het auditproces in zijn geheel.

Zo is beveiliging nog belangrijker geworden

aangezien data via het internet gestolen kunnen worden of besmet kunnen worden met virussen. De auditor moet er dan ook op toezien dat het gehele proces van informatieverzending en ontvangst op een degelijke manier kan verlopen (BURR T. et al., 2002, blz. 49-50). Controle of toezicht door een externe instantie is een onmisbaar onderdeel van elke beveiligingsmaatregel.

Dit omwille van het feit dat bepaalde personen belang hebben bij

positieve resultaten, waardoor de objectiviteit van hun rapportering in het gedrang kan komen. Als de auditor ingeschakeld wordt, wordt hij belast met de evaluatie van het gerealiseerde beveiligingsniveau in de onderneming. Dit betekent dat hij moet nagaan in welke mate de beveiliging nog voldoende werkzaam en up-to-date is. Hij beperkt zich echter niet enkel tot het beoordelen van de beveiliging, maar hij geeft ook advies omtrent deze aspecten. Door deze audit kunnen eventuele tekortkomingen gerapporteerd en nadien verbeterd worden (LINDGREEN E.R. et al, 2000, blz. 165). De hoofdtaak van een auditor bestaat er dus in een onderzoek te verrichten en vervolgens een oordeel te vellen. Indien het bestudeerde object daadwerkelijk aan de vooropgestelde normen voldoet, kan de auditor een certificaat uitreiken. Finaal kan gesteld worden dat samenwerking tussen de IT-security- mensen en de IT-auditors gebaseerd moet zijn op wederzijds respect voor andermans werk. Dit is echter vaak moeilijk te realiseren doordat de technische beveiligingsexpertise bij IT-security-mensen groter is dan bij degenen die hen moeten controleren, namelijk de auditors.

12


3.1 Ontstaan van het beroep Het vakgebied IT-auditing is voortgekomen uit de accountancy.

In de 19e eeuw is het

accountantsberoep ontwikkeld. Toen lag de nadruk vooral op de operationele aspecten van de financiële bedrijfsvoering, zoals het voeren van de boekhouding, opmaken van balansen,… Later werd de controlerende rol van de accountant ingevoerd. In het begin van de jaren zeventig kregen de accountants in toenemende mate te maken met systemen die sterk geautomatiseerd waren. De controletaak werd daardoor dan ook sterk bemoeilijkt. Daarom ontstond binnen het accountantsberoep een kleine groep van deskundigen, namelijk mensen met verstand van Electronic Data Processing (EDP). Later werd deze term omgevormd tot wat men nu kent als de IT-auditor (HAWKER A., 2000, blz. 238).

3.2 Interne en externe audit Wat betreft de functie van de auditor moet een onderscheid gemaakt moet worden tussen een interne IT-auditor, die vanuit de eigen organisatie werkt, en de externe IT-auditor, die vanuit een externe organisatie werkt. Het is belangrijk dat de auditor zo onafhankelijk mogelijk te werk kan gaan. Een interne audit kan dan ook meer leiden tot subjectieve beoordeling, waardoor de voorkeur uitgaat naar externe audits. In grote organisaties is het echter wel denkbaar om deze taak door een interne auditor te laten uitvoeren, aangezien het mogelijk is om min of meer onafhankelijke afdelingen te positioneren (LINDGREEN E.R. et al, 2000, blz. 63-64). Van een auditor wordt verwacht dat hij over een grote dosis deskundigheid, integriteit en onafhankelijkheid beschikt. Daarnaast is ook een sterk analytisch denkvermogen onmisbaar. Om deze vaardigheden onder de knie te krijgen en te kunnen behouden dient de auditor permanente bijscholingen te volgen. De beroepsvereniging van IT-auditors (NOREA) schrijft dan ook voor dat elke auditor minstens veertig uur per jaar moet besteden aan training en bijscholing.

3.3 Werkwijze van de auditor De auditor werkt meestal op basis van een meerjarig controleprogramma.

Hierin wordt

vastgelegd welke auditobjecten over een periode van één tot drie jaar onderzocht zullen worden. Voor elk auditobject wordt dan een controleprogramma opgesteld, rekening houdend met de bestaande normen en standaarden (MELYMUKA K., 2003, blz. 37). 13


Voorbeelden van relevante normen zijn: ITIL (Information Technology Infrastructure Library), code voor informatiebeveiliging en COBIT (LINDGREEN E.R. et al, 2000, blz. 174-175).

4. Wet inzake de informaticacriminaliteit In België heerst de wet van 28 november 2000 inzake de informaticacriminaliteit. Deze wet stelt dat naast valsheid in informatica, nu ook informaticabedrog expliciet strafbaar gesteld wordt. Voor valsheid in informatica stelt artikel 193 van het strafwetboek het volgende: “Hij die valsheid pleegt, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in te voeren in een informaticasysteem, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, waardoor de juridische draagwijdte van dergelijke gegevens verandert, wordt gestraft met een gevangenisstraf van zes maanden tot vijf jaar en/of met een geldboete.” In de wet zijn dus strafbepalingen opgenomen met betrekking tot verschillende domeinen, namelijk het binnendringen in een beveiligd computersysteem, het wijzigen of wissen van gegevens in een computer en het opzettelijk beschadigen of storen van het computersysteem. Ook informaticabedrog wordt door artikel 5 van de wet strafbaar gesteld. Eveneens zoals voor de valsheid in informatica, wordt de poging tot informaticabedrog bestraft met een gevangenisstraf van zes maanden tot drie jaar en/of met een geldboete. Een verdubbeling van de straf is voorzien ingeval van herhaling binnen een termijn van vijf jaar. Vervolgens werd in het strafwetboek een nieuwe titel ingevoerd die “misdrijven tegen de vertrouwelijkheid, integriteit en beschikbaarheid van informaticasystemen en van de gegevens die door middel daarvan worden opgeslagen, verwerkt of overgedragen” strafbaar stellen. Het is zo dat ook wie voor zijn of andermans plezier in een informaticasys teem binnendringt, strafbaar is.

Bovendien is wie een rechtmatige toegang tot een systeem heeft, maar zijn

toegangsniveau overschrijdt, strafbaar wanneer hij dit met bedrieglijke opzet doet of met het oogmerk om te schaden. Hiernaast bestaan ook een aant al bijzondere situaties: degene die zich onrechtmatige toegang tot een systeem verschaft of zijn toegangsniveau overschrijdt, kan zwaarder gestraft worden wanneer hij de aanwezige gegevens kopieert, wanneer hij gebruik maakt van het onrechtmatig binnengedrongen informaticasysteem of wanneer hij (zelfs onopzettelijk)

schade

veroorzaakt

aan

het

informaticasysteem

(http://www.law.kuleuven.ac.be/icri/publications/209Informaticacriminaliteit.doc). 14


5. Besluit In dit inleidend hoofdstuk werd de evolutie beschreven van handmatige tot elektronische gegevens. Deze evolutie toont aan dat ondernemingen steeds minder gebruik maken van papier als opslagmedium. Ook is door de opkomst van het internet het gegevensverkeer drastisch gewijzigd. Waar vroeger alle brieven per post verstuurd moesten worden, kan dit nu op een heel eenvoudige manier, namelijk via e- mail. Door het optreden van deze veranderingen moest men dan ook op zoek gaan naar andere vormen om informatie op een degelijke manier te kunnen beveiligen. Vervolgens werd uitgelegd wat nu precies bedoeld wordt met het aspect beveiliging. Eens dit bepaald, werd onderzocht wat de waarde is die ondernemingen hechten aan informatie, om tenslotte over te gaan tot de verschillende soorten maatregelen die getroffen kunnen worden.

15


Hoofdstuk 2

:

Beveiliging van gegevens in databanken 1. Inleiding Databanken vormen voor de meeste organisaties de belangrijkste vorm van opslag. documenten moeten dan ook zo goed mogelijk beveiligd worden.

Deze

Er bestaan hierbij

verschillende technieken, die allemaal hun eigen karakteristieken hebben. Zo is het belangrijk dat gecontroleerd wordt of de juiste persoon toegang krijgt tot gegevens. Mogen er wijzigingen aangebracht worden aan de bestanden en wie is daarvoor bevoegd? Indien gegevens verloren gaan, hoe kunnen deze dan hersteld worden? Onderstaande figuur geeft een overzicht van alle mogelijke vormen van bedreiging en maatregelen hiertegen. Karakteristieken van bedreiging

Karakteristieken van beveiliging

Mogelijke maatregelen

Toegang tot computer

Identificatie

Login systeem

Authenticatie

Paswoordsysteem

Autorisatie

Paswoordsysteem

Registratie

Logging van toegang

Classificatie

Classificatiesysteem

Autorisatie

Paswoordsysteem

Registratie

Logging van toegang

Encryptie van gegevens

Encryptiesysteem

Wijzigingspermissie

Classificatiesysteem

Wijzigingsregistratie

Logging van handelingen

Gegevensherstel

Back-up systeem

Toegang tot gegevens

Wijziging van gegevens

Tabel 2: Het bepalen van maatregelen tegen de bedreiging ‘ongeautoriseerd wijzigen van gegevens op een computer’ (LINDGREEN E.R. et al, 2000, blz. 137)

16


In de volgende delen worden deze domeinen verder uitgediept. Hiernaast wordt echter ook aandacht besteed aan het herstellen van oude records. Dit wil zeggen dat systemen zoals RAID, back-up en data recovery nader toegelicht zullen worden.

2. Fysieke beveiliging Gegevens kunnen op allerlei manieren verlo ren gaan. Eén van die manieren is door rampen in de omgeving, die serieuze schade kunnen toebrengen aan het systeem.

Voorbeelden zijn:

waterschade, explosies, aardbevingen, brand, blikseminslag,… In onderstaande tabel wordt een overzicht gegeven van de risico’s, hoe men zich hiertegen kan beschermen en hoe problemen opgelost kunnen worden:

RISICO

Brand

HOE DETECTEREN?

Alarms Rookdetector

PREVENTIE

Onderhoud Procedures igv brand Brandwerende deur

CORRECTIE

Brandblusapparaten Water Recovery Plan Verzekering

Rook

Rookdetector

Stof Temperatuur Water

Stroomonderbreking

Schoonmaak

Onderhoud

Stofzuigen

Alarm

Onderhoud

Sensoren

Automatische

Recovery Plan

Detectoren

afsluiting elektriciteit

Verzekering

Uitzetten pc’s

Bliksem

Vochtigheid

Regels opleggen

Back-ups nemen Alarms

Onderhoud Air Conditioning Alternatieve stroom

Back-up gebruiken

computerruimtes Tabel 3: Optredende risico's bij fysieke beveiliging (Eigen werk op basis van MUSAJI Y.F., 2001, blz. 59-69)

17


Vooreerst is er brand, wat een groot risico kan betekenen voor de aanwezige computerinfrastructuur en de beschikbare gegevensset. Brand kan gedetecteerd worden door rookdetectoren of door alarms te plaatsen. Best is dat de alarmsystemen goed onderhouden worden, om zo de kans op volledige vernieling te verminderen.

Ook moeten adequate

voorzorgsmaatregelen genomen worden ingeval van noodsituaties. Brandblussers, water,… zijn ideale oplossingen om brand te blussen.

In geval van een grote vernieling moet kunnen

overgegaan worden tot de uitwijkfaciliteiten (zie blz. 45), opgesteld in het ‘disaster recovery plan’ (OVERBEEK P. & SIPMAN W., 1999, blz. 416). Naast brand zijn ook rook en stof schadelijk voor het computersysteem. Zo kunnen zij ervoor zorgen dat bepaalde opslagmedia onbruikbaar worden.

Het is dan ook belangrijk de

computerruimte goed te onderhouden, regels op te leggen in verband met het computergebruik, roken,… Waterschade is een ramp die niet zo vaak voorkomt, maar die toch verstrekkende gevolgen kan hebben.

Het is van het grootste belang dat sensoren en detectoren ervoor zorgen dat de

elektriciteit automatisch afgesloten wordt in geval van wateroverlast.

Bij deze ramp is het

vanzelfsprekend dat men moet terugvallen op het ‘disaster recovery plan’ (PFLEEGER C.P., 1989, blz. 439).

Niet enkel bij waterschade, maar ook bij elektriciteitspanne kan het

noodzakelijk zijn over te schakelen op het contingentieplan. Er moet zeker voor gezorgd worden dat de computerruimtes over extra elektriciteitsstroom beschikken bij een algemene panne (PFLEEGER C.P., 1989, blz. 441). Tenslotte zorgen ook de temperatuur en de vochtigheid voor de nodige kwaaltjes. Zo kan een computersysteem niet optimaal werken bij te hoge of te lage temperatuur, respectievelijk te hoge of te lage vochtigheid. Alarmsystemen moeten weerklinken in geval de temperatuur of de vochtigheid niet optimaal is. Airconditioning systemen zijn dan ook ideaal om alles in goede banen te leiden (MUSAJI Y.F., 2001, blz. 59-69).

Beveiliging houdt echter wel meer in dan het zich beschermen tegen rampen. Het is immers ook belangrijk dat de toegang tot pc ruimtes gelimiteerd is tot diegenen die effectief de ruimte moeten betreden om hun job te kunnen uitvoeren. Anderen hebben er geen baat bij en moeten dan ook de toegang ontzegd worden. Het gehele aspect van toegangsbeheersing wordt dan ook in de volgende paragraaf uitvoerig behandeld.

18


3. Toegangsbeheersing Toegangsbeheersing zorgt ervoor dat personen enkel de toegang krijgen tot gegevens die ze nodig hebben, maar niet tot gegevens die voor hen irrelevant zijn. Het beheersen van de toegang kan dan ook beschouwd worden als één van de belangrijkste preventieve maatregelen van informatiebeveiliging. Het omvat het specifiëren, het verlenen en het bewaken van toegang. Men gaat met andere woorden onderzoeken of diegene die toegang wenst tot bepaalde gegevens, daar wel of niet toe gerechtigd is. Alles steunt hierbij op het vaststellen en controleren van de identiteit van de betreffende persoon. Toegangscontrole maakt veelal gebruik van cryptografische technieken. De kracht van deze technieken hangt voor een groot deel af van de geheimhouding en de authenticiteit van de daarbij benodigde sleutels (LINDGREEN E.R. et al., 2000, blz. 208). Hierop wordt echter dieper ingegaan in hoofdstuk 3.

3.1 Specifiëren van toegang Dit betekent dat de toegangsregels bepaald worden. Deze regels beschrijven welke personen welke bevoegdheden hebben met betrekking tot welke bestanden. Een onderscheid kan gemaakt worden tussen de bevoegd heid tot lezen (R=Read), tot aanmaken of wijzigen (W=Write) en tot uitvoeren (E=Execute). Er zijn twee principes waarop het verlenen van toegang gebaseerd kan zijn, namelijk DAC en MAC. DAC (Discretionary Access Control) is een mechanisme waarbij persone n aan anderen de toegang tot bestanden kunnen verlenen of ontzeggen.

MAC

(Mandatory Access Control) daarentegen is een mechanisme waarbij personen zelf geen invloed hebben op het verlenen of ontzeggen van de toegang tot gegevens (LINDGREEN E.R. et al, 2000, blz. 200-204).

3.2 Verlenen van toegang Logische beveiligingscontroles staan in voor het verlenen van toegang en het aanmaken van ‘audit trails’ betreffende het gebruik van gegevens. ‘Audit trails’ omvatten de mogelijkheid om te achterhalen wie wat, waar, en wanneer uitgevoerd heeft. Gebruikers zijn namelijk zelf verantwoordelijk en aansprakelijk voor hun daden (Audit & controle in de praktijk, 24/06/2002, blz. 274). Voor wat betreft de toegang tot systemen is een zware beveiliging vereist. Vooraleer

19


toegang te krijgen tot een systeem moet men immers in staat zijn om te bewijzen dat men wel degelijk bevoegd is om het systeem daadwerkelijk te betreden.

Centraal in de logische

toegangsbeveiliging staan drie fasen, namelijk de identificatiefase, de authent icatiefase en de autorisatiefase (http://httpd.apache.org/docs/howto/auth.html): §

Identificatiefase is het bepalen van de identiteit van een persoon. Een probleem hierbij is dat het relatief eenvoudig is om een identiteit te vervalsen. Daarom is het dus nodig dat niet enkel de identiteit bepaald wordt, maar vervolgens ook geverifieerd wordt.

§

Authenticatiefase: deze fase wordt ook de verificatiefase genoemd, aangezien de gebruiker hier moet bewijzen dat hij wel degelijk is wie hij beweert te zijn.

§

Autorisatiefase: in deze fase worden rechten verleend aan de gebruiker nadat hij geïdentificeerd en geauthentiseerd is.

Op basis van die rechten kan de gebruiker

bepaalde bestanden lezen of bepaalde programma’s openen waartoe anderen geen bevoegdheid hebben.

De identificatie en de authenticatie van personen kan op drie manieren gebeuren. Er kan de gebruiker gevraagd worden naar (HUNG V., 1996, blz. 33): §

iets wat hij weet (paswoorden)

§

iets wat hij heeft (badges)

§

iets wat hij is (karakteristieken zoals de stem, vingerafdrukken,… kortom alles wat met biometrie te maken heeft)

Deze aspecten worden in de volgende paragrafen nader toegelicht.

3.2.1 Paswoorden Om te controleren of het wel de juiste persoon is die toegang vraagt tot een computersysteem (en zodoende misbruik te vermijden), kan men gebruik maken van iets wat die persoon weet. Er wordt in deze context veel gebruik gemaakt van paswoorden. Deze vormen immers een goede toegangsbeveiliging indien ze op de juiste manier en in combinatie met andere technieken gebruikt worden. Het is zo dat een paswoord zo efficiënt mogelijk moet zijn. Het moet dus gemakkelijk te gebruiken zijn, doch moeilijk te achterhalen door derden. Best is dat er een combinatie gemaakt

20


wordt van alfabetische, numerieke en speciale karakters. Er moet ook vermeden worden dat het paswoord te kort is. Een lang woord maakt het immers moeilijker voor buitenstaanders om het te kraken. Een aantal onaanvaardbare paswoorden hebben te maken met de hobby, het adres, de echtgenote,… van de gebruiker. Deze paswoorden zijn immers zo logisch dat een aanval vlug gebeurd is (HAWKER A., 2000, blz. 87-88). Een

aantal

tips

voor

het

bedenken

van

degelijke

paswoorden

zijn

(http://www.cs.uiowa.edu/public/faq/faq4.1.html):

- Gebruik een normaal woord, maar spel het verkeerd - Gebruik vreemde talen - Gebruik formules - Gebruik zelfgemaakte woorden - Draai de volgorde van het woord om …

Door gebruik te maken van deze tips kunnen ‘dictionary attacks’ of woordenboekaanvallen vermeden worden. Dit betreft een aanval waarbij het gehele woordenboek overlopen wordt en alle mogelijke woorden ingevuld worden als eventueel paswoord.

Bij een match wo rdt de

aanvaller (onrechtmatig) toegang verleend tot het systeem. Een paswoord mag nooit en te nimmer ergens neergeschreven worden. De opslag ervan gebeurt in het hoofd van de gebruiker en nergens anders. Ook bij het invoeren van het paswoord is het belangrijk dat niemand kan zien welk woord je intypt. Daarom worden deze vaak verborgen door gebruik te maken van asterisks. De lengte van het paswoord blijft echter wel zichtbaar voor derden (HAWKER A., 2000, blz. 89). Omdat niet alle werknemers hier even omzichtig mee omspringen, is het beter ervoor te zorgen dat de levensduur van wachtwoorden beperkt wordt. Algemeen wordt aangenomen dat drie maanden een goede maatstaf is. Niettegenstaande elk individu zijn eigen paswoord uit het hoofd kent, gebeurt het ingeven ervan niet altijd zonder fouten. Het is immers wel mogelijk dat men een fout intypt, waardoor de toegang tot het systeem ontzegd wordt. Daarom moet de gebruiker in staat zijn om enkele pogingen te ondernemen vooraleer hij definitief geblokkeerd wo rdt. Het aantal pogingen moet echter beperkt blijven, dit om te vermijden dat iemand alternatieve paswoorden gaat uittesten. Drie tot vijf keer is een aanvaardbaar getal (Audit & controle in de praktijk, 25/02/2002, blz. 144-152).

21


Vastgesteld wordt dat paswoorden alleen geen goede beveiligingsoptie zijn. In de praktijk worden immers veel bezwaren gemaakt tegen het gebruik ervan. Zelfs al worden alle regels in acht genomen, dan nog is de techniek gemakkelijk te kraken. Een aanvaller kan de meeste codes immers eenvoudig achterhalen door het netwerk af te luisteren (=password sniffing). Wachtwoordsystemen die hiertegen bestand zijn, kunnen gebaseerd zijn op: §

Eenmalige wachtwoorden (one-time passwords, OTP): De gebruiker krijgt het beheer over meerdere wachtwoorden, waarbij elk paswoord slechts één keer geldig is. Als de werknemer alle paswoorden gebruikt heeft, moet hij een nieuwe verzameling aanvragen. Deze wachtwoorden kunnen ook afgeluisterd worden, maar ze zijn slechts gedurende een korte periode bruikbaar (PFLEEGER C.P., 1989, blz. 233).

§

Challenge-response: Dit is een techniek waarbij het systeem waartoe de gebruiker toegang wil eerst een code genereert, namelijk de ‘challenge’. De gebruiker moet dan antwoorden met de juiste antwoordcode, namelijk de ‘response’.

Indien beiden

overeenstemmen kan toegang verleend worden tot het systeem (PFLEEGER C.P., 1989, blz. 388-389). Een betere graad van beveiliging kan bekomen worden door gebruik te maken van combinaties van technieken.

3.2.2 Badges Naast de paswoorden kan ook gebruik gemaakt worden van iets wat men heeft om toegang te krijgen tot een systeem. Er bestaan verschillende soorten badges, zoals Pas en PIN code, een smartcard of een certifier. 3.2.2.1 Pas en PIN code Er kan gebruik gemaakt worden van een pas in combinatie met een PIN code (Persoonlijk Identificatie Nummer). De identificatie van de gebruiker wordt getest aan de hand van de pas en de authenticatie gebeurt door middel van de PIN code. Deze methode steunt dus op iets wat men weet (PIN code) en va n iets wat men heeft (pas).

De beveiliging is

betrouwbaarder dan de vorige vorm, alhoewel men ook zijn pas kan verliezen, wat wil zeggen dat de techniek dus ook gevoelig is voor misbruik (LINDGREEN E.R. et al, 2000, blz. 127).

22


3.2.2.2 Smartcard De smartcard is een soort minicomputer ter grootte van een bankkaart. De kaart heeft een chip waarop massa’s gegevens kunnen opgeslagen, bewerkt en verwijderd worden. Een beveiligingsprogramma op de smartcard zorgt ervoor dat de aanwezige informatie beschermd wordt en de geheimen de kaart nooit verlaten. Dit wordt mogelijk gemaakt door de implementatie van cryptografische technieken.

Bekend hierbij is vooral het

‘challenge-response systeem’. Zo genereert de computer een random getal. Indien de kaart erin slaagt om het juiste getal weer te geven, is de identiteit van de kaart geverifieerd. Dit alles garandeert een hoog beveiligingsniveau waardoor de opslag van vertrouwelijke informatie mogelijk wordt. Daartegenover moet men wel rekening houden met de privacy van de gebruiker. Het is immers enkel de fabrikant van de smartcard die de gegevens erop kan lezen.

Zodoende kan men meer informatie bewaren dan nodig (dus ook

vertrouwelijke),

waardoor

inbreuken

op

de

privacy

niet

ondenkbaar

zijn

http://www.cram.nl/cram/ieni/950108.htm).

Indien men enkel de smartcard toepast, wordt de toegangscontrole enkel gebaseerd op iets wat men heeft. In de praktijk gebruikt men echter veelal de combinatie van deze kaart en een PIN code. Voorzichtigheid is geboden wanneer men deze code moet invoeren op computer. Iemand die onrechtmatig een smartcard in handen krijgt, kan er immers een gesofisticeerd computerprogramma op loslaten om de geheime informatie te achterhalen. Dit nadeel kan echter ongedaan gemaakt worden door smartcards te maken waarbij de PIN code op de kaart zelf ingevoerd moet worden (GILHOOLY K., 2001, blz. 58). 3.2.2.3 Certifiers Iedereen die gebruik maakt van ‘pc banking’ kent ongetwijfeld de ‘certifier’. Het is een klein toestelletje dat er precies uitziet als een rekenmachine. Het enige verschil is dat dit toestel niet dient om rekensommen te maken, maar om toegang te krijgen tot een bepaald systeem. De werkwijze is als volgt: de gebruiker dient zijn certifier aan te zetten, zijn persoonlijke code in te vullen en vervolgens genereert het toestel een random getal. Dit getal moet ingevuld worden op de terminal, waarna het computersysteem het ingevoerde antwoord verifieert. Het grote voordeel bestaat erin dat er geen speciale toestellen vereist zijn. De gebruiker dient enkel in het bezit te zijn van zijn certifier, aangezien deze uniek is voor iedereen. De

23


authenticatie verloopt met andere woorden via de certifier. Dit betekent dat diefstal grote gevolgen kan hebben. Een mogelijke oplossing hiervoor is door gebruik te maken van een speciaal soort toestel dat over een aanvullend paswoord beschikt. Het toestel werkt dan pas indien de gebruiker zijn paswoord ingetypt heeft (LINDGREEN E.R. et al, 2000, blz. 129).

3.2.3 Biometrie De term biometrie verwijst naar de technologie voor de verificatie van de identiteit van personen. Aangezien karakteristieken van personen gemeten worden, is het systeem veel minder gevoelig voor fraude dan de vorige besproken technieken. Het te meten fenomeen kan gebaseerd zijn op iets wat we zijn (vb. gezicht, het oog, de vinger,…) of op iets wat we doen (zoals de stem of de manier waarop we schrijven). Dit onderscheid wijst op het verschil tussen gedragskenmerken en fysieke kenmerken. Gedragskenme rken, zoals bijvoorbeeld de stem of het handschrift, kunnen wijzigen over de tijd heen. Fysieke kenmerken daarentegen, zoals vingerafdrukken of de iris, zijn betrouwbaarder naargelang de tijd vordert. Bijvoorbeeld zijn de kleur en de patronen van de iris iets wat uniek is en nooit zal veranderen (BISHOP M., 2003, blz. 228-230).

Bij de toepassing van biometrie moet aan een aantal voorwaarden voldaan worden. Zo is het vereist dat de persoon die geauthentiseerd wordt fysiek aanwezig is. Ook moet de karakteristiek die gemeten wordt voldoen aan een aantal eisen. Ze moet uniek en stabiel (wijzigt het fenomeen in de tijd?) zijn. Bovendien moet het meetproces aanvaardbaar zijn voor de gebruiker. Dit wil zeggen dat het proces geen storende invloed mag hebben (tijdverlies, omslachtigheid,…). Ook moet gewerkt worden aan het kostenaspect, zodat de techniek niet onbetaalbaar wordt (MACIAG G., 2002, blz. 33). Er worden vele technieken van biometrie gebruikt, sommige zelfs buiten het medeweten van personen. Gezichts- of stemherkenning bijvoorbeeld kan gemakkelijk toegepast worden zonder dat de betreffende persoon er kennis van heeft.

Men spreekt in dat geval over passieve

biometrie. Deze technieken worden de laatste jaren steeds meer gebruikt, naast de herkenning van vingerafdrukken. Andere opties worden ook nog geïmplementeerd, maar wel in mindere mate, vaak omwille van de hoge kostprijs (BHARVADA K., 2002, blz. 270).

De werking van de techniek verloopt als volgt. Er bestaan twee elementaire fasen, namelijk de registratie- en de verificatiefase.

In de registratiefase worden de gegevens ingelezen en

opgeslagen in een template, terwijl in de verificatiefase gekeken wordt of de gegevens

24


overeenstemmen met wat er in de database staat (match – no match). Voor elke digitalisering ontstaat immers een elektronische code. Deze biometrische code vertegenwoordigt de persoon en is dus wel kwetsbaar voor afluisteren. De kwaliteit van de procedure is afhankelijk van de technologie, de applicatie waarin de technologie geïntegreerd wordt, veranderingen van de mens en invloeden van de omgeving. Er bestaan hierin twee typische foutenmarges, namelijk de FAR (false acceptance rate) en de FRR (false rejection rate). De FAR is de waarschijnlijkheid dat een verkeerd persoon aanvaard wordt en de FRR is de waarschijnlijkheid dat de juiste persoon geweigerd wordt. In praktijk moeten deze termen zo laag mogelijk uitvallen. In de praktijk schommelt de FRR meestal tussen de 0,5 en 11 procent. Voor veel gebruikers is het onaanvaardbaar dat men onterecht geweigerd wordt. Om dit te vermijden worden verschillende oplossingen voorgesteld, zoals het gebruik van meerdere templates (bijvoorbeeld meerdere vingerafdrukken bekomen) of het toepassen van meerdere biometrietechnieken.

Er moet echter opgemerkt worden dat bij deze techniek wel een aantal praktische bezwaren heersen. Ten eerste kan deze techniek niet bij iedereen toegepast worden. Bepaalde mensen zijn immers heel moeilijk te registreren (zo’n twee procent van de bevolking). Voor hen moeten alternatieve oplossingen beschikbaar zijn. Een tweede nadeel is dat bepaalde biometrische karakteristieken evolueren in de tijd, waardoor een herregistratie noodzakelijk kan zijn (Audit & controle in de praktijk, 25/02/2002, blz. 156161). Ook het onderscheidend vermogen is niet altijd voldoende. Zo heeft iemand die een verkoudheid heeft een andere stem dan hij normaal zou hebben. Een laatste nadeel houdt verband met het feit dat er ook onterechte goedkeuringen kunnen zijn. Mensen kunnen bijvoorbeeld geautoriseerd worden door een goede nabootsing van een handtekening.

In de volgende tabel wordt een overzicht gegeven van de meest voorkomende biometrische technieken.

25


Template

Benodigd toestel

Gebruiksgemak

Iris

Kenmerken van de iris

Camera om het oog te registreren

Laag

Gezicht

Kenmerken van het gezicht

Vingerafdruk

Vingerafdruk

Camera of voeler

Hoog en relatief goedkoop

Handgeometrie

Driedimensionale opname van de hand

Speciale lezer

Hoog

Handtekening

Middelmatig

Handtekening Kenmerken (druk, wordt geplaatst snelheid, Scanner mbv speciale pen richtingswisseling)

Goed

Apparaat om de Frequentiespectrum Goed stem te van de stem digitaliseren

Stem

Tabel 4: Biometrische technieken (Eigen werk op basis van LINDGREEN E.R. et al, 2000, blz. 130-131)

De verschillende biometrische technieken werden voorgesteld. Er moet opgemerkt worden dat de vingerafdruk de meest toegepaste methode is, aangezien deze ook relatief goedkoop is in vergelijking met de andere technieken. Bij handgeometrie is het de bedoeling dat de vorm, de grootte en eventueel de vingerlengte gemeten wordt.

Een andere werkwijze is de irisscan

waarbij het oogpatroon geanalyseerd wordt. Deze techniek is veruit het meest betrouwbaar, maar ook heel duur.

Naast het oog kan ook het gehele gezicht bestudeerd worden.

In

tegenstelling tot de overige systemen kan in dit geval een passief proces gehanteerd worden, waarbij de persoon in kwestie niet weet dat men zijn gezicht aan het analyseren is. Een laatste techniek vormt de stemherkenning. Het is evident dat hier de karakteristieken van de stem onderzocht worden.

Deze techniek is ook relatief goedkoop maar wel minder betrouwbaar

(BHARVADA K., 2002, blz. 270).

Algemeen kan men stellen dat er geen ideale biometrische techniek bestaat die in alle omstandigheden gepast is. Biometrie is een heel dure en omslachtige methode die wel heel betrouwbare resultaten oplevert. Dit wil zeggen dat deze techniek enkel toegepast wordt in situaties waar de beveiligingseisen erg hoog zijn (banksector).

26


3.2.4 Supplementaire maatregelen Ongeacht welke bovenstaande methode toegepast wordt, kunnen bepaalde maatregelen getroffen worden ter bescherming tegen het verkeerd gebruik van ‘user IDs’. Deze maatregelen situeren zich op het vlak van preventie en feedback. Zo is het belangrijk dat een terminal, na een bepaalde periode van inactiviteit, automatisch de gebruiker aflogt. Dit voorkomt dat anderen toegang zouden krijgen tot het systeem. Hetzelfde effect kan bekomen worden door het opzetten van een ‘screensaver’ waarbij, nadat hij geladen is, slechts door het invoeren van een paswoord kan teruggegaan worden naar het systeem. Naast de ‘time-out’ van de terminal, zijn deze ook vaak enkel beschikbaar tijdens de normale werkuren. Zo is het onmogelijk om toegang te krijgen tot het systeem na de kantooruren. Men werkt echter niet enkel preventief, maar men houdt ook bij wanneer welke ‘user ID’ ingelogd heeft (feedback). Zo kan eventueel misbruik snel opgespoord worden (HAWKER A., 2000, blz. 93-94).

3.3 Bewaken van toegang Het bewaken van de toegang omvat het detecteren van inbreuken op de toegangsregels en de registratie ervan. Een onderscheid kan gemaakt worden tussen een feitelijke en een potentiële inbreuk.

Bij een feitelijke inbreuk heeft het hele systeem van toegangsbeheersing gefaald,

terwijl bij een potentiële inbreuk een niet gelukte inbraakpoging gedetecteerd wordt. Wanneer dergelijke incidenten vastgesteld worden, is het belangrijk de oorzaak ervan te achterhalen. Indien dit mogelijk is, kunnen de taken, procedures,… voor het verlenen van toegang aangepast worden (LINDGREEN E.R. et al, 2000, blz. 209).

4. Beheer van wijzigingen Veel storingen in systemen of in de beveiliging worden veroorzaakt doordat wijzigingen onvoldoende beheerst worden.

Een belangrijke taak is hierbij weggelegd voor de

functiescheiding. Het is immers noodzakelijk dat alle functies duidelijk afgebakend worden, zodat men inzicht heeft in wie bepaalde gegevens mag wijzigen en wie niet. Het is echter ook belangrijk om na te gaan of een bericht al dan niet gewijzigd is (integriteitbewaking). Wanneer gegevens gewijzigd worden, is het beter een logboek bij te

27


houden waarin alle belangrijke informatie vermeld wordt. Zo kan er, in geval van discussie, teruggekeken worden wie de informatie opgevraagd en eventueel veranderd heeft. Virussen zijn een manier om van buitenaf gegevens of documentatie te wijzigen of zelfs te wissen. Dat een goede virusscan een noodzaak is spreekt voor zich. Men kan immers niet vaststellen wie gegevens gewijzigd heeft.

4.1 Functiescheiding Een belangrijke beveiligingsmaatregel om menselijk falen te voorkomen of te reduceren is functiesplitsing. Dit betekent dat gerelateerde taken en bevoegdheden opgesplitst worden naar meerdere personen om de kans op ongeautoriseerde wijzigingen of misbruik van informatie te verkleinen. Bedrog kan immers tot serieuze problemen leiden. Daarom wordt ervoor gezorgd dat mensen niet in staat zijn om fraude te plegen zonder samen te spannen met elkaar. Ook fouten kunnen door deze techniek gereduceerd worden, aangezien werknemers bij het uitoefenen van een bepaalde taak niet gehinderd worden door de uitvoering van een andere taak. Deze techniek kan in grote organisaties zonder problemen geïmplementeerd worden. Bij kleine ondernemingen is het echter moeilijk om functiesplitsing te realiseren, aangezien er al weinig personeel beschikbaar is. In die deelgebieden waar functiescheiding dan ook niet toegepast kan worden, moet de organisatie ervoor zorgen dat er andere maatregelen ter beschikking zijn, zoals bijvoorbeeld ‘audit trails’ (NEDERLANDS NORMALISATIE INSTITUUT, 2000, blz. 34-36). Een bijzondere vorm van functiesplitsing is het ‘vier ogen principe’.

Dit betekent dat bij

belangrijke beslissingen de autorisatie van meerdere personen genoodzaakt is. Om onopzettelijke fouten te voorkomen is een belangrijke rol weggelegd voor de toegangsbeheersing. Gebruikers en beheerders mogen immers enkel beschikken over bestanden die ze effectief nodig hebben voor het uitvoeren van hun functie.

Tot andere documenten

hebben zij geen recht tot inzage. Er bestaan echter ook opzettelijke menselijke fouten, zoals het stelen van bestanden of het verwijderen ervan. Behalve mensen van binnen de organisatie kunnen ook mensen van buitenaf bij deze bedreigingen een rol spelen.

4.2 Integriteitsbewaking Met deze techniek poogt men vast te stellen of een bericht al dan niet gewijzigd is. Hiervoor wordt gebruik gemaakt van ‘checkcodes’ en ‘hashing’ technieken.

‘Checkcodes’ zijn

toegevoegde informatie waarmee gecontroleerd kan worden of een bericht foutloos verstuurd is. 28


‘Hashing’ technieken daarentegen maken een comprimaat van het bericht en voegen dit toe aan het oorspronkelijk bericht. Aan de ontvangstzijde moet het ‘hash’-totaal geverifieerd worden. Hieruit kan men dan nagaan of het bericht al dan niet gewijzigd is (OVERBEEK P. & SIPMAN W., 1999, blz. 230).

4.3 Virussen Tegenwoordig zijn virussen een bekende plaag voor computergebruikers. Vooral Windows gebruikers kunnen er veel hinder van ondervinden, maar ook andere besturingssystemen zijn er niet immuun voor. Een virus is niet meer dan een stukje programmacode dat de unieke eigenschap heeft zichzelf te dupliceren. Het heeft als doel schade toe te brengen aan het systeem of aan het internet- en emailverkeer in het algemeen. Virussen nestelen zich in bepaalde programmatuur, bestanden of in het besturingssysteem van een computer. Van daaruit vermenigvuldigen en/of verspreiden ze zich. Dit gebeurt door het besmette programma op te starten, waardoor het virus meegeactiveerd wordt. Sommige virussen zijn schadelijk doordat ze zich steeds vermenigvuldigen. Hierdoor vergen ze steeds meer geheugen en schijfruimte, waardoor de computer alsmaar trager functioneert. Andere virussen vermenigvuldigen zich niet alleen, maar kunnen tevens bestanden en programma’s aantasten.

Doordat ze zich via uitwisseling van data kunnen verspreiden,

kunnen besmettingen verstrekkende gevolgen met zich meebrengen (FORCHT K.A. & HUBBARD J.C., 1998, blz. 12). Virussen ontstaan echter niet spontaan, maar zijn altijd door iemand geschreven met een middelmatige tot deskundige programmeerkennis.

In enkele uurtjes kan een programma

opgesteld worden dat grote schade kan aanrichten. Eenvoudige programma’s worden echter snel herkend door virusscanners en vormen dus geen enkele bedreiging. Het zijn echter de virussen die gebruik maken van fouten in bepaalde software en geschreven zijn door deskundige programmeurs die een serieus gevaar vormen.

Het is dan ook strikt verboden opzettelijk

virussen te verspreiden (http://www.pcguide.com). Virussen worden niet noodzakelijk direct na de besmetting actief. Ze kunnen eerst inactief zijn en pas later ‘gewekt’ worden door een bepaalde handeling van de gebruiker of op een bepaald tijdstip. Een voorbeeld van dit laatste is een virus dat zichzelf activeert op 23 maart van elk jaar (BISSET A. & SHIPTON G., 2000, blz. 901).

29


Een programma krijgt slechts de benaming ‘virus’ als het voldoet aan drie essentiële voorwaarden. Het moet in werking treden en effecten (zie bijlage 2) met zich meebrengen zonder dat de gebruiker erom gevraagd heeft, het moet de mogelijkheid hebben om bestanden te infecteren én het moet zichzelf kunnen dupliceren. Het is zo dat een virus niet noodzakelijk de harde schijf wist of doet crashen.

Er bestaan immers ook virussen die niet veel schade

aanrichten. Algemeen kan volgende indeling gehanteerd worden: de virusachtige programma’s, die niet al te veel schade aanrichten, en de echte virussen.

Voorbeelden van virusachtige

programma’s zijn worms, trojan horses, bugs, droppers en virus imposters. De boot virus, de file infector en de macrovirussen zijn dan weer voorbeelden van echte virussen, die serieuze schade kunnen berokkenen. Hieronder worden deze verschillende vormen nader toegelicht (BISHOP M., 2003, blz. 614-623).

4.3.1 Virusachtige programma’s §

Een worm (“Write once, read many”) is een programma met de capaciteit om zichzelf te verspreiden naar andere systemen. Dit vanuit zijn huidige plaats, zonder evenwel andere programma’s te infecteren. Het plant zich met andere woorden vanzelf voort door een duplicaat van zichzelf via een e- mailbericht of een macro op een andere pc over te dragen (http://www.lysias.be/Texts/NL_Security.htm).

Wormen worden vaak gebruikt om

informatie door te sluizen en om diep door te dringen in netwerken. Het nadeel voor de gebruikers is dat wormen vaak rekentijd en geheuge ncapaciteit verbruiken. §

Trojaanse paarden zijn geen echte virussen in de strikte zin van het woord. Het zijn onschuldig ogende programma’s die door de ontwikkelaars gebruikt worden om op een illegale manier wachtwoorden te onderscheppen of andere data te ontvreemden. Dergelijk virus vermenigvuldigt zich niet zelfstandig. Een variant hiervan is het ‘backdoor’ trojaans paard. Dit programma zorgt ervoor dat, meestal via het internet, anderen kunnen inbreken op je computer (TYLER G., 2002, blz. 26).

§

Bugs zijn niets anders dan fouten in programma’s. Een bug heeft niets te maken met een virus, maar het kan wel het gehele systeem platleggen zonder dat men iets verkeerd gedaan heeft (http://www.virusalert.nl).

§

Droppers zijn programma’s die ontwikkeld worden om een virus of een trojaans paard te installeren of te leveren op een bepaald systeem. De dropper is bovendien speciaal

30


ontworpen

om

detectie

bij

standaard

antivirusprogramma’s

te

voorkomen

(http://www.virusalert.nl). §

Hoaxes zijn waarschuwingen voor nepvirussen. Ze vragen om bijgevoegde berichten naar iedereen door te sturen waardoor het gewenste effect bereikt wordt, namelijk het overbelasten van servers. Een variant op de hoax is de zogenaamde kettingbrief. Zo’n bericht vraagt om een bepaalde mail door te sturen omdat dit bijvoorbeeld tot een goed doel dient,… Dergelijk virusachtig programma is meestal te herkennen door bijgevoegde tekst “Stuur dit bericht naar zoveel mogelijk mensen door.” Er wordt hierbij in zekere mate ingespeeld op de angst voor virussen, waardoor veel mensen nogal primair gaan reageren en voldoen aan het verzoek in de hoax zonder eerst navraag te doen (Computer Intrusions …, 1999, blz. 116).

§

Virus imposters zijn programma’s die beter bekend staan onder de naam “joke programs”. Ze bootsen het effect van een virus na zonder evenwel schadelijk te zijn voor de gegevens. Ze zijn enkel en alleen ontworpen om mensen eens goed op stang te kunnen jagen (http://www.virusalert.nl).

4.3.2 Echte virussen §

Boot sector virussen zijn virussen die de boot sector (hierin staat de nodige informatie om de computer te kunnen opstarten) op de harde schijf aanvallen. Een dergelijk vir us kan men oplopen door bijvoorbeeld een geïnfecteerde diskette in het station te laten zitten en het systeem opnieuw te starten. Het gevaarlijke hierbij is dat zo’n virus opgestart wordt nog voor alle andere software (zoals bijvoorbeeld de virusscanner). Als dergelijk virus zich ingenesteld heeft, verspreidt het zich naar elke gegevensdrager die niet tegen schrijven beveiligd is. Bootvirussen richten zich op het beschadigen van deze gegevens, waardoor de computer niet meer opgestart kan worden (FORCHT K.A. & HUBBARD J.C., 1998, blz. 14).

§

Een bestandsvirus is een virus dat kijkt naar de extensie van een bestand. Indien dit aan bepaalde voorwaarden voldoet, zoals .com, .exe of .dll, zal het virus zich in dat bestand nestelen. Bij het starten van een programma met dergelijke extensie laadt het virus zich in het geheugen, waardoor het automatisch in staat is zichzelf te verspreiden naar andere applicaties. Deze verspreiding kan zich binnen een bepaalde computer afspelen, maar ook (en vooral) naar andere computers.

Bestandsvirussen verspreiden zich dus

31


onafhankelijk van de gegevensdrager en kunnen ook van het internet gedownload worden (http://pisa.belnet.be/pisa/nl/virus.htm). §

Macrovirussen tasten ge en programma’s aan, maar wel gegevensbestanden, vooral dan de MS Office bestanden.

Het hoofddoel van dit virus is dan ook deze gegevens

beschadigen (http://www.internl.net).

Afhankelijk van welk besturingssysteem gebruikt wordt, kan een virus wel of niet schadelijk zijn. Zo zal een virus geschreven voor Windows-systemen geen schade kunnen aanrichten op een Macintosh-systeem en omgekeerd.

Dit neemt echter niet weg dat beide systemen

virusgevoelig zijn. De gebruikersgraad van Windows is echter zo hoog dat over het algemeen virussen geschreven worden voor dit systeem. In 2002 vertegenwoordigden ze 87 procent van alle virussen (VERTON D., 2003, blz. 21).

Er zijn een aantal maatregelen die men kan treffen tegen virussen, zoals preventie, reductie, detectie, repressie, herstel en evaluatie. Tijdens de preventiefase is het zeer belangrijk nieuwe software te contoleren op virussen. Men dient heel voorzichtig om te springen met software die men van het internet downloadt, en zeker met deze van bepaalde (onbetrouwbare) cracksites. De meeste virussen zien daar immers het levenslicht. In de reductiefase wordt het belang van goede back- ups nogmaals onderstreept, terwijl de detectiefase ervoor zorgt dat alle servers periodiek op virussen gecontroleerd worden (OVERBEEK P. & SIPMAN W., 1999, blz. 196). De bekendste (commerciële) programma’s om virussen op te sporen en/of te verwijderen zijn McAfee en Norton. Men moet wel de bedenking maken dat een virusscanner in het bezit hebben niet afdoende is, aangezien deze scanners steeds achterlopen op de feiten. Het is immers pas als er een nieuw virus in omloop is dat de laboratoria de virusscanners kunnen aanpassen. Om toch een zo goed mogelijke beveiliging te realiseren, is het best dat men beschikt over de recentste virusdefinities. Dit zijn bestanden waarin de stukjes code van een virus staan, zodanig dat de scanner de virussen kan herkennen. Men zou verkeerdelijk kunnen veronderstellen dat door de installatie van een virusscanner men verlost is van alle zorgen.

Een waterdichte

beveiliging kan echter nooit gegarandeerd worden. Er moet namelijk ook preventief gehandeld worden door elk bestand dat van het internet afgehaald wordt te scannen en door regelmatig checkups te doen van de harde schijf (Computer intrusions and attacks, 1999, blz. 117). De hedendaagse virusschrijver wordt echter steeds inventiever.

Zo worden allerhande

technieken gehanteerd om antivirussoftware te misleiden. Zo kan men onder andere gebruik 32


maken van ‘polymorphing’, een techniek die ervoor zorgt dat elke keer een virus infecteert, zijn verschijning en zijn grootte verandert. Een andere veel gebruikte techniek is ‘stealth’, wat betekent dat een virus alle veranderingen die hij aangebracht heeft poogt te verstoppen, zodat de gebruiker niet merkt dat zijn pc geïnfecteerd is (http://www.decursor.be). Na de detectiefase komen we tot de repressiefase, waarin eventuele geïnfecteerde bestanden geïsoleerd worden zodat verdere verspreiding onmogelijk is. Tenslotte overheerst de herstelfase waarin de back-up gebruikt wordt om de schade te herstellen, en de evaluatiefase waarin het virus aangemeld wordt zodat men alarm kan slaan (OVERBEEK P. & SIPMAN W., 1999, blz. 196).

5. Herstellen van oude records Het is natuurlijk van groot belang dat gegevens die toch op de één of andere manier gewijzigd of gewist zijn opnieuw hersteld kunnen worden. Dit kan gerealiseerd worden door gebruik te maken van technieken zoals RAID, back-up of data recovery. Deze worden hieronder uitgebreid besproken.

5.1 RAID Gegevens kunnen op allerlei manieren verloren gaan.

De meest voorkomende vorm is het

crashen van de harde schijf. Dit kan immers leiden tot groot gegevensverlies, iets wat niet zomaar in een handomdraai te herstellen is. Een oplossing hiervoor is het gebruik maken van een systeem dat hardware redundancy omvat, zoals RAID. Dit biedt immers bescherming tegen computer hardware en disk failure (TRAUBITZ T., 2000, blz. 20-22). RAID staat voor ‘Redundant array of independent (inexpensive) disks’. Met RAID worden twee of meerdere harde schijven gebruikt om een systeem te bouwen dat tegen fouten bestand is (ook fault-tolerant genoemd) en/of hoge datadoorvoersnelheden levert. Dit wordt gerealiseerd door de harde schijven op een bepaalde manier aan elkaar te koppelen met een RAID controller. Het principe van RAID steunt op het opslaan van gegevens op verschillende schijven. Zo wordt gebruik gemaakt van vele kleinere schijven om grote hoeveelheden informatie op te slaan. De hardware voorziet in fouttolerantie en ‘redundancy’. Als één drive faalt, kan deze vervangen worden en de verloren gegevens kunnen gerecupereerd worden aan de hand van de data op andere drives. 33


Er wordt een verschil geconstateerd tussen ‘low-end’ en ‘high-end’ RAID controllers. ‘Lowend’ RAID controllers vereisen dat de gebruiker de server stillegt als een drive verwijderd of toegevoegd wordt. Dit in tegenstelling tot de ‘high-end’ controllers (=hot swapping), die een drive verwijderen of toevoegen terwijl de server aan het draaien is (BROWN S.D. & MAIDA J.C., 1999, blz. 732-733).

5.1.1 RAID levels Er zijn vele soorten implementaties van RAID, elk aangeduid met een bepaalde level. Afhankelijk van budget, persoonlijke vereisten,… wordt geopteerd voor een bepaalde vorm. Deze zijn allemaal verschillend qua performantie, betrouwbaarheid en kostprijs.

Ze zijn

gestandaardiseerd en gecategoriseerd in zes niveaus, beter gekend als de RAID 0 tot en met RAID 5 levels. De meest gebruikte zijn de RAID 0, RAID 3 en RAID 5 (OHLSON K., 2000, blz. 67).

5.1.1.1 Level 0 RAID level 0 komt overeen met het ‘data striping’ proces. ‘Striping’ betekent dat de inhoud van een datafile of programma gespreid wordt over twee of meer disks. Bij een normale harde schijf worden de bestanden achter elkaar geladen.

In het geval van een RAID

configuratie worden de data van de harde schijven parallel geladen, wat maakt dat de snelheid waarmee gegevens opgehaald worden, verbetert. Ook het schrijven van data gebeur t op een andere manier. Segment 1 wordt bijvoorbeeld weggeschreven naar disk 0, segment 2 naar disk 1,… Als het systeem de laatste disk tegenkomt, zal het vervolgens de data gaan schrijven naar het volgend beschikbare segment op disk 0 (HAWKER A., 2000, blz. 209).

Een figuur zal enige verduidelijking brengen.

34


Figuur 3: Data striping (Eigen werk)

5.1.1.2 Level 1 RAID level 1 komt overeen met het ‘disk mirroring’ proces. ‘Mirroring’ betekent dat alle data in het systeem simultaan op twee harde schijven geschreven worden. In plaats van ieder bestand in blokken te hakken en die elk op een schijf weg te schrijven zoals met RAID 0, gebruikt RAID 1 een schijf voor het originele bestand en een schijf voor een kopie van dat bestand. Wanneer er nu een schijf faalt, bestaat er altijd een exacte kopie op een andere schijf.

Het voordeel van deze configuratie is dat het ‘restoren’ van data

(herstellen van verwijderde of beschadigde bestanden) snel gebeurt door de aanwezigheid van redundante data. Dit proces vereist altijd een even aantal drives. De voordelen van ‘mirroring’ zijn: §

door de complete redundancy van de gegevens is er een vlug herstel bij een disk failure

§

het lezen van data kan gebeuren door beide schijven, wat leidt tot een minimale opzoektijd

‘Mirroring’ heeft echter niet alleen voordelen. Mogelijk optredende nadelen zijn: §

er kan slechts gebruik gemaakt worden van de helft van de werkelijke diskruimte, aangezien alles twee maal opgeslagen wordt

§

het schrijven van data gebeurt iets langzamer doordat naar beide harde schijven geschreven moet worden

§

de kostprijs is verdubbeld aangezien men twee schijven gebruikt

35


RAID 1 kan hoge snelheden en vlugge responstijden bereiken als de meeste handelingen verzoeken tot lezen van de data zijn. Indien de acties vooral bestaan uit verzoeken tot schrijven van data, dan is RAID 1 niet veel vlugger dan RAID 0 (DE CAUSMAECKER P., 2001, slides) Hieronder volgt een illustratie van het begrip mirroring.

Figuur 4: RAID mirroring (http://www.pcguide.com)

5.1.1.3 Level 2 - 3 - 4 RAID level 2 is oorspronkelijk ontworpen voor mainframes en supercomputers.

De

gegevens worden over meerdere schijven verspreid. Een aantal daarvan bevatten geen normale data, maar uitsluitend gegevens voor foutcorrectie, ook wel ‘error correction code’ of ‘Hamming code’ genoemd. Dit betekent dat fouten direct verbeterd kunnen worden zonder bijkomende vertraging van het systeem. RAID 2 is uiterst veilig maar duur en wordt daardoor enkel gebruikt wannneer frequent fouten verwacht mogen worden (http://www.kloek.org/Inf_bev.htm). RAID level 3 bevat ‘data striping’, maar ziet er ook op toe dat enige fouttolerantie optreedt, wat niet het geval is in RAID 0. RAID 0 bevat geen fouttolerantie en geen redundancy, waardoor geen bescherming geboden wordt tegen gegevensverlies.

RAID 3 is een

goedkoper systeem in aanschaf, maar de integriteit van de gegevens is niet altijd gegarandeerd (OHLSON K., 2000, blz. 67). RAID level 4 maakt gebruik van meerdere harddisks, maar het besturingssysteem ziet de array als één groot volume in plaats van een aantal aparte volumes. Eén van de harddisks wordt uitsluitend gebruikt voor de opslag van foutcorrectiegegevens. Het systeem is dan

36


ook heel veilig: het uitvallen van een willekeurige schijf heeft geen enkele consequentie voor de integriteit van de data. Het foutcorrectieprotocol berekent uit de ter beschikking staande gegevens welke data ontbreken en reconstrueert deze terwijl u aan het werken bent. Wel moet de defecte schijf zo snel mogelijk vervangen worden, omdat een tweede defect niet opgevangen kan worden (http://www.acnc.com).

5.1.1.4 Level 5 In servers waar beschikbaarheid van data van vitaal belang is, wordt meestal gebruik gemaakt van een RAID 5 configuratie. RAID 5 combineert alle voordelen van de RAID technologie en reduceert de nadelen (extra harddisk ruimte) tot het laagst mogelijke niveau. In plaats van het opslaan van een kopie, zoals bij RAID 1 gebeurt, berekent een RAID 5 controller bij het wegschrijven van data een ‘check digit’. Mochten er ooit data verloren gaan of beschadigd raken, dan kan de controller met behulp van de eerder gemaakte ‘check digit’ de data restoren. Dit rekenen kost processorkracht en gaat daarom niet zo snel als het restoren van data in een RAID 1 configuratie, waarbij de controller alleen data van de mirrordisk naar de originele disk moet schrijven (OHLSON K., 2000, blz. 67).

Andere voorkomende, maar minder besproken levels zijn RAID 6, 7, 10 en 53.

Welk soort level gekozen wordt, is afhankelijk van persoonlijke voorkeur, budget,… Indien een goede graad van performantie nagestreefd wordt met een matigheid van bescherming, zal geopteerd worden voor een RAID 1 level. Als, aan de andere kant, bescherming heel belangrijk is, zal eerder geopteerd worden voor bijvoorbeeld level 5 (TENNANT R., 2001, blz. 26).

5.1.2 Baten van RAID §

Hogere gegevensbeveiliging: door het feit dat ge gevens redundant worden opgeslagen, kunnen bij het falen van één schijf, de data gerecupereerd worden aan de hand van de andere schijf.

§

Fouttolerantie: wanneer een gecrashte schijf verwijderd wordt, blijft de server normaal functioneren en gaan er geen gegevens verloren. Dit wordt mogelijk gemaakt door de raid controller die de ontbrekende informatie herconstrueert uit de resterende gegevens op de overblijvende disk(s) (BROWN S.D. & MAIDA J.C., 1999, blz. 732-733).

37


§

Verbeterde beschikbaarheid: beschikbaarhe id verwijst naar de toegang tot data, welke aanzienlijk verbetert door het invoeren van RAID systemen.

§

Verhoogde capaciteit : door een aantal kleinere drives te veranderen in een grotere ‘array’ wordt hun capaciteit samengevoegd. Dit zorgt ervoor dat het ‘disk space management’ gemakkelijker wordt.

§

Verbeterde performantie: door de toepassing van de RAID technologie kan optimaal gebruik gemaakt worden van de capaciteit van meerdere hard disks.

5.1.3 Kosten van RAID Aan RAID zijn niet enkel voordelen verbonden. Er moet ook rekening gehouden worden met talrijke kosten. Enkele hiervan worden hieronder besproken (http://www.pcguide.com): §

Kosten van planning en design: om een degelijk RAID systeem op te zetten moet gepland worden welk type van RAID er gebruikt zal worden, voor welke grootte van ‘arrays’ geopteerd zal worden, welk soort hardware gebruikt zal worden,…

§

Hardware: hardware kosten bestaan uit harddisks, een hardware RAID controller,… Deze kosten kunnen geminimaliseerd worden door gebruik te maken van een low-end RAID systeem.

§

Software: een RAID systeem vereist bepaalde software, zoals een ‘operating’ systeem

§

Setup en training: eenvoudige RAID systemen vereisen niet noodzakelijk training. Een uitgebreid en ingewikkeld systeem echter vereist vele uren training.

§

Onderhoud

Het in een server plaatsen en opnemen van meerdere harde schijven en of controller(s) in een RAID configuratie is een kostbare zaak, maar voor een kritische server is het echter een absolute must. In de praktijk blijkt een harddisk crash vaker voor te komen dan wordt aangenomen. Zonder RAID control betekent zo’n crash dat de server ‘down’ (plat) gaat en deze opnieuw moet worden voorzien van een besturingssysteem en dergelijke meer. Dit is echter een tijdrovende en daardoor kostbare aangelegenheid. Hoe langer de ‘downtime’ van de server, des te kostbaarder en vervelender het is voor haar gebruikers.

38


5.1.4 Trade – off Een RAID systeem kan natuurlijk niet aan alle eisen voldoen. Anders wordt dit onbetaalbaar. Daarom moet de gebruiker zelf kiezen welk systeem aan zijn verwachtingen voldoet. Vaak is er een ‘trade-off’ tussen performantie, kost en fouttolerantie. De vereisten en de hoeveelheid geld die gespendeerd mag worden, liggen aan de basis van de keuze van het type RAID.

Een

voorbeeld verduidelijkt deze stelling: als kost en fouttolerantie niet zo belangrijk zijn, kan geopteerd worden voor een systeem met een hoge performantie. De keuze voor één alternatief gaat dus ten koste van het andere. De trade-off wordt weergegeven in volgende figuur:

Figuur 5: Trade-off (http://www.pcguide.com)

Punt A vormt de balans tussen de drie opties. Punten B, C en D zijn echter goed in twee van de opties ten koste van het derde alternatief.

5.1.5 Beperkingen van RAID Vele gebruikers denken dat hun gegevens door de toepassing van een RAID systeem volledig beschermd zijn tegen enige vorm van verlies.

De redundancy die in het RAID systeem

ingebouwd is, geeft een belangrijke bescherming, maar er zijn echter nog andere manieren

39


waarop gegevens verloren kunnen gaan. Enkele voorbeelden worden hieronder opgenomen (http://www.pcguide.com). §

Onverwachte crash van de harde schijf: het kan zijn dat meerdere drives simultaan crashen (multiple drive crash). Dit komt meer voor indien beide schijven van hetzelfde merk en model zijn.

§

Hardware problemen: er kunnen zich allerlei andere problemen met de pc voordoen die zorgen voor een verlies van gegevens.

Zo kunnen problemen ontstaan met het

moederbord,… §

Fysieke schade: door natuurrampen, sabotage,… kan gegevensverlies geleden worden

§

Software problemen: elke software heeft zijn ‘bugs’. Dit kan in bepaalde gevallen leiden tot gegevensverlies.

§

Virussen: een virus kan individuele files of zelfs een hele disk wissen.

RAID kan

hiertegen niets doen. §

Menselijke fouten: RAID kan geen bescherming bieden tegen het per ongeluk wissen van bepaalde bestanden, tegen het formatteren van de verkeerde partitie,…

Deze voorbeelden geven aan dat een RAID systeem dus geen complete bescherming biedt. De enige bron van herstel in deze gevallen is een back-up tape. Hierop wordt in volgend deeltje teruggekomen.

5.2 Back-up Een back-up is het maken van een reservekopie, die gebruikt kan worden indien bepaalde bestanden of programma’s schade opgelopen hebben.

Het is dus eigenlijk een soort van

terugvalmogelijkheid bij moeilijkheden. Als er bijvoorbeeld een ernstige fout geslopen is in het systeem, kunne n de getroffen bestanden hersteld worden door gebruik te maken van de back-up. Het is beter dat er zo weinig mogelijk mensen betrokken worden bij het back-up proces. Hiervoor kan de onderneming aldus een ‘back-up administrator’ aanstellen. Meerdere personen aanstellen kan het proces van herstelling bij opgelopen schade immers bemoeilijken (RUBENKING N.J., 2002, blz. 71). In vele gevallen worden er geen back-ups genomen. Mensen negeren het maken ervan omwille van verschillende redenen. Ofwel begrijpen ze niet hoe belangrijk het is om over een back-up te beschikken, ze weten niet hoe ze er één moeten nemen, ze vergeten het simpelweg of ze vinden 40


het een tijdrovende taak waardoor deze dan ook vaak uitgesteld en zelfs afgesteld wordt (http://www.pcguide.com). Het is ook belangrijk te waken over de plaats waar de back- up opgeslagen wordt. Het is immers niet de bedoeling dat de back- up en het originele bestand getroffen worden door dezelfde bedreiging.

Het is dus een noodzaak de back-up op te slaan in een ruimte die voldoende

beveiligd is tegen allerhande bedreigingen, zoals bijvoorbeeld een brand of een inbraak. Er moet echter een afweging gemaakt worden bij de keuze van de afstand waar de back-up opgeslagen wordt. Hoe verder de afstand tussen het originele bestand en de back-up, hoe zekerder men is dat de back-up niet getroffen wordt bij bedreigingen. Anderzijds is het ook zo dat hoe verder de afstand, hoe groter de kosten zijn bij het vernieuwen van de back-up (BALTZAR H., 2002, blz. 47). Een belangrijke techniek, naast fysieke opslag is ‘electronic vaulting’. Het is een techniek die de informatie in verband met transacties in logfiles stopt die dan doorgestuurd worden naar de backup site met een tussenperiode van enkele uren. Het nadeel aan deze techniek bestaat erin dat als de primaire site plat ligt, de transacties dan ook niet doorgestuurd kunnen worden (DE VICENZI, 1999, blz. 109).

5.2.1 Soorten back-ups Bij het gebruiken van back-ups is het belangrijk eerst een antwoord te kennen op de vraag hoe vlug je gegevens hersteld moeten worden bij het optreden van rampen en ten tweede op de vraag hoeveel je als onderneming bereid bent te betalen om een back-up systeem in te voeren (HUNTON J.E., 2002, blz. 65).

Er zijn immers verscheidene soorten back-ups die grote

verschillen vertonen qua prijs,…: §

Volledige back-up: de gehele schijf wordt gekopieerd om een zo volledig mogelijke back-up te bekomen. Het is de meest eenvoudige manier om een back-up te nemen, maar het vergt ook de meeste tijd (RUBENKING N.J., 2002, blz. 71).

§

Partiële back-up: van een bepaalde gegevensverzameling wordt een selectie gekopieerd. Dit type van back-up geeft de gebruiker meer controle over hetgeen hij gekopieerd heeft. Hierbij laat men dan wel een deel van de harde schijf onbeveiligd (LINDGREEN E.R. et al, 2000, blz. 218-220).

§

Incrementele back-up: een back- up waarbij enkel die bestanden gekopieerd worden die gewijzigd of aangemaakt werden na een bepaald tijdstip. Indien men, na opgelopen schade, de oorspronkelijke gegevens wil herstellen, moet men eerst de recentste volledige

41


back-up ophalen.

Dit is echter niet voldoende.

Ook alle incrementele back- ups

(genomen na de volledige back-up) moeten immers terug opgehaald worden (RUBENKING N.J., 2002, blz. 71). §

Differentiële back-up: een back- up waarbij enkel die bestanden gekopieerd worden die gewijzigd of aangemaakt werden sinds de laatste volledige back-up. Bij het gebruiken van deze techniek moet men eerst de recentste volledige back-up ophalen, gevolgd door de recentste differentiële back- up (RUBENKING N.J., 2002, blz. 71).

Er zijn twee speciale vormen van back- up, namelijk de ‘roll back’ en de ‘snapshot’. De ‘roll back’ is een procedure die veel gebruikt wordt in de bankwereld. Men kan hiermee immers een oude situatie in het systeem herstellen door transacties ongedaan te maken en als het ware terug te bladeren in de tijd (OVERBEEK P. & SIPMAN W., 1999, blz. 116). Een ‘snapshot’ zorgt ervoor dat men back-ups kan nemen zonder dat de applicaties afgesloten moeten worden. Het zorgt met andere woorden voor een continue back- up, wat dus wel de beste methode vormt tegen menselijke fouten (MOORE F., 2002, blz. 29).

Hiervoor werd een onderscheid gemaakt tussen de verschillende soorten van back-ups. Men moet echter rekening houden met het feit dat er ook verschillen optreden naargelang het medium waarop de back-up opgeslagen wordt. De bekendste voorbeelden zijn optische schijven (zoals CD en DVD), magneetschijven (zoals harddisk en floppy) en magneetband (tape).

Deze

verschillende media hebben ook totaal andere karakteristieken wat betreft de opslagcapaciteit, de toegangssnelheid, leessnelheid, schrijfsnelheid, bestendigheid en prijs (BALTHAR H., 2002, blz. 46). Zo was de floppy disk een heel goede manier van back-up in de vroege jaren negentig. Nu is het gebruik ervan echter heel sterk gedaald.

Ze zijn immers traag geworden, zijn vaak

onbetrouwbaar en veel te klein om een degelijke back- up te kunnen nemen. Vanaf 1995 kwam de ‘Iomega Zip drive’ a uit. Het zag eruit alsof de meeste computers dit systeem vanaf dan wel zouden implementeren. Dit was echter niet het geval, aangezien de kostprijs nogal hoog was. Een bijkomende reden vormde het feit dat de gegevensbestanden steeds groter werden. Later kwam men op de proppen met de CD-R en de CD-RW, iets wat nu ook duidelijk nog veel aantrek heeft. Er kan immers veel informatie opgeslagen worden tegen een relatief goedkope prijs, vooral bij de CD-RW. Indien alle bestanden van een onderneming opgeslagen worden op

a

Soort diskette met hogere opslagcapaciteit en snelle informatie-uit wisseling.

42


CD-R, dan kan dit een kostelijk grapje worden aangezien deze CD’s slechts één keer beschreven kunnen worden. Dit euvel wordt echter verholpen door gebruik te maken van de CD-RW, die wel opnieuw gebruikt kan worden. De recentste innovatie is echter de DVD, waarop een heel grote hoeveelheid aan informatie opgeslagen kan worden. Een bijkomend voordeel is dat de prijs hiervan vlug aan het dalen is. Een DVD is voor grote bedrijven echter niet voldoende om hun bergen informatie op te bewaren. Daarom kan het vaak handig zijn een extra harde schijf te installeren (SMITH R., 2002, blz. 41-42). Een andere techniek die toegepast kan worden is het verdelen van de harde schijf in verschillende partities. Zo kan men werken op de ene partitie en de back-up opslaan op de andere. Dit heeft als voordeel dat het een eenvoudige techniek betreft. Het grootste nadeel is dat de gegevens op de back-up partitie niet bestand zijn tegen virussen, hackers,… Ook het feit dat naarmate de schijf vol geraakt, men eerder ge neigd zal zijn de back- up partitie te gebruiken om data op te slaan, in plaats van een nieuwe schijf aan te kopen (http://www.pcguide.com).

5.2.2 Methoden van back-up Een back- up kan op verscheidene manieren genomen worden. Er bestaan dus een aantal methodes om een degelijke kopie te nemen van bestanden. Een eerste onderscheid kan gemaakt worden tussen ‘after image logging’ en ‘before image logging’. Bij de ‘after image’ wordt in een logbestand telkens de nieuwe toestand na de transactie bewaard. Bij een update bevat het logbestand dus telkens het gewijzigde record. Wanneer het systeem uitvalt, kan het origineel bestand hersteld worden met behulp van een herstelprogramma dat alle ‘after images’ leest en deze op het bestand aanbrengt. Bij de andere herstelprocedure, ‘before image logging’, noteert het logbestand de image van de record net voordat dit gewijzigd werd. Bij een herstelprocedure wordt de log in omgekeerde volgorde gelezen en wordt de database terug hersteld in de originele vorm.

Nadien wordt de volledige verwerking herstart om te komen tot een volledig

gereconstrueerde database (Audit & Controle in de praktijk, 1998, blz. 420). Een tweede onderscheid is het verschil tussen synchrone en asynchrone replicatie van data. Synchrone replicatie houdt in dat gegevens ‘real time’ b opgeslagen en gekopieerd worden naar twee systemen. Dit zorgt ervoor dat data altijd identiek zijn op de twee systemen. Het doel van deze techniek is dan ook ervoor te zorgen dat het he rstel van beschadigde bestanden zo vlug mogelijk kan gebeuren. Het grootste nadeel is weliswaar dat het een dure aangelegenheid betreft. b

De kosten kunnen echter gedrukt worden door gebruik te maken van asynchrone

Directe verwerking waardoor alle gegevens steeds up-to-date zijn.

43


replicatie. Deze techniek zorgt ervoor dat een kopie van elke transactie doorgezonden wordt naar het tweede systeem. Dit kan automatisch gebeuren, of op vooraf ingestelde tijdstippen. Het voordeel is dat deze techniek veel goedkoper is, maar het grootste nadeel is dat er geen gebruik gemaakt wordt van ‘real time’ verwerking, waardoor de gegevens niet up-to-date zijn (VIJAYAN J., 2002, blz. 54).

5.3 Data recovery Data recovery kan gezien worden als een soort van continuïteitsplanning die gebruik maakt van back-ups. Computerhardware, -software en bestanden kunnen immers vernietigd of beschadigd worden door tal van gebeurtenissen. Dergelijke incidenten zorgen ervoor dat de normale gang van zaken verstoord wordt en dat bepaalde cruciale activiteiten verhinderd worden, wat kan leiden tot serieuze financiële verliezen. Het is dan ook belangrijk dat er een goed rampenplan uitgewerkt wordt dat voorziet in een back- up van de hardware en de infrastructuur. Bovendien moet het plan regelmatig aangepast en uitgetest worden (Audit & Controle in de praktijk, 1998, blz. 129). Hieruit volgt dat er beter afspraken gemaakt worden met een gespecialiseerd bedrijf om over reserve apparatuur te kunnen beschikken wanneer het eigen systeem ten gevolge van een catastrofe onbruikbaar wordt. Deze techniek wordt ook ‘uitwijken’ genoemd. Er kan echter een onderscheid gemaakt worden tussen technische en functionele uitwijk. Bij technische uitwijk staan de technische componenten van de informatievoorziening centraal (bijvoorbeeld een computersysteem elders opbouwen).

Bij functionele uitwijk daarentegen wordt de

dienstverlening elders operationeel gemaakt. Technische uitwijk is voldoende om voorbereid te zijn op calamiteiten die alleen de technische componenten betreffen. Functionele uitwijk is noodzakelijk om voorbereid te zijn op een breder scala aan calamiteiten, zoals brand, overstroming,… (LINDGREEN E.R. et al., 2000, blz. 220-221). Een uitwijkfaciliteit kan op verschillende plaatsen gerealiseerd worden: §

Binnen de eigen onderneming

§

Binnen een soortgelijke onderneming (bilaterale uitwijk): in het geval van een ramp kan uitgeweken worden naar een andere onderneming. De organisatie waarnaar uitgeweken wordt moet wel zelf een deel van de eigen informatiesystemen tijdelijk buiten gebruik stellen.

44


§

Bij een gespecialiseerde organisatie: hierin kan opnieuw een onderscheid gemaakt worden tussen de ‘Shared stand-by facility’ en de ‘Selected stand-by facility’. De ‘Shared stand-by facility’ zal het back-up systeem delen met een groot aantal andere bedrijven, wat een gunstige invloed heeft op de kosten. De ‘Selected stand-by facility’ daarentegen zal het back- up systeem slechts met een beperkt aantal bedrijven delen (Audit & Controle in de praktijk, 1998, blz. 129).

Het is belangrijk dat een uitwijkfaciliteit binnen een bepaalde tijd beschikbaar is. Afhankelijk van de eisen die op dat punt gesteld worden, zijn er verschillende soorten uitwijkfaciliteiten (LINDGREEN E.R. et al., 2002, blz. 221-222): §

Container: deze bevat een beperkte IT- infrastructuur die voldoende is om de onderneming tijdelijk te kunnen ondersteunen.

Als uitwijken nodig is, wordt de

container voorgereden en aangesloten op de elektriciteitsvoorziening. Dit kan echter enkele uren tot een hele dag in beslag nemen. Het is dan ook een mogelijkheid die relatief goedkoop is, aangezien de container enkel gebruikt wordt indien het effectief nodig is. §

‘Empty shell’ of ‘cold stand-by’: dit is een lege ruimte die voorbereid is om de benodigde IT- infrastructuur in onder te brengen. De basisvoorzieningen, zoals elektriciteit, zijn wel aanwezig, maar de IT- infrastructuur nog niet.

Indien nodig wordt de benodigde

apparatuur aangevoerd van elders. Deze mogelijkheid is iets duurder dan de container omdat men een lege ruimte beschikbaar moet houden (HAWKER A., 2000, blz. 214). §

‘Cold redundant’ faciliteit : in dit geval is een volledige IT- infrastructuur reeds aanwezig, zodat indien nodig de informatiesystemen direct opgestart kunnen worden.

Deze

uitwijkmogelijkheid is duurder dan de vorige omdat ook de benodigde apparatuur beschikbaar moet blijven. Het is echter wel mogelijk om deze apparatuur te gebruiken voor andere doeleinden, zolang zich geen uitwijksituatie voordoet. §

‘Hot redundant’ faciliteit (mirroring): In dit geval is de volledige IT- infrastructuur in tweevoud aanwezig. Ook zijn de informatiesystemen op beide plaatsen actief, wat wil zeggen dat de gegevens ongeveer gelijktijdig verwerkt worden.

Indien uitwijk

noodzakelijk is, is het reserve systeem al volledig up-to-date. Het kost dus heel weinig tijd om hierop terug te vallen. Daartegenover staat wel de hoge kostprijs.

45


Het realiseren van een uitwijkvoorziening brengt aanzienlijke kosten met zich mee. Om een degelijke keuze te maken van het soort uitwijk dat men nodig heeft, kan de onderneming een selectietraject volgen aan de hand van volgende stappen (LINDGREEN E.R. et al., 2002, blz. 222-224):

1.

Bepaal

de

randvoorwaarden:

de

financiële

middelen,

het

personeel,

de

leveranciersrelaties,… 2.

Inventariseer de informatievoorziening

3.

Bepaal voor ieder informatiesysteem welk belang het vertegenwoordigt door uit te zoeken welke schade verwacht kan worden als het systeem wegvalt

4.

Selecteer op basis van de randvoorwaarden en het belang van het informatiesysteem welke systemen in aanmerking komen om uit te wijken

5.

Bepaal de IT-infrastructuur die nodig is

6.

Bepaal de uitwijkfaciliteiten

7.

Kies op basis van voorgaande stappen welke uitwijkfaciliteit in aanmerking komt

Na het selecteren van de uitwijkvoorziening kan gestart worden met de implementatie ervan. Daarvoor wordt eerst een uitwijkplan opgesteld. Dit plan bestaat uit twee delen, namelijk een beschrijving van de zaken die vooraf geregeld moeten worden en een uitwijkscenario waarin de activiteiten beschreven worden die in het geval van een uitwijk uitgevoerd moeten worden. Na de realisatie moet men regelmatig toetsen in welke mate de uitwijkingsfaciliteit en het uitwijkingsplan nog steeds voldoen.

Indien de faciliteit niet meer voldoet, moet het

selectietraject opnieuw doorlopen worden.

46


Figuur 6: Schema voor selectie, implementatie en toetsing van uitwijkvoorziening (LINDGREEN E.R. et al., 2002, blz. 223)

6. Besluit Zoals in dit hoofdstuk werd aangehaald, heeft beveiliging van gegevens in databanken betrekking op verschillende aspecten. Zo vormt toegangsbeheersing één van de belangrijkste topics binnen dit kader. Verscheidene technieken, waaronder het gebruik van paswoorden, badges en biometrie, konden moeilijk over het hoofd gezien worden. Hiernaast is ook het bestaan van virussen een relevant aspect, aangezien dit door de opkomst van het internet aan belang wint.

Tenslotte werden technieken van back- up, RAID en disaster recovery nader

toegelicht.

47


Hoofdstuk 3

:

Opstellen van een veilige communicatie 1. Inleiding Gegevens uit databanken kunnen nu wel beveiligd worden, maar we hebben nog altijd een probleem indien ze doorgestuurd moeten worden over het internet. De techniek die hier gebruik van maakt is ‘Electronic data interchange’ (EDI). “EDI staat voor de uitwisseling van gegevens in een gestandaardiseerde en geautomatiseerde vorm tussen de computersystemen van organisaties” (Audit & controle in de praktijk, 10/08/1998, blz. 435). Het doel is, net zoals bij het internet, om de overdracht van informatie met zo weinig mogelijk menselijke tussenkomst te laten verlopen. Dit biedt grote voordelen, namelijk een snellere verwerking van informatie, een kostenbesparing, nauwkeurige informatie en een betere service. Het gebruik van het internet voor zakelijke toepassingen is echter zeker niet zonder risico’s. Er kunnen immers hackers zijn die er belang bij hebben om de doorgestuurde berichten te onderscheppen,… Hieruit blijkt dat een beveiligde communicatie noodzakelijk is, hoewel niet steeds iedereen daarvan overtuigd is.

Hoe kunnen we zeker zijn dat andere mensen geen

berichten kunnen lezen of veranderen? Deze eisen voor een veilige communicatie zitten vervat in wat algemeen ‘De vijf beveiligingseisen’ worden genoemd (VERLEYEN B., 2002, blz. 1011): §

Authenticatie Het feit dat je zekerheid moet hebben over de identiteit van diegene met wie je communiceert, noemt men authenticatie. Dit kan bijvoorbeeld gerealiseerd worden door die persoon te vragen naar iets dat hij weet (wachtwoord), iets dat hij heeft (kaart) of iets dat hij is (irisanalyse, vingerafdrukken,…).

Deze laatste methode wordt ook wel

biometrie genoemd: het door het opmeten of bepalen van eigenschappen van het lichaam iemand ondubbelzinnig kunnen identificeren. Het spreekt voor zich dat de verschillende methodes ook gecombineerd kunnen worden. Deze technieken werden vroeger reeds besproken (VANHESTE J., 2001, blz. 495-496).

48


§

Autorisatie Autorisatie is het proces waarbij bepaald wordt welke rechten een bepaald persoon heeft. Zo heeft in een schoolnetwerk bijvoorbeeld de netwerkbeheerder meer rechten dan een student.

Hij moet zich immers bezighouden met de configuratie van het netwerk,

waardoor hij dus als het ware een trede hoger staat in de hiërarchie dan een student (VERLEYEN B., 2002, blz. 10-11). §

Geheimhouding Aan deze voorwaarde, namelijk dat zender en ontvanger zeker zijn dat gegevens niet door anderen gelezen kunnen worden, wordt meestal voldaan door gebruik te maken van encryptie (VERLEYEN B., 2002, blz. 10-11). Deze techniek wordt verder (zie blz 50) behandeld.

§

Integriteit Men wil er zeker van zijn dat berichten onderweg niet meer gewijzigd kunnen worden. Dit moet verhinderen dat wanneer iemand een financiële transactie doet, er geen persoon met kwade bedoelingen deze kan aanpassen. Ook is het zo dat de betrouwbaarheid van gegevens niet va nzelfsprekend gewaarborgd is. hoeveelheden onbetrouwbare informatie aanwezig.

Op het internet zijn enorme Wie binnen zijn organisatie

belangrijke beslissingen neemt op basis van informatie die van het internet gehaald wordt, moet aanvullende maatregelen treffen om zekerheid te krijgen omtrent de betrouwbaarheid ervan (VERLEYEN B., 2002, blz. 10-11). §

Onweerlegbaarheid Dit is in feite het vastleggen dat een bepaalde gegevensuitwisseling tussen twee personen daadwerkelijk heeft plaatsgevonden. Zo wordt het dan voor beide partijen onmogelijk te ontkennen dat deze uitwisseling gebeurd is (VERLEYEN B., 2002, blz. 10-11).

Nu de voorwaarden voor een veilige communicatie bekend zijn, kan onderzocht worden welke technieken bestaan om dit te realiseren. Achtereenvolgens worden cryptografie, hacken, firewalls, VPN en WebTrust behandeld.

49


2. Cryptografie Tegenwoordig communiceren wij heel vaak. Vroeger gebeurde dit vooral verbaal, terwijl op dit moment vooral het internet voor de overgrote meerderheid van de communicatie zorgt. Hoe meer wij echter communiceren via deze elektronische kanalen, hoe moeilijker het wordt om onze privacy te verzekeren. Hoe kan men immers voorkomen dat derden door het afluisteren van communicatielijnen kennis kunnen nemen van vertrouwelijke informatie? Hoe kan de zender aan de ontvanger bewijzen dat een bericht wel werkelijk van hem afkomstig is? Deze problemen worden opgelost met behulp van cryptografie. Dit is de kunst van het geheimschrijven, dus het onleesbaar maken van berichten voor nieuwsgierige buitenstaanders (BHARVADA K., 2002, blz. 268).

2.1 Encryptie Encryptie stamt eigenlijk af van het Grieks en betekent letterlijk ‘ontcijferen’. Vercijferen is het onleesbaar maken van een bericht voor onbevoegden. Het gaat dus om het versluieren van de originele gegevens met complexe mathematische transformaties (algoritme) met behulp van een geheime sleutel. De basis van elke versluiermethode is dan ook dit algoritme. “Een algoritme is een stel regels, volgens welke een gegevensblok omgezet wordt naar een nieuw blok, waaruit het origineel alleen te herleiden is door iemand die het gebruikte algoritme kent” (OVERBEEK P. & SIPMAN W., 1999, blz. 120). Daarnaast is ook een unieke sleutel vereist. Op basis hiervan doet het algoritme zijn werk, waardoor het dan ook onmogelijk is een geëncrypteerd bericht te ontcijferen zonder deze sleutel. Het gaat meestal om een getal van een bepaalde lengte. Hoe langer dit getal, hoe moeilijker het is om de gecodeerde boodschap te kraken (= de boodschap decoderen zonder sleutel).

Teneinde het bericht terug te ontcijferen, moet de ontvanger

beschikken over het transformatiealgoritme en de sleutel. De techniek is in feite gemakkelijk te vergelijken met een wiskundige deling, waarbij het deeltal de originele tekst vormt, de deler de sleutel is en de delingsbewerking het algoritme. Tenslotte is het resultaat van deze deling het gecodeerde bericht (VANHESTE J., 2001, blz. 496). Klassieke vercijfersystemen maken gebruik van algoritmen die tekens uit de brontekst verplaatsen (transpositie) of tekens uit de brontekst door andere tekens vervangen (substitutie). Een bekend algoritme is het Caesar algoritme, vernoemd naar Julius Caesar. Hij maakte voor zijn algoritme gebruik van twee schijven, die elk het alfabet bevatten. Van het te vercijferen

50


bericht wordt elke letter vervangen door een letter die een vast aantal posities verder ligt in het alfabet. Een heel eenvoudige techniek dus, waardoor deze makkelijk te kraken is. De techniek van het kraken van vercijferde berichten wordt dan ook cryptoanalyse genoemd.

Het kan

gebruik maken frequentieanalyse, een techniek die stelt dat in een taal bepaalde letters of woorden vaker voorkomen dan andere. Een aanvullende methode is de ‘dictionary attack’. Hierbij legt de cryptoanalist een woordenlijst aan van reeds gevonden letters of lettercombinaties. Men kan dan ook snel grote delen van het bericht achterhalen en dus naar de ontbrekende delen zoeken. Een derde techniek waarover de cryptoanalist beschikt is die van ‘key space exhaustion’ ofwel sleuteluitputting. Bij deze methode wordt er vanuit gegaan dat het gebruikte algoritme bekend is. Alle sleutels worden één voor één toegepast tot men een zinnig bericht gevonden heeft (OVERBEEK P. & SIPMAN W., 1999, blz. 221-223). De meest voor de hand liggende vorm van versluieren is die waarbij een bericht door de afzender zodanig versluierd wordt, dat het enkel nog door de beoogde ontvanger ontcijferd kan worden. Dit wordt aangeduid als ‘end-to-end vercijfering’. Vercijfering kan echter ook toegepast worden voor het versluieren van gegevens over een communicatiekanaal tussen twee knooppunten. Dit wordt aangeduid als lijnvercijfering.

Deze techniek wordt veelal gebruikt in omvangrijke

communicatienetwerken (LINDGREEN E.R. et al., 2000, blz. 183-184).

Er bestaan nu twee methoden om het origineel bericht terug te krijgen uit het gecodeerde, namelijk symmetrische en asymmetrische encryptie.

2.1.1 Symmetrische versleuteling Symmetrische versleuteling, ook wel ‘private-key encryptie’ genoemd, maakt bij de versleuteling zowel bij het coderen als het decoderen gebruik van dezelfde sleutel. De twee partijen spreken dus onderling een geheime sleutel af, wat meteen ook het grootste nadeel vormt aan deze methode.

Indien de partijen elkaar niet kunnen ontmoeten en dus geen sleutel

afspreken, kunnen moeilijk berichten uitgewisseld worden. Het bekendste symmetrisch algoritme is DES, genoemd naar de Amerikaanse ‘Data Encryption Standard’. Bij deze methode ligt geen mathematische methodiek ten grondslag, waardoor de enige manier om het te kraken sleuteluitputting is (http://www.securecomputing.com). Onderstaande figuur zal het begrip symmetrische versleuteling verduidelijken:

51


Gemeenschappelijke sleutel


Persoon A

Persoon B Gemeenschappelijke sleutel


Figuur 7: Symmetrische encryptie (VERLEYEN B., 2001-2002, blz. 13)

2.1.2 Asymmetrische versleuteling Symmetrische coderingssystemen gaan ervan uit dat mensen over een veilige manier beschikken om regelmatig een nieuwe gemeenschappelijke sleutel af te spreken. Als steeds dezelfde sleutel gebruikt wordt, is de beveiliging immers niet optimaal. Een probleem stelt zich echter als de mogelijkheid niet bestaat om sleutels uit te wisselen.

Daarom werd een tweede techniek

uitgewerkt, namelijk asymmetrische versleuteling of ‘public-key encryptie’. Hierbij is het niet meer nodig dat de partijen eerst een geheime sleutel afspreken. Elke partij beschikt namelijk over twee sleutels: een publieke en een gehe ime. De publieke sleutel is openbaar en mag door iedereen gekend zijn, terwijl de geheime sleutel strikt privé is. Stel bijvoorbeeld dat Stefanie een bericht wil sturen naar Bert. Dan is het nodig dat Stefanie het bericht versleutelt met de publieke sleutel van Bert. Die kan immers achterhaald worden, aangezien deze sleutel openbaar is. Om het bericht te decoderen moet Bert dan gebruik maken van zijn geheime sleutel. De enige die over deze sleutel beschikt is Bert zelf. afluisteren

aangezien

de

geheime

Er kan met andere woorden niemand het bericht sleutel

van

Bert

niet

gekend

is

(http://www.verisign.netscape.com/security/pki/understanding.html). Het bekendste asymmetrisch algoritme is het RSA-algoritme, genoemd naar de ontwikkelaars Rivest, Shamir en Adleman. Het komt erop neer dat de RSA software zelf de twee sleutels genereert. De ene sleutel wordt gebruikt om een bericht te encrypteren en de andere om te decrypteren. De beide sleutels zijn dan ook wiskundig nauw met elkaar verwant. Als een boodschap immers met behulp van de eerste sleutel gecodeerd wordt, kan ze enkel nog met de

52


tweede sleutel ontcijferd worden en omgekeerd. Bij de generatie van sleutels wordt één sleutel publiek verspreid aan alle deelnemers van het netwerk en wordt een corresponderende sleutel geheim gehouden.

De software bepaalt zelf welke sleutel publiek gemaakt wordt.

Zodra

gegevens met deze publieke sleutel gecodeerd zijn, kunnen ze enkel no g met behulp van de andere geheime sleutel ontcijferd worden. (http://www.lysias.be). Hieronder volgt een figuur ter verduidelijking:

Publieke sleutel Persoon B

Private sleutel Persoon B

Persoon A

Persoon B Private sleutel Persoon A

Publieke sleutel Persoon A

Figuur 8: Asymmetrische encryptie (VERLEYEN B., 2001-2002, blz. 13)

2.1.3 Verschil tussen beide methodes Beide methodes worden frequent gebruikt, al is er wel een verschil in toepassingsgebied. Symmetrische encryptie vergt veel minder rekenwerk dan asymmetrische en wordt dan ook gebruikt om veel gegevens snel door te sturen. Asymmetrische encryptie heeft dan weer het voordeel dat het veel gemakkelijker is om een veilige verbinding op te stellen, aangezien het voldoende is om de publieke sleutel van de gesprekspartner te kennen om ermee te kunnen communiceren (VERLEYEN B., 2001-2002, blz. 13). Het verschil tussen de twee bekendste algoritmen, het DES algoritme en het RSA algoritme, zit hem in de snelheid en het sleutelgebruik. Zo is DES vele keren sneller dan RSA, waardoor het beter is voor het bewerken van grote hoeveelheden gegevens. Wat betreft het sleutelgebruik stellen we vast dat het DES algoritme dezelfde sleutel gebruikt voor het coderen en het decoderen van een blok, terwijl RSA voor het coderen een andere sleutel gebruikt dan voor het decoderen.

Voor het sleutelbeheer bij RSA is er een instantie nodig, die door zender en

ontvanger vertrouwd wordt, en die ervoor zorgt dat beiden de juiste publieke sleutels ontvangen.

53


Dergelijke

instantie

wordt

ook

wel

een

‘Certification

Authority’

(CA)

genoemd

(http://www.securecomputing.com).

2.1.4 MAC Niet enkel het versluieren van informatie is belangrijk, maar ook het garanderen van de echtheid ervan. Partijen willen immers vaak zekerheid hebben dat de ontvangen boodschap gelijk is aan hetgeen verzonden werd. Men wil met andere woorden de garantie krijgen dat het bericht onderweg niet gewijzigd is. Dit kan bereikt worden door aan dit bericht een cryptografische echtheidscode toe te voegen, zoals bijvoorbeeld een MAC (Message Authentication Code). Voor het berekenen van zo’n MAC wordt gebruik gemaakt van dezelfde techniek als die voor het versluieren van een bericht. Het toevoegen van dergelijke code zorgt er immers voor dat de ontvanger kan controleren of het bericht onderweg niet gewijzigd werd (HAWKER A., 2000, blz. 147). Nu kan men wel controleren of het bericht al dan niet gewijzigd is, maar meestal wil men ook zekerheid verwerven omtrent de identiteit van de verzender. Is het ontvangen bericht met andere woorden wel degelijk afkomstig van de persoon van wie ik denk dat het komt? De techniek die hiervoor gebruikt wordt is de digitale handtekening. Dit wordt hierna uitvoerig besproken.

2.2 Digitale handtekening Het probleem omtrent de identiteit van personen wordt opgelost door gebruik te maken van de digitale handtekening. Dit gaat als volgt: bij het versturen van een bericht wordt eerst een ‘message digest’ (soort controlegetal) berekend. Deze wordt versleuteld met de geheime sleutel van de afzender. De versleutelde ‘message digest’ wordt dan ook de digitale handtekening genoemd. Het verstuurde bericht bestaat dus uit twee delen, namelijk de boodschap en de digitale handtekening. Na aankomst van het bericht wordt de digitale handtekening gedecodeerd met de publieke sleutel van de afzender.

Dit levert opnieuw een ‘message digest’ op.

Vervolgens wordt gecontroleerd of de ontvangen boodschap en de ontvangen ‘message digest’ bij elkaar passen. Indien onderweg de boodschap gewijzigd is, zal dit op deze manier aan het licht komen (BUSTA B., 2002, blz. 43). De techniek wordt in de volgende figuur geïllustreerd:

54


Figuur 9: Digitale handtekeningen (VANHESTE J., 2001, blz. 499)

In de beschrijving hierboven werd het bericht enkel voorzien van een digitale handtekening, maar werd het niet versleuteld. Beide technieken kunnen natuurlijk ook gecombineerd worden.

We kunnen nu wel zien wat de identiteit is van personen, maar een bijkomend probleem stelt zich. Hoe kunnen we zeker zijn dat die persoon ook wel degelijk die persoon is, en niet iemand die zich als dusdanig voordoet? Dit euvel kan verholpen worden door gebruik te maken van certificaten.

2.3 Certificaten en ‘Thrusthed Third Parties’ (TTP) PKI (Public Key infrastructure) is de naam voor de infrastructuur die nodig is voor het betrouwbaar toepassen van asymmetrische algoritmen. Wanneer men een bericht ontvangt dat voorzien is van een digitale handtekening, wil men immers ook de zekerheid dat deze handtekening daadwerkelijk aangemaakt is door diegene waarvan men denkt dat hij de afzender is. Deze zekerheid wordt verschaft door een ‘Certification Authority’ (CA). Elke afzender moet zich registreren bij een CA.

Nadat deze de identiteit van de aanvrager geverifieerd heeft,

ontvangt hij een certificaat (GRUPE F.H. & KUECHLER W., 2003, blz. 20-23). Certificaten zijn dus ondertekende publieke handtekeningen, die bewijzen dat een identiteit bij een bepaalde sleutel hoort.

Er moet echter een onderscheid gemaakt worden tussen de CA en de RA

(Registration Authority). Een registratie autoriteit is immers geen certificatie autoriteit. Ze

55


tekent geen certificaten en geeft ze ook niet uit. Ze staat de CA enkel bij tijdens het proces van certificatie. Het is de ‘thrusted third party’ (TTP) die uiteindelijk vertrouwd wordt voor het controleren

van

de

digitale

identiteitsbewijzen

(waaronder

certificaten

en

digitale

handtekeningen). Het gebruik van TTP kan leiden tot waterdichte digitale handtekeningen. Mits goed gebruik zijn deze minstens even veilig als gewone handtekeningen (http://www.rsa.com). Uiteindelijk zorgt deze maatregel voor een verhoogde kans op veilige communicatie.

Een

verhoogde kans, maar geen absolute zekerheid aangezien het bijvoorbeeld mogelijk is om een werknemer van een CA om te kopen, valse identiteitsbewijzen voor te leggen,… en op deze manier toch op een onrechtvaardige manier een certificaat te bekomen.

Niet enkel een

onrechtmatig certificaat kan bekomen worden, het kan ook zijn dat een certificaat herroepen werd en dus niet meer geldig is. Daarom is het belangrijk als ontvanger van een digitaal ondertekend bericht na te gaan of het certificaat niet herroepen of geschorst werd. De schorsing of de herroeping van certificaten wordt door de CA gepubliceerd onder de vorm van een ‘Certificate Revocation List’ (CRL) (http://pisa.belnet.be/pisa/nl/encryption.htm).

2.4 Pretty Good Privacy (PGP) PGP is een systeem dat uitgevonden werd in 1991 door Phil Zimmermann met als doel e- mail berichten te kunnen verzenden die enkel door de juiste persoon gelezen kunnen worden (ALLBRITTON C., 2002, blz. 40). De techniek combineert symmetrische en asymmetrische versleuteling en werkt volgens het principe van ‘public-key cryptography’. Om een bericht veilig te versturen vraagt men aan de ontvanger om zijn publieke sleutel te sturen. Vervolgens wordt met deze sleutel een eenmalige DES sleutel vercijferd, die op zijn beurt gebruikt wordt om de inhoud van het bericht te vercijferen. Enkel de bedoelde ontvanger is in staat om kennis te nemen van de inhoud van het bericht. Het is immers alleen hij die beschikt over de geheime sleutel die nodig is om de DES sleutel, waarmee de inhoud van het bericht vercijferd is, te kunnen herleiden (http://www.transcopy.com/pgp.html).

3. Hacken Er zijn personen en bedrijven die het Internet via allerlei manieren misbruiken in plaats van gebruiken. Zo is hacken een techniek waarbij ongeautoriseerde buitenstaanders inbreken in het computersysteem van een organisatie en gegevens of programma’s vernietigen of wijzigen. Er 56


bestaan verschillende motieven waarom mensen gaan hacken, namelijk voor het plezier, voor persoonlijk belang, om te spioneren of om te frauderen. Een speciale vorm van hackers zijn de ‘script kids’. Het zijn personen die weinig kennis hebben van de zaak, maar die zich zonder al te veel moeite willen kunnen uitleven op andermans computersysteem. Omdat sommige sites heel slecht beveiligd zijn, slagen deze mensen er soms in om hier en daar in te breken (KRAUSE J., 2002, blz. 52). Terwijl hackers van buiten het bedrijf gevaarlijk kunnen zijn, kunnen ongeautoriseerde gebruikers binnen de organisatie eveneens een potentieel gevaar betekenen. Misbruik van de computer is niet langer meer een lokaal probleem, maar wel een wereldwijd probleem (ABUMUSA A.A., 2002, blz. 92).

3.1 Evolutie van hacken In onze hedendaagse maatschappij moeten we inzien dat criminele daden vooral op het financieel vlak te situeren zijn. Dit betekent dat de meeste inbreuken vooral een financiële weerslag hebben. In onze moderne samenleving is het immers zo dat het meest waardevolle bezit intellectuele informatie is. Veel daarvan wordt opgeslagen op computers, wat voor het misdaadmilieu een aantrekkelijke prooi is. Er bestaat immers een beperkte kans om betrapt en effectief veroordeeld te worden. Door de opkomst van ‘home banking’ is het heel belangrijk een degelijke beveiliging te kunnen bieden tegen allerlei vormen van spionage. Het is immers niet de bedoeling dat onbevoegde personen zomaar overschrijvingen kunnen doen of erger nog, je hele bankrekening plunderen (BELL R.E., 2002, blz. 308-309). Zo maken bepaalde bankinstellingen gebruik van de certifier (zie blz. 23) als bescherming tegen ongewenste toegang van onbevoegde personen.

3.2 Wapens tegen hacken Als een pc toegang heeft tot het internet heeft deze enorm veel poorten waarvan de meeste zelfs niet gebruikt worden. Via deze poorten is het mogelijk te communiceren met andere computers. Bovendien moet er een programma (een server) zijn die deze communicatie mogelijk maakt. Een onderdeel van het hacken vormt dus het installeren van een server op een pc. Dit kan gebeuren door een e- mail te sturen naar het slachtoffer. Het is een populaire methode waarbij de hacker een bericht stuurt aan het slachtoffer en deze met een smoes probeert te overtuigen het bijgevoegde attachment te openen. Als men erin trapt wordt de server geïnstalleerd zonder dat 57


men hier weet van heeft. Eens de server geïnstalleerd is en de pc verbonden is met het internet, is het mogelijk voor de hacker om gebruik te maken van de pc van het slachtoffer. Het is echter ook mogelijk om te constateren of er met een poort een server verbonden is. Deze techniek heet poortscannen, en zorgt er dus voor dat gebruikers kunnen controleren of men wel degelijk geen hackers op het systeem heeft zitten (http://home.zonnet.nl). Een tweede wapen tegen hacken vormt de controle van de systeembestanden. Dit zijn alle bestanden die verscholen zitten onder (voor Windowssystemen): C:\WINDOWS C:\WINDOWS\SYSTEM C:\PROGRAM FILES De scan van de systeembestanden kan dan vergeleken worden met deze op een later tijdstip. Er kunnen bestanden bijgekomen zijn ten gevolge van het installeren van een programma of ten gevolge van het onrechtmatig installeren van een trojaans paard (zie blz. 30). (http://home.zonnet.nl) Het meest belangrijke wapen vormt echter een goede beveiliging, die voorkomt dat onbevoegden op de pc of het netwerk kunnen binnendringen. Een programma met een dergelijke functie wordt vaak een ‘firewall’ genoemd.

4. Firewalls Om aanvallen van hackers tegen te gaan gebruiken ondernemingen vaak firewalls. Ze moeten immers instaan voor een deftige beveiliging van hun intern netwerk. “Het is een systeem dat zich tussen het interne netwerk en de buitenwereld bevindt en het heeft als doel het netwerkverkeer te controleren en eventueel te blokkeren (SELIGER R., 1999, blz. 10-11)”. Er wordt met andere woorden een verdediging opgesteld tegen aanvallen van buitenaf. Een firewall biedt echter geen garantie tegen ongewenst bezoek, maar het vormt wel een obstakel dat de meeste indringers even halt doet houden. Firewalls vervangen andere beveiligingsmaatregelen niet, maar bieden enkel een extra beveiliging door het afschermen van internetmogelijkheden tussen de buitenwereld en het intern netwerk (http://www.virusalert.nl). Behalve toegangscontrole bevat een firewall ook voorzieningen om alle binnenkomende data te screenen. Zo worden binnenkomende gegevens die besmet zijn met virussen erdoor geweerd. Zonder firewall zou het intern netwerk in rechtstreekse verbinding staan met het internet, wat wil

58


zeggen dat ongeautoriseerde pogingen ondernomen kunnen worden om het systeembeheer van een pc over te nemen (VANHESTE J., 2001, blz. 474-475). Volgende figuren verduidelijken het begrip firewall:

Figuur 10: Situatie zonder firewall (VANHESTE J., 2001, blz. 474)

Figuur 11: Situatie met firewall (VANHESTE J., 2001, blz. 475)

4.1 Taken van de firewall Een firewall heeft een uitgebreid takenpakket. De centrale taak is echter het reguleren van het verkeer tussen het intern netwerk en het internet. Dit reguleren gebeurt in drie stappen, namelijk het in ontvangst nemen van een connectieverzoek, het controleren of dit verzoek ingewilligd mag worden en het al dan niet tot stand brengen van de verbinding. Naast deze taak is het niet zo dat eenmaal een firewall geïnstalleerd is, deze geen verdere aandacht meer nodig heeft. Er

59


zijn immers nog tal van beheersmatige taken die goed opgevolgd moeten worden (VANHESTE J., 2001, blz. 481): §

Logging: dit is het bijhouden van de administratie met betrekking tot het gebruik van de firewall (http://pisa.belnet.be/pisa/nl/firewall.htm).

§

Alerting: dit is de functie die ervoor zorgt dat verdachte zaken, opgenomen in de logging, direct doorgespeeld worden aan de beheerders.

§

System integrity checking: is het uitvoeren van regelmatige checks op de firewall, om zo te controleren of essentiële processen nog steeds actief zijn, of er voldoende schijfruimte beschikbaar is en of er geen cruciale systeembestanden veranderd zijn.

§

Aanpassen van de configuratie: het is belangrijk dat de configuratie van de firewall na een bepaalde tijd gewijzigd kan worden. Een goede firewall biedt hiervoor een interface die de beheerder begeleidt en beschermt tegen elementaire fouten.

§

Continuïteit: in elk systeem kunnen zich rampen voordoen, die leiden tot onverwachte problemen.

Daarom kan het nuttig zijn dat de firewall ook rekening houdt met

‘mirroring’ (zie blz. 35).

Firewalls worden in toenemende mate ook uitgerust met speciale functies, zoals virusdetectie, het blokkeren van bepaalde websites en het inhoudelijk controleren van binnenkomende en uitgaande e- mail.

Ook een audit van het lokaal internetgebruik kan nuttig zijn voor een

organisatie. Zo kan men zien welke websites bezocht worden door de gebruikers. Er moet wel opgepast worden, aangezien verregaande controle kan leiden tot inbreuk op de privacy (SCHWARZWALDER R., 1999, blz. 58-59).

Het is echter belangrijk te vermelden dat

werkgevers in bepaalde gevallen toch de mogelijkheid hebben om e- mails te controleren. “Alles gaat immers terug naar de arbeidsverhouding, waarbij de werknemer zich verbindt in een arbeidsovereenkomst om tegen een loon, en onder gezag van een werkgever, arbeid te verrichten” (HUMBLET P. et al., 2002, blz. 41). Het is dus eigen aan de arbeidsrelatie dat een werknemer afziet van een stuk van zijn vrijheid, waarover de werkgever een gezagsuitoefening heeft.

In praktijk is er een vrij streng verbod op kennisname van de inhoud en het bestaan van (tele)communicatie. Maar voor de werkgever is dit verregaand verbod op zijn gezagsuitoefening niet steeds ho udbaar.

Het is dus wenselijk dat er uitzonderingen zijn waardoor hij toch

inbreuken kan plegen op de privacy (weliswaar gereglementeerd), zonder steeds strafrechtelijk 60


vervolgd te worden. “De Commissie voor de bescherming van de persoonlijke levenssfeer is dan ook van oordeel dat er een evenwicht gevonden moet worden tussen enerzijds de wettigheid van een zeker toezicht van de werkgever op het gebruik van de werkinstrumenten, en anderzijds de bescherming van de persoonlijke levenssfeer van de werknemers. De controle van de werkgever zal aldus op een voldoende gedetailleerde wijze vastgelegd moeten worden. Bovendien moet iedere controle proportioneel en noodzakelijk zijn. Dit houdt in dat ze gerechtvaardigd moet zijn door aanwijzingen die doen vermoeden dat er misbruik gemaakt wordt. Ook mogen slechts noodzakelijke gegevens verzameld worden, wat betekent dat de kennisneming van de inhoud van e-mail berichten aldus vaak overbodig zal zijn.” (http://cwisdb.cc.kuleuven.ac.be/pisa/nl/juridisch/privacy.htm)

4.2 Soorten firewalls Er zijn verschillende soorten firewalls, naargelang de behoeften en het beschikbaar budget. Zo kan, indien er slechts enkele computers aangesloten zijn op het internet, gebruik gemaakt worden van een persoonlijke firewall. Het gaat over een software applicatie die op elke computer apart geïnstalleerd wordt om bescherming te bieden tegen aanvallen. ‘Zone Alarm’ c is een voorbeeld van dergelijke firewall. Een beter, gesofisticeerder firewallsysteem omvat ook ‘blocking’ (een techniek om pop-up schermen en banners te ontwijken), antivirus protectie, e-mail protectie,… Een voorbeeld van dergelijke software is ‘Norton Internet Security’ of ‘McAfee Personal Firewall’. Neiger D. stelt in zijn onderzoek echter dat de persoonlijke firewall zoals ‘Zone Alarm’ het beter doet dan de gesofisticeerde systemen. Hij beveelt aan een combinatie te maken van ‘Zone Alarm Pro’ en een degelijk antivirus systeem (NEIGER D., 2002, blz. 54).

Een ander onderscheid vormt de manier waarop de firewall het internetverkeer gaat filteren. Hiervoor wordt een verschil gemaakt tussen vier soorten van filtering: §

Pakketfilters: dit zijn firewalls die enkel naar de netwerkadressen kijken. Deze filter laat een pakketd al dan niet door. De pakketfilter is niet gebonden aan specifieke applicaties. Het bekendste voorbeeld van dergelijke filter is de ‘router’. Het nadeel aan deze techniek

c

Deze firewall kan gratis gedownload worden op http://www.zonelabs.com Een pakket is een hoeveelheid informatie die van de ene computer naar de andere gestuurd wordt, meestal over het internet heen (“The language of…”, 1998, blz. 20). d

61


is dat logging faciliteiten vaak tot een minimum herleid worden, waardoor het moeilijk is inbraakpogingen te detecteren (SUN N., 1997, blz. 15). §

Stateful inspection: dit is een meer geavanceerde pakketfilter, die niet enkel naar de netwerkadressen kijkt, maar ook naar de status van de verbinding. Er wordt met andere woorden rekening gehouden met de actieve connecties (MUSAJI Y.F., 2001, blz. 477).

§

Application gateways (proxies): deze vormen een brug tussen de buitenwereld en een specifieke applicatie. Er is geen rechtstreekse informatiestroom van buiten naar binnen, maar er treedt een apart programma op (de proxy) binnen de firewall. Via het internet worden dan gegevens uitgewisseld met de proxy en deze communiceert op zijn beurt met de applicatie. Voor elke applicatie die via de firewall toegankelijk moet zijn, moet aldus een aparte applicatie gateway geïnstalleerd worden. Het nadeel van deze techniek is dat ze veel trager is dan de voorgaande, hoewel ze een betere bescherming biedt tegen aanvallen (HUNG V., 1996, blz. 32).

§

Circuit gateways: deze vormen een brug tussen de buitenwereld en een geselecteerde groep van applicaties (http://www.virusalert.nl).

4.3 Firewall structuren Er bestaan een drietal firewall architecturen, genoemd een ‘standalone router’, een ‘screened bastion host’ en een ‘screened subnet’. De ‘standalone router’ is de eenvoudigste structuur. Alle beveiliging wordt immers gerealiseerd door één enkele router. Deze zorgt voor de transmissie van data overheen het netwerk. Firewalls bestaande uit een router die geconfigureerd is om bepaalde vormen van internetverkeer te blokkeren, heten dan ook ‘screening routers’.

De

oplossing is relatief goedkoop, maar anderzijds is er sprake van beperkte logging, wat wil zeggen dat het moeilijk is om aanvallen te detecteren. Een ander nadeel is dat deze architectuur heel onderhoudsintensief is (TROWBRIDGE D., 1995, blz. 2). De tweede structuur is de ‘screened bastion host’. Dit is een combinatie van een router en een proxy. De router zorgt ervoor dat hij enkel verkeer toelaat tussen de ‘host’ e en het internet. Door het inzetten van proxy’s wordt een hogere mate van beveiliging gehaald. Het grote nadeel aan deze structuur is dat ze veel duurder is dan de vorige. De structuur werkt ook enkel op applicatieniveau, wat betekent dat voor elke applicatie aparte codes in de firewall geconfigureerd moeten worden. e

Server met programma’s en gegevens die via een modem of een netwerk te benaderen zijn, in het bijzonder via internet (http://europa.eu.int/eurodicautom/Controller).

62


De laatste vorm, genoemd de ‘screened subnet’, maakt gebruik van twee routers en de ‘host’ wordt op een apart netwerk geplaatst. De externe router laat enkel verkeer toe tussen het internet en de proxy, terwijl de interne router verkeer toelaat tussen het intern netwerk en de proxy (RANUM M.J., 1995, blz. 133).

4.4 Websites en firewalls Websites en firewalls kunnen op verschillende manieren gecombineerd worden. Zo kan de website op het intern netwerk geplaatst worden, dus achter de firewall. Dit heeft als voordeel dat de website gemakkelijk toegankelijk is voor onderhoud, maar als nadeel dat er een grote kwetsbaarheid ontstaat. Als de website immers gekraakt wo rdt, heeft de hacker automatisch toegang tot het intern netwerk. Een andere manier is het plaatsen van de website voor de firewall.

Dit houdt in dat het intern netwerk beter beschermd is, terwijl de website zelf

kwetsbaarder wordt. Een beter alternatief is dus een combinatie van beide mogelijkheden. De website wordt opgenomen in de ‘demilitarized zone’ (DMZ) tussen twee firewalls. combinatie biedt een optimale bescherming, ook indien één van de firewalls uitvalt.

Deze De

verschillende combinaties worden verduidelijkt in onderstaande figuur (LINDGREEN E.R. et al., 2000, blz. 248):

Figuur 12: Combinaties van websites en firewalls (LINDGREEN E.R. et al., 2000, blz. 248)

63


5. Virtual Private Network Internet wordt niet enkel gebruikt als openbaar communicatienetwerk, maar ook voor het aanleggen van VPN’s (Virtual Private Network).

Een VPN is een techniek waarbij

personeelsleden die op zakenreis zijn, thuiswerkende mensen en zakenpartners op een eenvoudige manier kunnen aanloggen op het netwerk van de betreffende onderneming. Het is een techniek die bijzonder geschikt is voor korte projecten, aangezien de administrator de verbinding eender wanneer kan opheffen (FISHER S.E., 1996, blz. 66). In onderstaande figuur wordt duidelijk ge maakt wat een VPN precies inhoudt:

Figuur 13: VPN verbinding (http://www.wown.info/j_helmig/vpn.htm)

Het belangrijkste voordeel van deze techniek is de relatief goedkope kostprijs. Internet is voor verbindingen over een lange afstand immers goedkoper dan andere communicatiemedia. Een nadeel is dat het gegevensverkeer dat via het internet verstuurd wordt, in principe voor iedereen leesbaar is. Dit is vaak ongewenst en daarom wordt veelal gebruik gemaakt van ‘encrypted tunneling’, waarbij het gegevensverkeer vercijferd wordt. (http://intranetjournal.com/articles/200110/vpn_10_03_01a.html)

6. WebTrust Veilige communicatie betekent niet enkel encryptie of het gebruik van firewalls.

In onze

hedendaagse maatschappij wordt immers meer en meer gebruik gemaakt van het internet om aankopen te doen. Ook consumenten hebben dus baat bij veilig betalingsverkeer. Hoe kan men

64


nu zeker zijn dat, indien men een elektronische betaling doet, men voor geen verrassingen komt te staan?

Om dit probleem te verhelpen beschikken veel bedrijven tegenwoordig over een

officieel certificaat, met name een WebTrust-zegel. Certificaten hebben niet altijd betrekking op de beveiliging van de website, maar meer op de betrouwbaarheid van de aanbieder.

Het

verschaffen van deze zegel betekent dat het betreffende bedrijf periodiek doorgelicht wordt door een hiervoor erkende auditor en voldoet aan de WebTrust principes, de belangrijkste eisen voor het zakendoen via internet. Dit betekent dat men voldoende maatregelen moet treffen om te kunnen waarborgen dat transacties juist en volledig afgehandeld worden en dat privacygevoelige gegevens beveiligd zijn tegen raadpleging en gebruik door derden. De WebTrust- zegel geeft de consument dus het vertrouwen dat hij op een veilige manier zaken kan doen met online aanbieders van goederen en diensten (OVERBEEK P. & SIPMAN W., 1999, blz. 163).

7. Besluit In vorige hoofdstukken werd de opkomst van het internet met de nodige aandacht beschreven. Internet wil vooral zeggen: elektronisch communiceren met elkaar. Hoe deze communicatie op een veilige manier kan verlopen, werd in dit hoofdstuk behandeld.

Een welgekende techniek om berichten naar elkaar te versturen zonder dat derden dit kunnen lezen, is cryptografie. Cryptografie is de kunst van het geheimschrijven. Daarbij wordt het verstuurde bericht vercijferd, vervolgens verstuurd over het internet om dan terug ontcijferd te worden door de ontvanger ervan. Het volstaat niet enkel veilig te kunnen communiceren, men moet ook kunnen controleren wie een computersysteem gebruikt of mag gebruiken.

Met andere woorden, hoe kunnen

ondernemingen ervoor zorgen dat hackers de kans niet krijgen om het systeem te kraken? Daarvoor kan de onderneming opteren voor het gebruik van firewalls, aangezien zij een obstakel vormen dat het internetverkeer gaat filteren. Tenslotte werd in dit hoofdstuk ook gekeken naar de aspecten ‘Virtual Private Network’ en WebTrust, aangezien ook zij een noemenswaardige rol spelen in onze hedendaagse economie. Zo wordt VPN gebruikt voor ‘remote access’, waarbij men van thuis uit kan aanloggen op het netwerk van de onderneming. WebTrus t wordt gehanteerd om consumenten meer zekerheid te verschaffen omtrent de betrouwbaarheid van de online aanbieder van goederen en diensten.

65

DEEL 2: EMPIRISCHE STUDIE

Hoofdstuk 4: Methodologie

Hoofdstuk 4

: Methodologie f

1. Inleiding Na een uitgebreide theoretische studie, is het ook belangrijk een idee te hebben over hoe dit alles gerealiseerd wordt in de praktijk. Het doel van dit onderzoek is dan ook na te gaan in welke mate bedrijven zich bewust zijn van het aspect beveiliging.

Kent men de begrippen zoals

beschreven in de theorie en past men deze ook toe? Is men schuchter en terughoudend over het begrip beveiliging of kan men daar open over communiceren? Een vergelijkende studie wordt weergegeven tussen de verschillende ondernemingen.

Om dit onderzoek te kunnen uitvoeren, heb ik 68 bedrijven gecontacteerd (telefonisch of per email). Deze lijst kan teruggevonden worden in bijlage 3, waarin ook gezien kan worden hoe dit contact precies verlopen is en op welke data. In bijlage 5 wordt de vragenlijst zelf opgenomen. Merk op dat deze ingevulde checklists in mijn bezit zijn en dus niet opgenomen zijn in dit werk, aangezien het aantal bijlagen te talrijk zou worden. Opvallend is dat de meeste bedrijven hun naam liever niet vermeld zien in dit werk. De IT managers vrezen immers voor hun job, indien bepaalde negatieve aspecten omtrent hun beveiliging zouden uitlekken in de pers. Daarom eisten velen het gebruik van een fictieve naam.

Een onderzoek uitvoeren bij een aantal organisaties kan het eenvoudigst gebeuren door gebruik te maken van een vragenlijst. De meeste bedrijven stonden echter niet happig tegenover het aspect beveiliging en weigerden onmiddellijk elke vorm van medewerking. Bij anderen botste ik op enige vorm van weerstand, die overwonnen kon worden indien de onderneming kon doorgaan onder een schuilnaam. Nog anderen tenslotte waren onmiddellijk bereid om hun medewerking te verlenen, zonder daar enige voorwaarde aan vast te hangen.

f

Opgesteld aan de hand van DE PELSMACKER P. & VAN KENHOVE P., 1999

66


2. Opstellen van de vragenlijst Het eerste element waarmee ik geconfronteerd werd, was het opstellen van de vragenlijst. Hiervoor heb ik mijn theoretische studie overlopen en voor elk aspect gepoogd relevante vragen op te stellen. Er moet echter opgemerkt worden dat het heel belangrijk is enkel goede vragen te stellen. Dit betekent dat de vraagstelling duidelijk moet zijn en dat de respondent in staat moet zijn erop te antwoorden. Om dit te bekomen heb ik geopteerd bijkomende uitleg te geven bij bepaalde aspecten, zodat misinterpretatie van de vraag quasi onmogelijk wordt. Een belangrijke reden waarom bedrijveng eisten hun anonimiteit te verzekeren, is dat de meeste vragen soms als dreigend beschouwd werden. Het is echter belangrijk, in het kader van dit onderzoek, om toch een antwoord hierop te kennen. Daarom werd voorgesteld een schuilnaam te hanteren, wat een middel vormt om een hogere responsgraad te bekomen. Naast het hanteren van een fictieve naam, was een bijkomende oplossing het gebruik maken van een dichotome vraagstelling.

Dit houdt in dat de ondernemingen slechts de keuze hebben tussen twee

antwoordcategorieën, in dit geval ja of neen. De mogelijkheid werd wel voorzien eventueel commentaar toe te voegen indien nodig of gewenst. Er moet echter wel opgemerkt worden dat commentaar zelden of bijna nooit ge geven werd, zodat ik de meeste ondernemingen meermaals gecontacteerd heb voor verdere uitleg omtrent bepaalde aspecten.

3. Populatie en steekproef Vooraleer de gegevens verzameld kunnen worden, is het genoodzaakt de populatie en de steekproef te definiëren. De bepaling van de populatie voor dit onderzoek was heel eenvoudig, aangezien dit werk handelt over ‘Beveiliging van gegevensbestanden in Belgische ondernemingen’. De populatie omvat dus alle ondernemingen die één of meerdere vestigingen hebben op het Belgisch grondgebied. Het onderzoeken van de gehele populatie is echter een onmogelijk iets, zodat het logisch is dat men hieruit een steekproef gaat trekken. geopteerd voor een restrictieve beoordelingssteekproef.

Ik heb

Er werd met andere woorden een

h

restrictie ingevoerd, met name dat enkel grote bedrijven gecontacteerd werden. g

Tien van de 19 bedrijven wensten een fictieve naam te zien. Grote bedrijven hebben een personeelsbestand van meer dan 100 werknemers, of overschrijden één van volgende criteria: een personeelsbestand van meer dan 50 werknemers, een omzet groter dan 6.250.000 euro en een balanstotaal groter dan 3.125.000 euro http://fetew.rug.ac.be/AccoEco/nederlands/eduboard/boekhouden_1_ste_kan/10%20april%20gedeelte%20EDL.ppt h

67


Deze restrictie heb ik ingevoerd aangezien kleine organisaties vaak minder belang hechten aan beveiliging, wat betekent dat de meeste technieken daaromtrent hen ook onbekend zijn en dus weinig nuttige informatie opleveren voor dit onderzoek. De beoordelingssteekproef leek me vervolgens de beste manier om te werk te gaan.

Dit betekent dat ik de ondernemingen

geselecteerd heb op basis van gemakkelijkheidsoverwegingen, op voorwaarde dat ze aan de gestelde eis voldoen. De gecontacteerde bedrijven zijn dan ook allemaal terug te vinden op de websites van jobat, stepstone, monster en euronext.

4. Gegevensverzameling Nadat de populatie en steekproef nader gedefinieerd zijn, kan men nagaan hoe de gegevensverzameling plaatsvond. Deze gebeurde hoofdzakelijk door middel van de opgestelde vragenlijst (die weergegeven is in bijlage 5).

Ze werd telkens per post of elektronisch

afgenomen nadat contacten met het bedrijf gelegd waren. Het nadeel aan deze methode vormt de lage flexibiliteit. Zo is de respondent meestal geneigd enkel de ja/neen vragen te beantwoorden, zonder bijkomende commentaar te geven.

Het

voordeel daarentegen is dat de meeste mensen vrij vlug bereikt konden worden, dit op alle denkbare plaatsen. Zo was bijvoorbeeld één van de IT managers die een checklist ingevuld heeft, op zakenreis in het buitenland. Hoewel de meeste vragenlijsten per post of elektronisch gebeurd zijn, verliepen de eerste contacten ofwel telefonisch ofwel per e-mail. Bij bedrijven gecontacteerd per e- mail heb ik een viertal dagen na de aanvraag opnieuw contact opgenomen, wat voor de meesten een nuttige herinnering was. Aangezien de informatie uit de vragenlijsten echter vaak onvoldoende was, werden bijkomende gegevens verzameld door telefonische gesprekken, e- mails en persoonlijke contacten, afhankelijk van de wensen van het bedrijf. De telefonische gesprekken bleken het meest evident. Velen vinden e-mail immers nogal onpersoonlijk, waardoor de responsgraad dan ook vrij laag bleek te zijn. Persoonlijke contacten waren ook meestal moeilijk te realiseren, aangezien men vaak niet bereid was tijd vrij te maken voor een interview.

Een bijkomend voordeel van

telefonische interviews is de snelle uitvoerbaarheid in vergelijking met de overige procedures.

68


5. Gegevensanalyse De gegevens bekomen uit de vragenlijsten en bijkomende gesprekken worden gebruikt om een vergelijking op te stellen tussen de verschillende ondernemingen en tevens de gelijkenissen te zoeken met de theorie. Hiervoor zal ik vooral gebruik maken van descriptieve statistiek. Dit betekent dat ik tabellen en grafieken zal hanteren om de verschillen duidelijk te maken.

6. Overzicht meegewerkte ondernemingen Een overzicht van de bedrijven die meegewerkt hebben, zijn (in alfabetische volgorde): §

Barco is een onderneming die actief is in de telecommunicatie

§

KBC is een gekende bankinstelling

§

Kodak is een bedrijf actief in de fotografie

§

Koramic is een bedrijf dat zich toespitst op de bouwsector, meer bepaald de dakproducten

§

Palm is een organisatie actief in de markt van het bierbrouwen

§

Pinguin is een onderneming gespecialiseerd in diepvriesgroenten

§

Sidmar is een bedrijf actief in de staalsector

§

Umicore is een onderneming gevestigd in de metaalsector

§

UZ Gent is een organisatie actief binnen de gezondheidszorg

§

Bedrijf A is een bedrijf actief in de sector van de telecommunicatie

§

Bedrijf B is een organisatie actief in de metaalsector

§

Bedrijf C is de informaticapartner van een grote distributieonderneming

§

Bedrijf D is een onderneming gevestigd binnen de farmaceutische sector

§

Bedrijf E is een bedrijf actief in de mediawereld

§

Bedrijf F is een onderneming gesitueerd in de sector van de tabak en rookwaren

§

Bedrijf G is één van de Vlaamse mediareuzen

§

Bedrijf H specialiseert zich in het aanbieden van ‘wireless technology’

§

Bedrijf I is een bedrijf actief in de gezondheidssector

§

Bedrijf J is een gekende bankinstelling

Een gedetailleerder beschrijving van elke onderneming kan teruggevonden worden in bijlage 4.

69


7. Indeling in klassen Om een goed onderzoek te kunnen uitvoeren, is het noodzakelijk de bedrijven in te delen in klassen. Ik heb geopteerd voor een indeling volgens sector. Om deze opdeling te maken heb ik me gebaseerd op de groepering van de activiteitssector die de Nationale Bank van België voorstelt. Zo kom ik tot de volgende sectoren (http://www.bnb.be/BA/n/P2_13.htm):

§

§

§

§

§

Telecommunicatie

Metaal- en staalverwerking

o

Bedrijf A

o

Bedrijf B

o

Barco

o

Sidmar

o

Kodak

o

Umicore

o

Bedrijf H §

Financiële instellingen

Media

o

KBC

o

Bedrijf E

o

Bedrijf J

o

Bedrijf G

Voedings- en genotmiddelen o

Groothandel:

Bedrijf C

o

Drankwaren:

Palm

o

Groenten:

Pinguin

o

Tabakswaren:

Bedrijf F

Farmaceutische nijverheid o

Bedrijf D

§

Bouwnijverheid o

§

Koramic

Gezondheidszorg o

UZ Gent

o

Bedrijf I

70


Hoofdstuk 5

:

Interpretatie van gegevens 1. Inleiding In het vorig hoofdstuk werd uiteengezet hoe de gegevens verzameld zouden worden. Eens alle benodigde informatie bekomen werd, was de volgende stap een onderzoek te voeren en de verschillen tussen de sectoren duidelijk te maken. Er zijn echter niet enkel opvallende tendensen vast te stellen tussen, maar ook binnen de sectoren zelf. Deze worden besproken in de volgende paragraaf. Besluitend wordt ook de vergelijking gemaakt met de theoretische studie en de mate waarin er overeenkomsten of verschillen bestaan.

2. Vergelijking binnen de sector Vooreerst wordt een vergelijking weergegeven tussen de ondernemingen gesitueerd binnen één sector. De grootste en merkwaardigste verschilpunten worden dan ook nader toegelicht.

2.1 Telecommunicatie Wat betreft de ondernemingen gesitueerd binnen de telecommunicatiesector kan gezien worden dat er relatief grote eenstemmigheid bestaat omtrent de beveiligingsaspecten. Zo wordt bij geen enkele onderneming gebruik gemaakt van biometrie en smartcards maar wel van encryptietechnieken. Derden hebben ook toegang tot pc ruimtes, maar dit is slechts mogelijk onder begeleiding.

Bij het gebruik van paswoorden zien we toch enkele markante verschillen.

Deze worden

verduidelijkt in onderstaande figuur:

71


Bedrijf A

Barco

Kodak

Bedrijf H

Lengte

Min. 8 karakters

Juist 6 karakters Alfanumeriek

Min. 5 karakters Max. 8 karakters

Min. 8 karakters

Frequentie van Wijzigen

Om de 60 dagen

Om de 90 dagen

Om de 90 dagen

Om de 45 dagen

5 pogingen

3 pogingen anders blokkage

3 pogingen

3 pogingen

Aantal paswoordpogingen

Tabel 5: Verschil in gebruik van paswoorden binnen de telecommunicatiesector

Wanneer men het aantal foutieve paswoordpogingen bereikt, worden de user-ID’s geblokkeerd. Men wordt dus verplicht de helpdesk op te bellen. Bij bedrijf H wordt een soepeler regeling toegepast: men wordt voor dertig minuten geblokkeerd. Indien hetzelfde nogmaals voorvalt binnen de 24 uur, blijft de account geblokkeerd en moet men de helpdesk contacteren. Belangrijk te vermelden is dat foutieve paswoordpogingen altijd gerapporteerd worden aan managers, met slechts één buitenbeentje, namelijk Kodak. Dit kan verband houden met de overhead die men in dit geval krijgt.

Binnen een grote organisatie zijn immers vele

personeelsleden tewerkgesteld. Iedereen kan fouten maken, wat betekent dat telkens een foute paswoordpoging gerapporteerd wordt aan managers, hun mailboxen dan ook overvol geraken. Dit kan leiden tot het niet ter bestemming geraken van belangrijke e-mail berichten, met economische schade als gevolg. Bedrijven staan met andere woorden voor een keuze: een iets minder sterke beveiliging met beperkte overhead enerzijds, of een sterkere beveiliging (door rapportering aan managers) met kans op grotere overhead anderzijds.

Andere verschillen die optreden binnen de telecommunicatiesector zijn: §

Controle van bestanden op wijzigingen in grootte: bedrijf A en Barco houden zic h hier totaal niet mee bezig.

Dit kan eventuele complicaties met zich meebrengen, aangezien het

gemakkelijker is te hacken indien deze controle niet uitgevoerd wordt. Er moet echter een afweging gemaakt worden tussen de kosten voor controle en de baten die hieraan verbonden zijn.

Zo stellen sommige ondernemingen een groot vertrouwen in hun firewall en

antivirussysteem, waardoor ze geen belang hechten aan de controle op wijzigingen. De

72


vergelijking kan gemaakt worden met de defensie van een land. Als een land zich wil beschermen tegen externe gevaren, en men ervan overtuigd is dat men over een waterdichte grenscontrole beschikt, zal er weinig of geen geld uitgetrokken worden voor binnenlandse patrouilles. §

Het nemen van back -ups: de back-up bij Barco en Kodak ligt binnen de onderneming, wat niet altijd even veilig is. De andere twee bedrijven daarentegen opteren voor een off-site locatie. Ook is er slechts één bedrijf die gebruik maakt van uitwijkfaciliteiten, namelijk bedrijf A. Het is niet opmerkelijk dat slechts één organisatie hiervan gebruik maakt, dit omwille van de hoge kostprijs die eraan vasthangt.

Wat betreft het gebruik van firewalls zien we even duidelijke verschillen optreden:

Bedrijf A

Barco

Kodak

Bedrijf H

Proxy Pakketfilter

Application gateway

Geen idee (wordt beheerd van US)

Circuit gateway Application gate Proxy

Logboek bezochte sites?

NEEN

JA

NEEN

JA

Hackers in het bedrijf?

JA

NEEN

NEEN

JA

Soort

Tabel 6: Verschil in gebruik van firewalls binnen de telecommunicatiesector

Merk op dat het soort firewall niets te maken heeft met de sector waarin de onderneming zich bevindt. Opvallend is immers dat er een mix gebruikt wordt van verschillende types. We zien ook dat twee bedrijven reeds te maken hadden met interne hackers. Bedrijf H beweert dat dit frequent voorkomt in dergelijke sector omdat hier nogal veel ingenieurs tewerkgesteld zijn. “Deze mensen kennen veel van het computergebruik en prutsen ook nogal graag eens. Nu komen we dit echter niet zo vaak meer tegen, aangezien er duidelijke regels en straffen vooropgesteld zijn binnen de organisatie” (gesprek met bedrijf H op 14/03/2003).

Het valt sterk op dat de verschillen die optreden binnen deze sector veelal te wijten zijn aan het ervaringsniveau in de organisatie.

Zo beschikt onderneming H over een beter

beveiligingsniveau, aangezien zij reeds te maken had met inside hackers. De blootstelling aan een probleem leidt in de meeste gevallen tot een erkenning ervan, wat betekent dat men diverse

73


technieken zal implementeren om dit probleem volgende keren te voorkomen. Bedrijf H vormt een duidelijk voorbeeld van een organisatie die de repressieve maatregelen volgt. Men gaat immers pas reageren indien het probleem zich reeds voorgedaan heeft.

2.2 Metaal- en staalverwerking Er kunnen een aantal opvallende tendensen waargenomen worden binnen deze sector. Zo zien we dat Umicore grote verschillen onderkent met de overige bedrijven. Bijvoorbeeld moeten paswoorden niet frequent gewijzigd worden en is er geen limiet qua aantal foutieve pogingen. Ook wordt er geen logboek gebruikt wordt om te controleren welke internetsites bekeken worden door de werknemers, en dit in fel contrast met de overigen. In vergelijking met de concurrenten binnen de sector, kan afgeleid worden dat Umicore zich minder toespitst op de gevaren van inside hackers, althans niet door controles uit te voeren op de eigen werknemers. Dit betekent niet dat het probleem ontkend wordt, want er bestaan immers ook andere methodes om mogelijke kandidaat hackers te ontmoedigen. Zo kunnen bijvoorbeeld binnen de onderneming preventief strenge regels en sancties vooropgesteld worden, die door elke werknemer maar al te goed gekend zijn.

Iedereen weet met andere woorden wat de

consequenties zijn bij overtreding van deze regels (vb. ontslag om dringende reden, gerechtelijke vervolging,…).

Een bijkomende vaststelling is dat Sidmar het op het vlak van beveiliging beter doet dan haar vergelijkingspunten, voornamelijk wat betreft het controleren van bestanden op wij zigingen in grootte en de controle of een verstuurd bericht al dan niet gewijzigd werd. Ook worden foutieve paswoordpogingen gerapporteerd aan managers. Eén negatief punt is dat de onderneming haar back-up bewaart binnen de eigen organisatie. Veel beter is deze te bewaren op een off-site locatie ofwel uitwijkfaciliteiten te voorzien, zoals bedrijf B doet. Zij maken immers gebruik van containers in geval moeilijkheden zouden optreden. Dergelijke containers zijn vooral handig wanneer het informaticasysteem gecentraliseerd is binnen één gebouw, met één elektriciteitsnet. In geval van stroompanne, brand,… ligt meteen het gehele systeem plat.

Bij een gedecentraliseerde opzet daarentegen kan bij dergelijke

voorvallen verder gewerkt worden met de rest van het systeem, aangezien zo’n incident slechts een deel zal inactiveren. Misschien verkiest ook Sidmar deze decentrale aanpak, waardoor het voorzien van uitwijkfaciliteiten een onnodige kost vormt.

74


2.3 Financiële instellingen Een groot verschil tussen KBC en Bedrijf J situeert zich op het vlak van paswoorden. Zo staat er bij bank J geen limiet op het aantal paswoordpogingen die men voorgeschoteld krijgt. Ook worden foutieve pogingen niet gerapporteerd aan managers. De Heer X bevestigt immers dat men al 20 keer geprobeerd heeft een verkeerd paswoord in te vullen, en dit zonder erop gewezen te worden door het management. Een ander verschil is dan weer ten gunste van bedrijf J. Zij passen namelijk een vorm van biometrie toe, met name de vingerscan. KBC daarentegen maakt geen gebruik van dergelijke technieken.

Binnen financiële instellingen zal het beveiligingsniveau heel hoog zijn, aangezien zij inkomsten halen uit het bewaren van geld en bezittingen. Dat deze beschermd moeten worden is een evidentie, maar ook de vertrouwelijke (en gevoelige) informatie van klanten moet ten allen tijde geheim blijven. De verschillen binnen deze sector zijn dan ook eerder gering en situeren zich vooral in het domein van de toegangscontrole. Zo verkiest bedrijf J automatisering (biometrie) om de toegang te bewaken, terwijl KBC misschien eerder opteert voor menselijke controle, dit wil zeggen het gebruik van badges in combinatie met security agenten.

2.4 Media Deze sector wordt gekenmerkt door grote eenstemmigheid qua beveiliging. De enige verschillen situeren zich op het vlak van encryptie en het gebruik van paswoorden. Zo is bij bedrijf G geen enkele vereiste verbonden aan de lengte van het paswoord, terwijl bedrijf E een minimum oplegt van zes karakters. Ook wat betreft encryptie zien we dat de ene onderneming er daadwerkelijk gebruik van maakt (bedrijf E), terwijl de andere hierop niet bereid was een antwoord te geven (bedrijf G). Interessant om weten is dat bedrijf E reeds te maken had met inside hackers. Zij hebben dan ook het nut ingezien van het bijhouden van logfiles. Dit biedt immers het voordeel dat men hierdoor kan zien wie wanneer toegang gevraagd heeft tot een bepaald systeem of tot een bepaalde website. Vervolgens kan men hieruit opmaken of deze toegang wel rechtmatig was. Indien niet het geval, kan de dader opgespoord worden aan de hand van dit logboek. Dit vormt meteen ook

75


het grote nadeel indien men er niet over beschikt. Inside hackers kunnen immers verder werken en hacken zonder dat iemand het ooit zal opmerken.

2.5 Voedings- en genotmiddelen In deze sector worden grote verschillen geconstateerd betreffende het beveiligingniveau. Er kan niet echt een trend opgemerkt worden, wat betekent dat de verschillen zich vrij willekeurig situeren.

Een eerste afwijking manifesteert zich op organisatorisch vlak, waar Palm het enige bedrijf is dat een beveiligingsplan voor handen heeft. Het opstellen van dergelijk plan zorgt immers voor een gestructureerde aanpak binnen de organisatie.

De redenen waarom men het plan niet zo u

implementeren, kunnen zijn: het opstellen ervan kost opnieuw geld of er zijn toch weinig mensen in de onderneming die zich effectief met beveiliging bezig houden. Deze mensen weten immers perfect het reilen en zeilen van de beveiligingspolitiek. Een probleem kan zich echter stellen wanneer één van deze mensen ontslag neemt of krijgt… Een volgend onderscheid kan gemaakt worden naargelang de onderneming al dan niet gebruik maakt van encryptie en biometrische technieken. Hier blijkt Pinguin een buitenbeentje te zijn. Hoewel deze onderneming op andere vlakken allesbehalve goed scoort, blijkt ze dan wel technieken als encryptie en biometrie hoog in het vaandel te dragen. Naar de oorzaak hiervan kan alleen maar gegist worden.

Ik vermoed dat dit te maken kan hebben met het

verwerkingsprocédé. Hun techniek om de groenten zo lang mogelijk te kunnen bewaren, zal ongetwijfeld wel een groot geheim zijn. Daarom zal men deze informatie zo goed mogelijk willen beschermen door de toegang tot laboratoria of research lokalen en de communicatie ertussen (al dan niet elektronisch) strikt te controleren. Indien dit het geval is, kan men begrijpen dat de geheimhouding het bedrijf zoveel waard is, dat ze hiervoor de zware kost die biometrie met zich meebrengt, wil dragen. Vervolgens valt het op dat enkel bedrijf F foutieve paswoordpogingen zal rapporteren aan het management. Wat de voor- en nadelen hiervan zijn, werd reeds vroeger besproken (zie blz. 72). Tenslotte kan vastgesteld worden dat enkel bedrijf C controle zal uitoefenen op het al dan niet gewijzigd zijn van verstuurde berichten.

Hiervoor maakt men gebruik van checkcodes en

hashing technieken (zie tabel 7). Een mogelijke verklaring waarom de overige bedrijven hier geen aandacht aan schenken kan zijn dat deze ondernemingen geen kritieke data over het internet versturen. 76


In onderstaande tabel wordt een overzicht weergegeven:

Bedrijf C

Palm

Pinguin

Bedrijf F

Beveiligingsplan?

NEEN

JA

NEEN

NEEN

Encryptie?

NEEN

NEEN

JA

NEEN

Biometrie?

NEEN

NEEN

JA

NEEN

Lengte paswoord

Juist 8 karakters

Juist 8 karakters

Min. 6 karakters

Juist 6 karakters

Frequentie wijzigen pwd

Min. elke maand

Om de 6 maand

Om de 3 maand

Elke maand

NEEN

NEEN

NEEN

JA

Gebruik checkcodesi of hashing j ?

JA

NEEN

NEEN

NEEN

Back-up: binnen/buiten?

Buiten bedrijf

Buiten bedrijf

Binnen bedrijf

Binnen bedrijf

Rapport. foutieve paswoorden ?

Tabel 7: Verschillen binnen de voedingssector

Een laatste bemerking is dat Pinguin en bedrijf F het eigenlijk niet zo goed doen qua fysieke beveiliging. Binnen deze sector hinken ze achterop, maar hoe ze het doen in vergelijking met andere sectoren, wordt verder nog besproken (zie blz. 89). Wat mij persoonlijk opvalt, is dat in deze bedrijven een nogal nonchalante sfeer lijkt te hangen. Het is precies of men niet overtuigd is van het belang van een goede fysieke beveiliging.

2.6 Gezondheidszorg Het grootste verschil binnen deze sector situeert zich rond het contingentieplan. Zo heeft bedrijf I totaal geen contingentieplan ter beschikking, terwijl het UZ Gent een degelijk plan heeft dat bovendien regelmatig aangepast wordt. Deze leemte bij bedrijf I is zorgwekkend, zeker omdat

i

‘Check-codes’ zijn toegevoegde informatie waarmee gecontroleerd kan worden of een bericht foutloos verstuurd is. ‘Hashing’ technieken maken een comprimaat van het bericht en voegen dit toe aan het oorspronkelijk bericht. Aan de ontvangstzijde moet het ‘hash’-totaal geverifieerd worden. j

77


het hier de zachte sector betreft en er dus mensenlevens op het spel kunnen staan. Blijkbaar rekent deze organisatie op de aanwezigheid en spontane hulp van ziekenhuizen in de buurt, én op hun vast samengesteld crisisteam dat ogenblikkelijk optreedt indien een ramp zich voordoet. Nochtans ware het beter over een formeel plan te beschikken, waarbij de relaties en samenwerkingsverbanden met de overige ziekenhuizen duidelijk opgesteld en getest zijn. Bovendien kan dit een ruggensteun bieden voor het crisisteam, want onder invloed van emoties en stress kan er kostbare tijd verloren gaan. Bij deze onderneming is het al dan niet beschikken over een contingentieplan vatbaar voor kritiek, maar bij het UZ Gent is dit zeker niet het geval. Een degelijk opgesteld plan is een absolute must, aangezien het UZ een centraal punt vormt voor verschillende steden en regio’s. Binnen de regio doen immers veel kleinere ziekenhuizen een beroep op het UZ, waardoor ze een terugvalmogelijkheid vormt voor bepaalde ziektegevallen.

Naar de toekomst toe zien we dat bedrijf I biometrie zal toepassen, en meer bepaald vingerherkenning.

Ook is men onderzoek aan het uitvoeren naar de implementatie van

smartcards. Het UZ Gent daarentegen maakt hier helemaal geen gebruik van. Blijkbaar is bedrijf I overtuigd van de baten van deze technieken. Door vingerherkenning beoogt men immers een betere toegangscontrole (vooral belangrijk in laboratoria), en door smartcards kunnen bijvoorbeeld gegevens van patiënten ter plekke bijgehouden worden. Klaarblijkelijk vormen de hieraan verbonden kosten (installatie, opleiding, problemen bij overschakeling) geen drempel voor de organisatie, wat misschien wel het geval is bij het UZ Gent.

2.7 Overige sectoren De overige sectoren, namelijk de bouwsector en de farmaceutische industrie, worden slechts vertegenwoordigd door één onderneming. Hierdoor kunnen deze ook niet verge leken worden met hun concurrenten.

2.8 Besluit Het is niet is omdat bedrijven actief zijn binnen dezelfde sector, dat ze ook een gelijkaardig beveiligingsniveau hanteren. Dit werd duidelijk gemaakt aan de hand van de vele verschillen die optreden bij de vergelijking van gelijkaardige ondernemingen.

78


3. Vergelijking tussen de sectoren Om een vergelijking te maken tussen de verschillende sectoren is het genoodzaakt dat er overeenstemming bestaat tussen de ondernemingen binnen dezelfde sector. Hiervoor werd nagegaan wat de meest toegepaste methode is. Deze werd dan ook gebruikt om een beoordeling te maken over de betreffende sector.

In de tabellen wordt echter vaak ‘Ja/Neen’ weergegeven.

Dit betekent dat evenveel

ondernemingen binnen deze sector positief als ne gatief staan ten opzichte van het onderzochte element.

Indien men echter louter positief staat tegenover een bepaald aspect, wordt dit

aangegeven met een kruisje in de desbetreffende kolom.

Een ander probleem steekt de kop op indien een sector maar uit één bedrijf bestaat, dit omdat ik geen andere ondernemingen gevonden heb die bereid waren deel te nemen aan dit onderzoek. Daarom wordt met ‘de sector’ dan ook deze enkele onderneming bedoeld.

Tenslotte waren niet alle ondernemingen altijd bereid op alle vragen een antwoord te formuleren. Er werd voor deze vragen dan ook gekeken naar de uitkomsten van de overige bedrijven in deze sector.

In de volgende paragrafen wordt de vergelijkende studie weergegeven. Deze wordt wel per onderdeel van beveiliging besproken. Ook wordt per deel gewerkt met descriptieve statistiek. Ik zal dus telkens vergelijkende tabellen weergeven, omdat de verschillen dan ook veel duidelijker waar te nemen zijn.

3.1 Toegang tot gegevensbestanden Toegang tot gegevensbestanden valt uiteen in diverse aspecten, met name de toegang tot data en computerruimtes, het gebruik van paswoorden en het gebruik van smartcards, certifiers en biometrie. In de volgende paragraafjes worden deze aspecten nader toegelicht.

79


3.1.1 Toegang tot data en computer (ruimtes)

Beveiligingscommunicatie plan? x

encryptie

Training personeel

Procedures ontslag WN k

x

x

x

x

x

x

Telecommunicatie

x

Metaal / Staal

x

Media

x

x

Ja/Neen

Ja/Neen

x

Fin. Instelling

x

Ja/Neen

x

x

x

Voeding

x

Gezondheid

x

Bouw

x

Farmacie

x

x

x

x

x

x

x

x

x

Tabel 8: Vergelijking tussen sectoren met betrekking tot de toegang tot data

Uit deze tabel kunnen we opmerken dat encryptie een techniek is die niet frequent voorkomt om de toegang tot ruimtes te bewaken tegen ongeautoriseerde personen. Ook zijn er soms wat problemen te situeren op het vlak van de communicatie (meestal via het intranet) binnen de onderneming. Over het algemeen verloopt alles goed, maar binnen bepaalde sectoren zou deze toch beter mogen zijn.

Een opvallende vaststelling is dat de voedingssector geen goede

beveiliging hanteert met betrekking tot de toegang tot data. Zo beschikken zij niet over een beveiligingsplan, en personeelsleden worden hierop ook niet getraind. Een mogelijke verklaring hiervoor zou kunnen zijn dat in de voedingssector relatief minder mensen betrokken zijn bij het gegevensverwerkingsproces dan bijvoorbeeld in de telecommunicatiesector. Hieruit vloeit voort dat deze ondernemingen dan ook minder informatici te werk gaan stellen, waardoor er minder procedures en dergelijke meer opgesteld moeten worden. De bevoegde personen kunnen immers individueel op de hoogte gesteld worden van allerlei maatregelen inzake beveiliging, zonder dat hiervoor training vereist is voor alle personeelsleden binnen de organisatie. Er moet wel opgemerkt worden dat er uitzonderingen bestaan binnen deze sectoren. Bepaalde ondernemingen doen het wel beter dan de sector in het algemeen, zoals bijvoorbeeld Palm, dat

k

De onderneming zal er onmiddellijk voor zorgen dat de ontslagen werknemer zijn userID geblokkeerd wordt, of ongeldig gemaakt wordt. Deze mensen moeten immers geen toegang meer hebben tot bepaalde ruimtes of pc’s.

80


wel een beveiligingsplan hanteert. Deze verschillen werden echter reeds besproken in de vorige paragraaf.

Wat betreft de toegang tot computerruimtes zien we in onderstaande tabel dat biometrie bijna nooit gebruikt wordt. Zoals in de theorie beschreven is dit immers een heel dure techniek, die dan ook niet frequent toegepast wordt. Binnen financiële instellingen echter is dit quasi een must, aangezien daar een hoog beveiligingsniveau vooropgesteld wordt.

Zelfs binnen de

voedingssector is er één onderneming die er ook gebruik van maakt (Pinguin). Een opvallend kenmerk is dat de voedingssector een gedeelde mening heeft.

Zo hanteren

bepaalde ondernemingen wel regels voor toegang en andere dan weer niet. Deze sector doet het nu wel beter dan bij de vorige opstelling. Hier is het vooral de gezondheidssector waar het beveiligingsniveau te wensen over laat. Deze vorm van beveiliging ligt bij deze sector immers niet zo hoog, aangezien er weinig informatici aanwezig zijn in bijvoorbeeld een ziekenhuis. Slechts enkele personen hebben kennis van de informaticatoepassingen, en door dit feit vindt men het onnodig dat een degelijke beveiliging opgesteld wordt met betrekking tot de toegang tot computerruimtes.

Geautoriseerd personeel

Regels voor toegang l

Deuren altijd toe

Telecommunicatie

x

x

x

x

Metaal / Staal

x

x

x

x, badges

Media

x

x

x

x

Fin. Instelling

x

x

x

x

Ja/Neen

Voeding

x

Ja/Neen

Ja/Neen

1 bedrijf

Ja/Neen

Gezondheid

x

Bouw

x

Farmacie

x

biometrie

Derden toegang? Begeleiding?

Ja/Neen x

x

x

x

x

Tabel 9: Vergelijking tussen sectoren met betrekking tot de toegang tot computer (ruimtes)

l

Dit impliceert dat men regels gaat opleggen voor de toegang tot bepaalde ruimtes. Men werkt met andere woorden aan de hand van een ‘need-to’ basis, wat betekent dat enkel mensen die in deze ruimte moeten werken er daadwerkelijk toegang tot krijgen.

81


3.1.2 Paswoorden Wat betreft het gebruik van paswoorden treden er grote verschillen op tussen de ondernemingen onderling. Elk bedrijf stelt immers haar eigen regels op inzake de lengte ervan. De meest gebruikte is echter minimum 6 of juist 8 karakters. Een code onthouden kan voor sommige mensen problemen met zich meebrengen. Indien men deze dan ook vergeten is, moet altijd naar de helpdesk gebeld worden. Deze zal de betreffende persoon dan een nieuw paswoord toewijzen. Om in te loggen in een systeem is dus telkens een userID en een paswoord nodig.

Een

opvallende vaststelling is dat alle ondernemingen gebruik maken van eigen ID’s, en slechts uitzonderlijk van groepsID’s. Eén van de hoofdbezigheden van hackers, is het kraken van paswoorden.

Om dit zoveel

mogelijk te verhinderen is het belangrijk dat het paswoord op frequente tijdstippen gewijzigd wordt. Uit onderstaande figuur kan opgemaakt worden dat ondernemingen vooral om de maand, om de drie maand of op eigen initiatief paswoorden gaan veranderen.

Dit is een heel

uiteenlopende vaststelling, aangezien op eigen initiatief kan betekenen dat mensen nooit de moeite zullen doen om een wijziging toe te brengen aan het paswoord.

Frequentie wijziging van paswoorden

11%

1 maand 21%

42 dagen 45 dagen

21%

5%

2 maand

5%

3 maand

5%

5%

6 maand eigen initiatief

27%

confidentieel

Figuur 14: Frequentie van wijziging van paswoorden

Om te voorkomen dat derden op je pc kunnen werken, kan het bijzonder nuttig zijn hem automatisch te laten afloggen na een periode van inactiviteit. Men kan echter niet altijd alle gebeurtenissen voorkomen. Een mogelijkheid om te controleren of niemand anders jouw userID

82


gebruikt heeft, is het laten weergeven van datum en tijd van de laatste keer dat je ingelogd hebt in het systeem.

Uitloggen terminals na inactiviteit m

Weergeven datum & tijd laatste loginn

Rapportering foutieve paswoordpogingen

Telecommunicatie

x

Ja/Neen

x

Metaal / Staal

x

Media

x

Fin. Instelling

x

Voeding

Ja/Neen

Gezondheid

Ja/Neen

Bouw

x

Farmacie

x

Ja/Neen Ja/Neen

Ja/Neen

Ja/Neen

Ja/Neen

Tabel 10: Vergelijking tussen de sectoren met betrekking tot paswoorden

We zien duidelijk dat de datum en tijd niet veel weergegeven worden. Een reden hiervoor zou kunnen zijn dat bedrijven hierop totaal geen aandacht gevestigd hebben of er zelfs nog nooit aan gedacht hebben dit te laten doen. Zelfs bij de financiële instellingen, waar dit toch een evidentie zou moeten zijn, is dit niet het geval. Een financiële instelling staat en valt nochtans met haar beveiliging. Indien deze immers niet in orde is, zullen consumenten ook niet geneigd zijn hun spaarcenten aan deze instelling toe te vertrouwen.

Een bijkomende bepaling is dat foutieve paswoordpogingen gerapporteerd kunnen worden naar managers toe. We zien echter dat dit in de praktijk niet frequent toegepast wordt. Als reden hiervoor wordt vaak de overlast gezien die de manager daarmee krijgt (zoals overvolle mailbox,…). Het is wel zo dat indien rapportering gebeurt, dit slechts van toepassing is indien de vooropgestelde limiet qua aantal invalide paswoordpogingen bereikt is. Deze limiet ligt voor elke sector quasi gelijk, met name tussen de drie en vijf pogingen.

m

Dit is een handige techniek aangezien je bij het inloggen opnieuw je paswoord moet ingeven. Zo kunnen anderen ondertussen geen gebruik maken van jouw pc. n Dit is een procedure die vooral handig is om te kunnen zien of niemand anders op jouw pc gewerkt heeft.

83


3.1.3 Smartcards, certifiers en biometrie Een vergelijking tussen de sectoren met betrekking tot het gebruik van smartcards, certifiers en biometrie levert duidelijke resultaten op. Zo zien we in onderstaande tabel dat smartcards heel weinig gebruikt worden door ondernemingen. Veelal wordt de certifier als vervangend middel gehanteerd, dit vaak om de toegang tot het netwerk van thuis uit te kunnen betreden. Een belangrijk te vermelden punt is dat toch één onderneming binnen de voedingssector gebruik maakt van de smartcard (Bedrijf F). Ze wordt gebruikt bij Isabel, een platform om met de Belgische banken gegevens uit te wisselen. Elk bestand wordt dan ook geëncrypteerd met een bepaalde sleutel, die zich op de kaart bevindt.

Zoals reeds vroeger gezien worden ook biometrische technieken zelden toegepast. Dit vooral omwille van de hoge prijs die eraan vasthangt. Naast de banksector, waar het bijna een vereiste is dat men hierover beschikt, is er ook één bedrijf binnen de voedingssector die er gebruik van maakt (Pinguin) en ook de gezondheidssector is volop bezig de techniek te implementeren. Eens men opteert om gebruik te maken van biometrie, zien we duidelijk dat de vingerscan de enige methode is waarvoor men kiest. Dit waarschijnlijk omdat deze techniek nog relatief goedkoop is in vergelijking met andere biometrische technieken. Een andere opvallende tendens is dat vooral de bouwsector en de farmaceutische industrie het hier niet zo goed doen. Of dit resultaat veralgemeend kan worden naar de gehele sector blijft een groot vraagteken, aangezien we telkens slechts over informatie van één bedrijf beschikken.

Gebruik smartcards?

Gebruik certifiers?

Telecommunicatie

x

Metaal / Staal

x

Media

x

Fin. Instelling

x

x

Voeding Gezondheid

Ja/Neen

BIOMETRIE ?

Welke Techniek?

Ja/Neen

vingerscan

1 bedrijf

vingerscan

Nog niet

vingerafdruk

Bouw Farmacie Tabel 11: Vergelijking tussen sectoren met betrekking tot het gebruik van smartcards, certifiers en biometrie

84


3.2 Beheer van wijzigingen Hieronder worden begrippen zoals functiescheiding, integriteitsbewaking en virussen besproken.

3.2.1 Functiescheiding en integriteitsbewaking Functiescheiding is zoals beschreven in de theorie een principe waarbij gerelateerde taken en bevoegdheden opgesplitst worden naar meerdere personen om de kans op ongeautoriseerde wijzigingen of misbruik van informatie te verkleinen. Het principe wordt binnen elke sector zorgvuldig gehanteerd, en brengt slechts in bepaalde gevallen problemen met zich mee. Het gaat louter om relatief kleine probleempjes, beter gezegd ongemakjes, zoals bijvoorbeeld het feit dat taken langer gaan duren dan normaal. Interessant te vermelden is dat netwerkbeheerders quasi altijd toegang krijgen tot de pc’s van werknemers, maar bijna nooit kennis hebben van alle paswoorden. De kennis van paswoorden kan immers in bepaalde gevallen de betreffende werknemer in diskrediet brengen. Zo kan de beheerder de identiteit van iemand anders aannemen, waardoor de mogelijkheden tot fraude talrijk zijn. Tenslotte zorgt integriteitsbewaking ervoor dat men kan controleren of berichten onderweg al dan niet gewijzigd werden. Dit kan gebeuren door gebruik te maken van checkcodes of hashingtechnieken (zie blz. 28-29).

In realiteit gebeurt dit echter zelden.

Er zijn slechts twee

ondernemingen, als uitzondering in hun sector, die dit daadwerkelijk gaan doen, namelijk bedrijf C en Sidmar.

Naar de reden waarom de overige bedrijven dit niet toepassen, moet men

misschien niet te lang zoeken. Het kan bijvoorbeeld goed zijn dat deze bedrijven gewoonweg geen cruciale informatie elektronisch versturen.

3.2.2 Virussen Virussen kunnen op allerlei manieren bekomen worden. Zo is het van het grootste belang dat ondernemingen een goed antivirusbeleid opzetten. In praktijk ondervind ik dat dergelijk plan goed opgesteld en gecommuniceerd is naar de personeelsleden toe. Ook elke onderneming beschikt over antivirussoftware waarbij men frequent zijn virusdefinities hernieuwt. Op deze punten heerst dus zowat in elke sector grote eenstemmigheid. De verschillen situeren zich eerder op andere vlakken:

85


Lijst goedgekeurde software?

Enkel geautoriseerde software?

Controle bestanden wijziging in grootte?

Diskettes formatteren voor gebruik?

Telecommunicatie

x

x

Ja/Neen

Verouderd

Metaal / Staal

x

x

Verouderd

Media

x

Ja/Neen

x

Fin. Instelling

x

x

Voeding

x

x

Gezondheid

x

Ja/Neen

Verouderd

Ja/Neen

Bouw

x

x

x

Farmacie

x

x

x

Tabel 12: Vergelijking tussen sectoren met betrekking tot virussen

Hierbij zijn twee belangrijke opmerkingen te maken. Ten eerste zien we dat bestanden praktisch nooit gecontroleerd worden op wijzigingen in grootte. Dit is echter een belangrijk hulpmiddel om hackers op te sporen. Ten tweede wordt in de realiteit niet zo vaak meer gebruik gemaakt van diskettes.

Deze hebben immers een veel kleinere capaciteit dan de meeste andere

opslagmedia. Hiermee vervalt dan ook grotendeels de problematiek rond het formatteren van diskettes. In het algemeen kan gesteld worden dat bedrijven niet zoveel problemen hebben met virussen. Elke onderneming is immers in zekere mate voorbereid door middel van virusscanners en dergelijke meer. Zo zegt dhr. M. Claes van Pinguin het volgende: “Meldingen van virusdetectie worden gecentraliseerd en komen bij mij terecht. Voor de gebruiker is alles transparant en hij/zij hoeft zich nergens van aan te trekken. Bij verdachte bestanden of mails wordt er dan ook naar mij gebeld of gemaild. En iedere keer gaat het dan weer over een hoax. Hoaxen en junkmail leveren voor ons momenteel meer tijdverlies op dan echte virussen”.

3.3 Back-up procedures Back-ups zijn bij elke onderneming goed gekend. Overal wordt dan ook minimum dagelijks een kopie genomen, dit meestal incrementeel en één keer per week volledig. Men heeft ook geleerd de back-up niet bij het origineel bestand te bewaren. Zo zouden beiden immers onderhevig zijn

86


aan dezelfde gebeurtenissen (rampen). Beter is deze te bewaren in een veilige ruimte, dit ofwel binnen of buiten de onderneming. Belangrijk te vermelden is dat ik hier de indeling volgens sector niet gehanteerd heb. Bedrijven gebruiken immers hun eigen methode, wat betekent dat er grote afwijkingen bestaan als men dit per sector gaat bestuderen. Hieronder wordt dan ook een figuur weergegeven van de plaats waar de back-up bewaard wordt en het procentueel aandeel van bedrijven die daar gebruik van maakt:

Plaats waar de back-up bewaard wordt

5% 21%

Binnen 48%

Buiten Binnen en buiten Confidentieel

26%

Figuur 15: Plaats waar de back-up bewaard wordt

We kunnen concluderen dat de meeste ondernemingen hun back-up toch binnen de eigen organisatie gaan bewaren. Dit is natuurlijk minder veilig dan indien men een externe firma inschakelt voor het bijhouden ervan, maar ik moet wel bevestigen dat deze back-ups toch binnen een veilige ruimte bewaard worden. Hoe het transport gebeurt naar deze ruimte is afhankelijk van de plaats waar de back-up gesitueerd is. Zo zal bij transport binnen de onderneming de back-up meestal vervoerd worden via een koffer en te voet. Indien de plaats van back-up echter buiten de onderneming ligt, wordt veelal het transport met de wagen gedaan of door een externe firma (securitas). Eén onderneming, namelijk KBC, was niet bereid mee te delen waar ze haar kopieën bewaart, vandaar ook het stukje ‘confidentieel’ in de grafiek.

Naast de plaats van de back-up is het ook belangrijk te weten welk opslagmedium bedrijven verkiezen. Zo net hebben we gezien dat velen geen gebruik meer maken van diskettes, dit omwille van de lage opslagcapaciteit. Het meest gebruikt medium is dan ook de tape, en dit in verschillende varianten.

Op die tape slaan bedrijven altijd minstens één kopie van hun

besturingssysteem op.

87


Een volgend belangrijk aspect is dat alle ondernemingen de techniek RAID gaan toepassen. Het principe houdt in dat gegevens op verschillende schijven opgeslagen worden. Zo wordt gebruik gemaakt van vele kleinere schijven om grote hoeveelheden informatie op te slaan en wel zodanig dat er een verhoogde betrouwbaarheid is. Hoe de ondernemingen omgaan met de soorten levels kan gezien worden in de onderstaande tabel:

Level 0 (data striping) Telecommunicatie

x

Metaal / Staal

x

Level 1 (mirroring)

Level 5 x

x

Media

x x

Fin. Instelling

x

Voeding

x

x

x

x

Gezondheid

x

Bouw Farmacie

Andere

x x

x

x

Tabel 13: Vergelijking tussen sectoren met betrekking tot het gebruik van RAID

Uit deze tabellen kunnen we twee dingen opmerken. Ten eerste opteren veel ondernemingen voor een combinatie van verschillende RAID levels. Zo wordt frequent gebruik gemaakt van ‘data striping’ voor het besturingssysteem (operating system) en van level 5 voor de data zelf. Ten tweede valt het op dat de overige besproken levels (zie blz. 36) gewoonweg nooit gebruikt worden, dit vooral omdat deze levels veel minder gecommercialiseerd zijn dan level 0, 1 en 5.

Een onderdeel van back-up vormt natuurlijk het beschikken over een degelijk contingentieplan. Zo beweren 13 van de 19 ondernemingen over een goed plan te beschikken, waarbij updates regelmatig uitgevoerd worden. Van deze 13 ondernemingen zijn er wel slechts 6 die over uitwijkfaciliteiten beschikken in geval zich een zware ramp zou voordoen. Zo verklaart dhr. L. Delva van Koramic het volgende: “In geval van disaster beschikken wij bij de provider binnen de vier uur over de nodige plaats, connectiviteit en hardware om onze productieomgeving zo vlug mogelijk terug in running te krijgen.” Hieruit volgt dat slechts één derde van de meegewerkte bedrijven over uitwijk kan beschikken.

88


3.4 Fysieke beveiliging Wat betreft de fysieke beveiliging kan gesteld worden dat de sectoren het behoorlijk goed doen. Zo beschikken quasi alle ondernemingen over een rookverbod in de computerruimte, over brandblusapparaten, alternatieve stroomtoevoer bij problemen via UPS o ,… Ook beschikken de ondernemingen meestal over systemen die de temperatuur en vochtigheid opmeten in de computerruimte en eventueel een alarm dat afgaat indien de vooropgestelde grenzen overschreden worden. Twee uitzonderingen vormen Koramic en Pinguin, elk uit een verschillende sector. Zij kunnen in principe nog veel verbeteringen aanbrengen. In onderstaande tabel kan immers gezien worden dat deze ondernemingen nog veel leemtes vertonen in hun fysieke beveiliging. Zoals vroeger reeds gezegd heerst binnen deze bedrijven een nonchalante sfeer. Het is immers precies alsof deze organisaties een goede fysieke beveiliging onnodig achten.

Koramic

Pinguin

Rookverbod pc ruimte

x

x

Rookdetectoren

x

x

Evacuatieplan goed gecommuniceerd?

x

Vuurvaste deuren

Regelmatige brandoefening Automatische afsluiting elektriciteit bij water Lokale elektriciteitsaanvoer Aparte elektriciteit voor computerruimte

x x

Alternatieve stroom bij problemen

x

Systeem meting temperatuur

x

Systeem me ting vochtigheid Alarmsystemen?

x Tabel 14: Fysieke beveiliging bij Koramic en Pinguin

o

Dit is een noodbatterij die de servers nog een tijdje op running houdt indien een ramp zich heeft voorgedaan, wat betekent dat er tijd genoeg is om bij een kleine stroompanne te kunnen doorwerken.

89


3.5 Veilige communicatie Hierbij worden firewalls en hackers, encryptie en Virtual Private Network, en WebTrust nader bekeken.

3.5.1 Firewalls en hackers Zoals bij virussen is het bijna een evidentie dat ondernemingen beschikken over een firewall. Geen enkel bedrijf kon zeggen dat ze dit niet gebruiken. Maar best ook, aangezien het internet vaak hackers met zich meebrengt. Zoals in de theorie naar voren gebracht zijn hackers niet altijd mensen van buitenaf. Vaak zijn personen binnen de onderneming de boosdoener. confrontaties geweest met inside hackers.

In drie van de acht sectoren zijn er al

Deze sectoren zijn: de telecommunicatie, de

gezondheidssector en de media. Er moet wel opgemerkt worden dat de meeste van deze situaties zich voorgedaan hebben binnen de telecommunicatiesector. “Logisch”, zegt bedrijf H, “in deze ondernemingen zijn immers veel ingenieurs aan het werk. Deze mensen spelen en prutsen graag op computers. Via het raadplegen van logfiles en het onderzoeken van verdachte software kunnen deze personen dan ook vaak opgespoord worden.”

Naast de inside hackers kan men ook te maken hebben met hackers van buitenaf. De beste bescherming hiertegen is het installeren van een firewall. Men kan hiermee niet enkel het internetverkeer filteren, maar ook de toegang tot bepaalde websites verbieden of zelfs een logboek bijhouden van de bezochte sites.

Uit onderstaande tabel kan geconcludeerd worden dat de media en de farmaceutische sector deze technieken niet nodig achten, dit in tegenstelling tot de andere sectoren. Dit wil echter niet zeggen dat deze ondernemingen hier geen belang aan hechten. Misschien opteren zij eerder voor het gebruik van duidelijk vooropgestelde regels, dan voor de concrete invoering van bepaalde technieken. Deze regels leggen bijvoorbeeld ontegensprekelijk vast wat wel en niet mag, met zware sancties bij overtreding.

90


Toegang tot sites ontzeggen?

Logboek bezochte internetsites?

Telecommunicatie

x

Ja / Neen

Metaal / Staal

x

x

Ja / Neen

x

Media Fin. Instelling Voeding

x

Gezondheid

x

Bouw

x

x

Farmacie Tabel 15: Toepassingen van de firewall

Naast de taken die een firewall kan uitvoeren, is het ook belangrijk na te gaan welk type van firewall ondernemingen hanteren.

Dit is echter onafhankelijk van de sector waarin de

onderneming zich bevindt. In onderstaande grafiek kan afgeleid worden dat de application gateway / proxy heel frequent gebruikt wordt, samen met de pakketfilter. Ook is er een deel van de bedrijven die hun informatie liever confidentieel houdt en een deel dat zelf geen idee heeft van de gehanteerde firewall.

Een bijkomende vaststelling is dat ondernemingen vaak

verschillende soorten firewalls combineren, dit om een nog betere beveiliging te bereiken.

Soorten firewalls Pakketfilter Stateful Inspection Application gateway / proxy Circuit gateway Confidentieel Geen idee

Figuur 16: Soorten firewalls

91


3.5.2 Encryptie Een veilige communicatie houdt echter meer in dan louter het gebruik van firewalls. Encryptietechnieken zijn immers essentieel om bestanden veilig via het internet te kunnen versturen. Zo worden via deze techniek berichten vercijferd, vervolgens verzonden over het internet om dan terug ontcijferd te worden door de ontvanger van het bericht. In realiteit blijkt dat de meeste ondernemingen gebruik maken van deze techniek (zie figuur: donkerblauw deel), en dan ook meestal van de asymmetrische vorm of van beide vormen samen. Het gebruik van symmetrische encryptie alleen komt nooit voor. Waarschijnlijk zal dit te maken hebben met het beveiligingsniveau dat daaraan vasthangt. Asymmetrische encryptie is immers veel betrouwbaarder dan symmetrische (zie blz. 51-52).

Gebruik van encryptie 11% Neen 21% 53%

Confidentieel Symmetrisch

21%

Asymmetrisch

36% 0%

11%

Beide Geen idee

Figuur 17: Gebruik van encryptie

Als we kijken naar de indeling volgens sector kan vastgesteld worden dat vooral de beveiliging op basis van encryptie in de farmaceutische sector, de metaalsector en de voedingssector onvoldoende is.

Misschien wordt hier geen of nauwelijks kritieke informatie elektronisch

verstuurd, waardoor de noodzaak van encryptie dan ook meteen vervalt.

Bepaalde speciale technieken die gebruik maken van encryptie zijn de digitale handtekening en Pretty Good Privacy.

Deze technieken worden haast nooit geïmplementeerd.

Meer zelfs,

bepaalde ondernemingen hadden er nog nooit van gehoord.

92


3.5.3 VPN en WebTrust Het VPN of het ‘Virtual Private Network’ wordt door alle bedrijven ondersteund. Dit meestal voor ‘remote access’, dit is toegang tot het bedrijfsnetwerk van thuis uit. Hiervoor werd dan ook soms de certifier geïmplementeerd (zie blz. 23).

Tenslotte beschikken ondernemingen soms over een zegel die ervoor zorgt dat aankopen via internet betrouwbaarder wordt. In praktijk echter zien we dat niet veel ondernemingen verkopen via het internet, en indien ze dit toch doen beschikken ze niet over de WebTrust zegel. Eén onderneming in de metaalsector (Sidmar) en één onderneming in de voedingssector (Bedrijf C) verkopen via het internet en hebben nog nooit gehoord van deze zegel. Men denkt ook dat het hebben ervan geen groter vertrouwen geeft aan consumenten.

4. Vergelijking met de theorie In theorie werd gezien dat er verschillende maatregelen getroffen kunnen worden in verband met beveiliging.

Zo waren er de organisatorische maatregelen, die betrekking hadden op het

opstellen van een beveiligingsplan. Ten tweede bestaan er ook fysieke maatregelen, die gebruikt worden om een gewenste beveiliging te bekomen (bijvoorbeeld het gebruik van toegangspasjes). En tenslotte zijn er ook technische maatregelen, zoals bijvoorbeeld het intypen van een wachtwoord.

In praktijk ziet men dat ondernemingen grotendeels deze volgorde van

maatregelen gaan toepassen. Nadat het beveiligingsplan opgesteld is, is het belangrijk dit in werkelijkheid uit te voeren. Een eerste onderdeel van het plan vormt het beschikken over een goede fysieke beveiliging. Beveiliging van gegevens begint immers met een bescherming van het gebouw tegen allerlei verstorende invloeden. In werkelijkheid blijkt dat ondernemingen over het algemeen over een goede fysieke beveiliging beschikken, met uitzondering van Koramic en Pinguin, die hun beveiligingsniveau nog kunnen bijschaven.

Naast de fysieke beveiliging komt in het plan ook toegangsbeheersing naar voren. Dit beoogt ervoor te zorgen dat personen enkel de toegang krijgen tot gegevens die ze nodig hebben, maar niet tot gegevens die voor hen irrelevant zijn.

93


Zoals misschien te verwachten is, maken ondernemingen altijd gebruik van paswoorden. Wat betreft de levensduur erva n wordt voorgesteld deze toch minstens om de drie maanden te wijzigen.

De meeste ondernemingen doen dit ook daadwerkelijk.

Er zijn slechts enkelen

(Bedrijf B, Bedrijf G, Bedrijf I en UZ Gent) die deze wijze raad in de wind slaan. Naast de levensduur is het ook van belang dat mensen een beperking krijgen qua aantal invalide paswoorden, dit om hackers te bemoeilijken een systeem in te breken. Een aanvaardbaar getal is drie tot vijf pogingen, wat in werkelijkheid ook meestal nageleefd wordt. Een andere methode om de toegang tot data te bewaken is het gebruik van biometrie. In de realiteit komt dit bijna nooit voor, dit waarschijnlijk omdat het gaat om een heel dure techniek. Indien men beslist om deze toch te implementeren, zien we dat de vingerafdruk een veelgekozen optie is, ook weer omwille van de goedkopere prijs die hieraan verbonden is.

Volgende

ondernemingen implementeren deze techniek: Bedrijf I, Bedrijf J en Pinguin.

Een volgend fenomeen is het beheer van wijzigingen.

Hierbij valt op te merken dat alle

ondernemingen het principe van functiescheiding gaan toepassen.

Voor het begrip

integriteitsbewaking echter treden andere fenomenen naar de voorgrond. Zo zijn er heel weinig ondernemingen die effectief gaan controleren of een bericht al dan niet gewijzigd werd (slechts 4 van de 19 bedrijven). Het gebruik van de ‘checkcodes’ en ‘hashing’ technieken (zie blz. 28-29) laat met andere woorden te wensen over. Merk op dat het beheer van wijzigingen meer inhoudt dan louter de integriteitsbewaking en functiescheiding.

Zo vormen virussen vaak de grootste bedreiging met betrekking tot

wijzigingen van data. In de theorie worden allerlei soorten besproken, gaande van virusachtige programma’s tot echte virussen. In realiteit worden ondernemingen echter vaker geconfronteerd met hoaxes p en junkmail dan met echte virussen. Wel maakt men op een degelijke manier gebruik van antivirussoftware, wat een eerste bescherming biedt tegen schadelijke invloeden die virussen met zich kunnen meebrengen.

De scriptie omvat ook het herstellen van oude records indien gegevens toch op de één of andere manier verloren gegaan zijn. Zo zien we dat RAID een techniek is die altijd geïmplementeerd wordt. Ondernemingen geven de voorkeur aan level 0, level 1 en level 5. De overige levels worden zelfs niet in overweging genomen, meestal omdat deze veel minder gecommercialiseerd zijn.

p

Waarschuwingen voor nepvirussen.

94


Naast RAID is ook de back- up een goede techniek om beschadigde gegevens te herstellen. Er kan vastgesteld worden dat ondernemingen dagelijks incrementele of differentiële back-ups gaan nemen en wekelijks volledige. Een incrementele back-up kost immers minder tijd en geld dan een volledige. De vorige technieken zijn echter onvoldoende om bescherming te bieden indien het gehele gebouw getroffen wordt door een ramp. Daarom kan het nuttig zijn te beschikken over een contingentieplan, waarbij in geval van een ramp, de onderneming tijdelijk kan uitwijken naar een andere locatie.

In de theoretische studie werden verschillende mogelijkheden tot uitwijk

besproken (zie blz. 45).

In praktijk wordt slechts één daarvan, met name de container, in

bepaalde ondernemingen gebruikt. De overige technieken vormen voor vele organisaties een te grote kost.

De hiervoor besproken begrippen hadden allemaal betrekking op de beveiliging van gegevens in databanken.

Men moet echter ook nagaan of ondernemingen in een veilige communicatie

voorzien. Dit begint met begrippen zoals encryptie, digitale handtekening en ‘Pretty Good Privacy’. Algemeen kunnen we vaststellen dat de meeste ondernemingen gebruik maken van encryptie, en meerbepaald van de asymmetrische vorm. Dit vooral omdat deze tot een beter beveiligingsniveau leidt dan symmetrische versleuteling. Minder gebruikte fenomenen zijn de digitale handtekening en PGP.

Deze technieken worden praktisch nooit geïmplementeerd.

Opmerkelijk is zelfs dat bepaalde ondernemingen er nog nooit van gehoord hebben. Een veilige communicatie houdt ook in dat berichten verstuurd moeten worden zonder dat anderen deze kunnen onderscheppen. Of meer zelfs, hackers mogen niet in je computersysteem kunnen inbreken.

Hiervoor worden technieken als firewalls geïmplementeerd.

Er bestaan

verschillende soorten firewalls, en in praktijk hebben we gezien dat ondernemingen er meerdere tegelijkertijd gaan gebruiken, dit om een nog hoger beveiligingsniveau te bekomen. Opmerkelijk is dat firewalls niet enkel gebruikt worden om het internetverkeer te filteren. Ook wordt hiermee door de werkgever vaak de toegang tot bepaalde internetsites verboden.

De twee laatste technieken die besproken worden in dit werk, zijn het ‘Virtual Private Network’ en WebTrust. Het VPN wordt door alle ondernemingen gebruikt, meerbepaald voor ‘remote access’, dit is toegang tot het netwerk van thuis uit. WebTrust daarentegen is een techniek die door geen enkele onderneming gehanteerd wordt, alhoewel dit vertrouwen kan opwekken bij de consument. Het gaat immers om een zegel die aangeeft dat de onderneming op een betrouwbare manier goederen aanbiedt via het internet. 95


Merk op dat ondernemingen ervan uitgaan dat deze zegel niet tot extra vertrouwen zal leiden bij consumenten.

5. Besluit Het doel van dit onderzoek was na te gaan in welke mate ondernemingen zich bewust zijn van het aspect beveiliging. Kent men de begrippen zoals beschreven in de theorie, en past men deze ook toe? In dit deel werd dan ook een vergelijkende studie gemaakt tussen ondernemingen uit verschillende sectoren. Hieruit konden merkwaardige vaststellingen gedaan worden.

Zo hebben we gezien dat

ondernemingen uit dezelfde sector niet noodzakelijk hetzelfde beveiligingsniveau hanteren. Binnen elke sector zijn er wel uitschieters, zowel in positieve als in negatieve zin. Bij een vergelijking tussen de sectoren onderling konden verschillende conclusies getrokken worden. Zo hebben ondernemingen bijna geen problemen met virussen. Het zijn vooral de hoaxes en de junkmail die de meeste tijd gaan opslorpen.

Ook worden in praktijk veel

verschillende soorten firewalls tegelijkertijd gehanteerd, om op die manier een hoger beveiligingsniveau te bereiken. Na de vergelijkende studie tussen de sectoren werd een vergelijking gemaakt tussen theorie en praktijk. Hieruit kon opgemerkt worden dat verschillende aspecten, beschreven in de theorie, niet geïmplementeerd worden in de praktijk. Zo is biometrie een voorbeeld hiervan. Hierbij merkten bedrijven op dat deze techniek veel te duur is en dat de baten niet opwegen tegen de kosten die ervoor gemaakt moeten worden.

Algemeen kan besloten worden dat de meeste ondernemingen toch een goed beveiligingsniveau halen, hoewel verbeteringen toch altijd mogelijk zijn. De meeste organisaties zijn zich goed bewust van het begrip beveiliging en doen er ook alles aan om dit zo goed mogelijk te organiseren. Merk wel op dat er altijd uitzonderingen bestaan!

De resultaten uit dit onderzoek mogen wel niet sterk veralgemeend worden naar de Belgische economie.

Hiervoor waren immers té weinig ondernemingen bereid mee te werken, wat

betekent dat het doortrekken van de besluiten tot onjuiste conclusies zou leiden.

96

Algemeen Besluit

Algemeen Besluit “Beveiliging van gegevensbestanden in Belgische ondernemingen”. Zo luidt de titel van deze eindverhandeling.

Maar wat wordt hiermee nu juist bedoeld?

verbonden worden met tal van aspecten.

Beveiliging kan immers

Het doel van deze scriptie is dan ook inzicht te

verwerven in de verschillende soorten beveiliging waarmee ondernemingen geconfronteerd worden.

Vooreerst is het belangrijk de overgang te zien van een periode van handmatige gegevensverwerking naar een tijd waar automatisering en informatisering centraal komen te staan. De term ICT of ‘Informatie en communicatie technologie’ is iets wat een tiental jaren geleden nog in zijn kinderschoenen stond.

Nu is het echter volkomen normaal dat men

dergelijke woorden in de mo nd neemt. In deze tijd is het dan ook uiterst belangrijk om in een gepaste beveiliging te voorzien. Maar wat is beveiliging nu juist? In hoofdstuk 1 werd de volgende definitie gehanteerd: “Informatiebeveiliging is een verzamelnaam voor de processen die ingericht worden om de betrouwbaarheid van de informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil”. Het doel ervan is de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid van informatie te garanderen. Dit zijn de drie componenten die bekend staan onder de afkorting CIA (confidentiality, integrity & availability). Om in een goede beveiliging te kunnen voorzien, is het echter noodzakelijk eerst de waarde van informatie te bepalen. Het is namelijk afha nkelijk van deze waarde dat ondernemingen opteren voor een duurdere respectievelijk goedkopere vorm van beveiliging. De waardering gebeurt aan de hand van een aantal factoren, met name: de mate van herstelbaarheid van informatie, de misbaarheid, de betrouwbaarheid en het belang dat eraan gehecht wordt. Hoe belangrijker men deze factoren acht, hoe hoger het gewenst beveiligingsniveau zal zijn. O’ Brien bekijkt zelfs het aspect ‘kwaliteit’ door te stellen dat er drie dimensies vasthangen aan de term informatie, namelijk tijd, inhoud en vorm. Deze dimensies geven dan ook de kenmerken weer waaraan informatie van hoge kwaliteit moet voldoen. Afhankelijk van wat precies de waarde is die aan informatie gehecht wordt, kan men vervolgens nagaan welke maatregelen getroffen moeten worden. Er wordt een onderscheid gemaakt tussen vijf soorten, meer bepaald de preventieve, de detectieve, de repressieve, de correctieve en de evaluatieve maatregelen.

97

Algemeen Besluit

Computerbeveiliging is een fenomeen dat een onderdeel vormt van de interne controle in een organisatie. Naast de beveiligingsfunctie is ook een belangrijke rol weggelegd voor de ITauditor. Deze ziet er immers op toe dat het gehele proces van informatieverzending en – ontvangst op een degelijke manier verloopt, door na te gaan in welke mate de beveiliging voldoende werkzaam en up-to-date is. Door deze audit kunnen eventuele tekortkomingen opgespoord en verbeterd worden.

Eenmaal de waarde van informatie vastgesteld is, de maatregelen bepaald zijn en de IT-auditor zijn bevoegdheden gekregen heeft, leidt de volgende stap tot de beveiliging van gegevens in databanken. In hoofdstuk 2 werden dan ook alle mogelijkheden met betrekking tot dit type beveiliging verder uitgediept. Vooreerst werd de fysieke beveiliging onder de loep ge nomen. Dit betekent dat bedrijven zich op een degelijke manier moeten beschermen tegen rampen zoals brand, waterschade, aardbevingen,… Ook temperatuur en vochtigheid opmeten is een fenomeen dat in de praktijk veelvuldig voorkomt (in 84% van de gevallen). Computersysteem kunnen immers niet optimaal werken bij te hoge of te lage temperatuur, respectievelijk te hoge of te lage vochtigheid. Het is bijgevolg aangeraden alarmsystemen te laten weerklinken in geval de temperatuur of de vochtigheid niet optimaal is.

87,5% van de bedrijven die de vochtigheidsgraad en/of

temperatuur controleren, beschikken over een dergelijke installatie. Beveiliging houdt echter meer in dat het zich louter beschermen tegen rampen. Het is ook belangrijk dat de toegang tot pc ruimtes gelimiteerd is tot diegenen die effectief de ruimte moeten betreden. Anderen hebben daar geen baat bij en moeten dan ook de toegang ontzegd worden. De problematiek hieromtrent wordt ook wel toegangsbeheersing genoemd, en kan beschouwd

worden

als

één

van

de

belangrijkste

preventieve

maatregelen

van

informatiebeveiliging. Het omvat het specifiëren, het verlenen en het bewaken van toegang. Men gaat met andere woorden onderzoeken of diegene die toegang wenst tot bepaalde gegevens, daar wel of niet toe gerechtigd is. Belangrijk hierbij is de identiteit van de betreffende persoon vast te stellen en te controleren. Eens men recht heeft toegang te vragen tot een systeem, moet nog beslist worden welke techniek men hiervoor zal hanteren. Een eerste methode is het gebruik van paswoorden. Zo zien we dat gewoonweg alle ondernemingen hiervan gebruik maken. Er treden echter wel verschillen op qua vereisten die gesteld worden aan bijvoorbeeld de lengte van het paswoord, of aan het aantal pogingen die ondernomen mogen worden vooraleer het systeem blokkeert.

De meeste

ondernemingen (79%) gaan dan ook effectief, zoals Hawker het vooropstelt, hun paswoord 98

Algemeen Besluit

frequent wijzigen. Maar zelfs al wordt dit regelmatig veranderd, toch zijn inbraakpogingen moeilijk af te wenden. Eenmalige paswoorden kunnen dit gevaar verkleinen, maar door de iets omslachtiger inlogprocedure laten alle bedrijven deze techniek aan zich voorbijgaan. Een tweede techniek maakt gebruik van badges zoals pas en PIN code, smartcard of certifier. De pas en PIN code steunt op volgende methode: de identificatie van de gebruiker wordt getest aan de hand van de pas en de authenticatie verloopt door middel van de PIN code. Een betere techniek echter is de smartcard, een kaart waarop massa’s vertrouwelijke gegevens opgeslagen kunnen worden. Het gebruik ervan garandeert een hoog beveiligingsniveau, wat logischerwijze resulteert in een hoge kostprijs.

Blijkbaar een struikelblok voor veel bedrijven, aangezien

slechts één enkele onderneming deze techniek implementeert. Ook de certifier, een toestel dat precies lijkt op een rekenmachine, mag niet op het appel ontbreken. In praktijk wordt deze techniek immers vaak toegepast bij online pc banking. Het gebruiksgemak (iedereen kan met een rekenmachine werken) speelt duidelijk in zijn voordeel: 9 van de 19 participerende bedrijven hebben dergelijk apparaat in hun beveiligingsarsenaal. Naast paswoorden kan men ook diverse biometrische technieken implementeren. De term biometrie verwijst naar de technologie voor de verificatie van de identiteit van personen. Aangezien hier karakteristieken van personen gemeten worden, is het systeem dan ook veel minder gevoelig voor fraude dan de vorige technieken. In praktijk blijken er echter heel weinig bedrijven gebruik van te maken (slechts 10,5%), dit vooral omwille van het dure prijskaartje. Algemeen kan geconcludeerd worden dat biometrie enkel toegepast wordt in situaties waar de beveiligingseisen erg hoog zijn.

Bij het bestuderen van beveiliging in databanken, kan men onmogelijk het beheer van wijzigingen over het hoofd zien. Dit omvat functiescheiding, integriteitsbewaking en virussen. Het is immers van groot belang dat taken en bevoegdheden opgesplitst worden naar meerdere personen om de kans op ongeautoriseerde wijzigingen of misbruik van informatie te verkleinen. Door functiescheiding kan ervoor gezorgd worden dat mensen niet in staat zijn om fraude te plegen zonder samen te spannen met anderen.

In praktijk passen alle ondervraagde

ondernemingen het principe toe. Nochtans weten ze maar al te goed dat de invoering van dergelijk principe vertragingen met zich meebrengt. Er zijn immers verschillende personen met één taak bezig. Naast functiesplitsing is ook integriteitsbewaking een belangrijk principe. Hiermee kan immers gecontroleerd worden of een bericht al dan niet gewijzigd is. Hoewel deze techniek niet zo duur en relatief eenvoudig te implementeren is, passen slechts 26% van de bedrijven deze toe. 99

Algemeen Besluit

De belangrijkste oorzaak van wijzigingen kan echter teruggevonden worden bij virussen. Zij hebben als doel schade aan te brengen aan het systeem of aan het internet en e- mail verkeer in het algemeen.

Er moet echter een onderscheid gemaakt worden tussen virusachtige

programma’s en echte virussen.

Onder de virusachtige programma’s vinden we worms,

trojaanse paarden, bugs, droppers, hoaxes en virus imposters. Het zijn programma’s die niet in staat zijn om serieuze schade aan te richten aan het systeem, maar die eerder kunnen doorgaan onder de naam nepvirussen. De meeste van deze nepvirussen zijn enkel ontworpen om mensen eens goed op stang te jagen. Het wordt echter bittere ernst wanneer we de echte virussen bespreken.

Zo bestaan onder andere de boot sector virussen, het bestandsvirus en het

macrovirus, die een ware ravage kunnen aanrichten in computersoft- en hardware. Het is dus uitermate belangrijk een gepaste beveiliging tegen virussen te voorzien. Daartoe is er voldoende antivirussoftware op de markt en bovendien is die niet zo duur. Men moet wel de bedenking maken dat virusscanners altijd achterlopen op de feiten. Het is immers pas indien een virus bekend is, dat laboratoria kunnen beginnen met de ontwikkeling van het tegengif. Logischerwijs moeten er dus regelmatig updates van de virusdefinities genomen worden, om de tijd tussen de geboorte, de detectie en het onschadelijk maken van het virus zo kort mogelijk te houden. Zo krijgt het virus slechts een minimum aan tijd om in zijn destructieve opzet (zoveel mogelijk schade toebrengen) te slagen.

Eens bestanden op de één of andere manier toch beschadigd of verloren gegaan zijn, kunnen deze nog hersteld worden door middel van oude records . Dit kan verwezenlijkt worden door gebruik te maken van technieken als RAID, back-up en data recovery. Een eerste techniek is RAID, wat staat voor ‘Redundant array of independent disks’. Het principe is dat gegevens op verschillende schijven opgeslagen worden, waardoor verhoogde betrouwbaarheid ontstaat. Om deze betrouwbaarheid te realiseren bestaan er verschillende soorten implementaties van RAID, gaande van level 0 tot 5. Level 0 komt overeen met het ‘data striping’ proces. Dit betekent dat de inhoud van een datafile gespreid wordt over twee of meer disks, wat maakt dat de snelheid waarmee gegevens opgehaald kunnen worden, verbetert. Een volgende soort RAID is level 1, die overeenkomt met het ‘disk mirroring’ proces, waarbij alle data in het systeem simultaan op twee harde schijven geschreven worden. Zodoende wordt het systeem betrouwbaarder aangezien men steeds over twee versies beschikt. Level 5 tenslotte, combineert de snelheid en de betrouwbaarheid van de vorige levels. En blijkbaar slaat dit aan, want maar liefst 13 van de 18 bedrijven die over RAID beschikken, verkiezen level 5 (of een combinatie waarin level 5 voorkomt). 100

Algemeen Besluit

In het verder verloop van de scriptie werd ook de back-up besproken, als manier om gegevens te herstellen. De back- up is het maken van een reservekopie, die gebruikt kan worden indien bepaalde bestanden of programma’s schade opgelopen hebben. Er kunnen verschillende soorten geïmplementeerd worden, afhankelijk van de vereisten die de onderneming stelt.

Naast

verscheidene opslagmogelijkheden zijn er ook verschillende opslagmedia beschikbaar. Zo kan men opteren voor optische schijven (CD en DVD), magneetschijven en magneetband om de kritieke data van een onderneming te bewaren. Voor welke vorm geopteerd wordt, is afhankelijk van onderneming tot onderneming, hoewel de meesten tape prefereren. Dit is immers nog steeds veruit het goedkoopste medium. Tenslotte is het ook belangrijk over een data recovery plan te beschikken, wat betekent dat men eventueel afspraken kan maken met een gespecialiseerd bedrijf om over reserve apparatuur te beschikken wanneer het eigen systeem ten gevolge van een catastrofe niet meer bruikbaar is. Ook afhankelijk van de wensen van de onderneming kan gekozen worden voor een dure of goedkopere vorm van uitwijk. Zo is de container een manier die aangewend wordt om tijdelijk de onderneming te ondersteunen. Het is een relatief goedkope manier van werken, aangezien de container slechts voorgereden wordt indien uitwijk daadwerkelijk nodig is. Vier van de zes bedrijven die over uitwijk beschikken, kiezen hiervoor. Andere, duurdere technieken zijn eerder een uitzondering, aangezien slechts 2 van de 19 gecontacteerde bedrijven hiervoor opteren.

We hebben nu wel een idee over de beveiliging van gegevens in databanken. Maar wat als die gegevens ook verstuurd worden over het internet? Daarvoor werd in hoofdstuk 3 een overzicht gegeven van alle mogelijke technieken om de communicatie van gegevens op een veilige manier te laten verlopen. Achtereenvolgens werden volgende zaken beschreven: cryptografie, hacken, firewalls, VPN en WebTrust. Encryptie is het vercijferen of onleesbaar maken van een bericht voor onbevoegden. Het verstuurde bericht wordt vercijferd, vervolgens verstuurd over het internet om dan terug ontcijferd te worden door de ontvanger ervan. Enkel de ontvanger heeft de unieke sleutel om dit bericht te decoderen, waardoor derden dan ook onmogelijk de boodschap kunnen lezen. Door encryptie weet men zeker dat een bericht door niemand anders gelezen werd, maar meestal wil men ook zekerheid verwerven betreffende de identiteit van de verzender.

Dit kan

gerealiseerd worden door gebruik te maken van de digitale handtekening. In praktijk maken 53% van de ondernemingen gebruik van encryptie, dit in tegenstelling tot de digitale handtekening, die slechts in 21% van de gevallen gehanteerd wordt.

101

Algemeen Besluit

Een volgend gevaar voor een veilige communicatie vormt hacken, een techniek waarbij ongeautoriseerde buitenstaanders inbreken in het computersysteem van een organisatie en gegevens of programma’s vernietigen of wijzigen. Het meest belangrijke wapen hiertegen is een goede beveiliging, die voorkomt dat onbevoegden op de pc kunnen indringen. Een programma met dergelijke functie wordt ook een firewall genoemd, een systeem dat het verkeer regelt tussen het intern netwerk en het internet.

Naast het regelen en eventueel blokkeren van het

internetverkeer heeft de firewall ook nog tal van andere taken. Zo wordt deze in 52,6% van de gevallen ingezet om werknemers de toegang tot bepaalde internetsites te ontzeggen en in 63,16% van de gevallen om een logboek bij te houden van de bezochte websites.

Een belangrijke toepassing waarvan alle meewerkende ondernemingen gebruik maken, is het ‘Virtual Private Network ’ (VPN). Het is een techniek waarbij personeelsleden die op reis zijn, thuiswerkende mensen en zakenpartners op een eenvoudige manier kunnen aanloggen op het netwerk van de onderneming.

Waarom deze techniek zo veelvuldig (alle ondernemingen

hanteren deze immers) toegepast wordt, zal ongetwijfeld te maken hebben met de relatief goedkope prijs die eraan verbonden is. Internet is voor verbindinge n over een lange afstand immers een stuk goedkoper dan andere communicatiemedia. Geen wonder dus dat deze manier van werken zo frequent gehanteerd wordt.

Het laatste onderdeel van de literatuurstudie vestigt de aandacht op WebTrust. Niet enkel ondernemingen hebben immers baat bij een veilige communicatie. Ook de consumenten kunnen ervan meespreken, aangezien ze meer en meer aankopen doen via het internet. Men is echter nogal achterdochtig indien op dergelijke manier betaald moet worden.

Daarom beschikken

ondernemingen tegenwoordig over een certificaat, zoals een WebTrust zegel. Het verschaffen van deze zegel betekent dat het betreffende bedrijf periodiek doorgelicht wordt door een hiervoor erkende auditor. Deze zegel geeft de consument dus het vertrouwen dat hij op een betrouwbare manier zaken kan doen met online aanbieders van goederen en diensten. Uit het praktijkonderzoek kan gezien worden dat slechts 4 van de 19 ondernemingen online goederen aanbiedt.

Opmerkelijk is dat van deze vier ondernemingen er slechts één is die

daadwerkelijk over een WebTrust zegel beschikt.

102

Algemeen Besluit

In dit werk heb ik gepoogd een overzicht te geven van alle mogelijke manieren om gegevens op een adequate manier te beveiligen. De meeste participerende bedrijven zijn hiervan goed op de hoogte en zien er ook het belang van in. Iets wat eigenlijk niet zo verwonderlijk is, aangezien in dit onderzoek enkel grote bedrijven (die meestal over een aparte IT-afdeling beschikken) doorgelicht werden. Dit alles staat wel nog niet garant voor een solide beveiliging. Er bestaat immers geen pasklare oplossing om in enkele stappen een beveiligingssysteem op poten te zetten. Zoals uit deze scriptie blijkt, bestaat beveiliging uit een waaier aan componenten, die elk hun eigen, essentiële bijdrage leveren aan het beveiligingsniveau van de organisatie. Het is een noodzaak dat geen enkele component in gebreke blijft. Een ketting is immers maar zo sterk als zijn zwakste schakel! Riskeert een onderneming het om één aspect te onderschatten of te verwaarlozen, dan eist dit vroeg of laat zijn tol.

Waarom zou een bedrijf er dan nog aan

twijfelen een perfecte beveiliging te installeren? Moet het nog gezegd worden dat geld hier (weer maar eens) een doorslaggevende rol speelt? Omdat geen enkel beveiligingsaspect over het hoofd mag gezien worden en er nu eenmaal geen totaaloplossing voorhanden is, moet men noodgedwongen zijn toevlucht nemen tot kleinschalige oplossingen. Die zijn natuurlijk duur omdat ze door relatief kleinere bedrijven geleverd worden. Bovendien moeten de verschillende deeloplossingen samengebracht en beheerd worden, wat zeer arbeidsintensief (en duur) is.

Uit dit alles blijkt dat de problematiek rond beveiliging een complexe materie is. In de economie draait alles immers rond één trade-off, namelijk de afweging tussen kosten en baten. Hierboven werden de (hoge) kosten van beveiliging reeds besproken, de baten zijn echter moeilijker te definiëren.

Men kan immers op geen enkele manier zien welke opbrengsten een goede

beveiliging oplevert voor de organisatie. De investering in beveiliging wordt dan ook vaak gezien als een investering in het niets. Indien er zich nooit incidenten voordoen (wat eigenlijk een utopie is), kan het besteed budget al eens als verloren beschouwd worden. Dit zeker in crisistijden, waar ondernemingen hun zuurverdiende centen liever investeren in projecten die onmiddellijk rendement opleveren. Liever dan geld te pompen in een schijnbare verliespost als beveiliging!

103

Lijst van de geraadpleegde werken §

ABU-MUSA A.A., 2002, “Computer crimes: How can you protect your computerized accounting information system?”, Journal of American Academy of Business, Vol. 2, nr. 1, blz. 91-101

§

AC&NC, 2002, Advanced computer & network corporation URL: . (10/09/2002)

§

ALLBRITTON C., 2002, “Encrypting your E-mail”, Popular Mechanics, Vol. 179, nr. 12, blz. 40-42

§

APACHE, “Authentication, Authorization, and Access Control” URL: . (20/02/2003)

§

Audit en controle in de praktijk, Kluwer/ced.samson

§

BALTZAR H., 2002, “Data: To protect and serve”, Database Management, Vol. 19, nr. 2, blz. 46-47

§

BELL R.E., 2002, “The prosecution of computer crime”, Journal of Financial Crime, Vol. 9, nr. 4, blz. 308-325

§

BHARVADA K., 2002, “Electronic Signatures, Biometrics and PKI in the UK”, International Review of Law Computers & Technology, Vol. 16, nr. 3, blz. 265-275

§

BISHOP M., 2003, Computer security: Art and science, Addison Wesley, 1136 blz.

§

BISSET A. & SHIPTON G., 2000, “Some human dimensions of computer virus creation and infection”, Int. J. Human – Computer Studies, Vol. 52, blz. 899-913

§

BOVA R., “VPN’s: the time is now” URL: . (18/02/2003)

§

BROWN S.D. & MAIDA J.C., 1999, “Adverting disaster with redundant hardware”, Tax Adviser, Vol. 30, nr. 10, blz. 732-733

§

BURR T., GANDARA M, ROBINSON K., 2002, “E-commerce: auditing the rage”, The internal auditor, Vol. 59, nr. 5, blz. 49-55

§

BUSTA B., 2002, “Encryption in theory and practice”, CPA Journal, Vol. 72, nr. 11, blz. 4249

§

CAZEMIER J.A., OVERBEEK P.L., PETERS L.M.C., 1999, Security management, Crown, 124 blz.

§

Computer intrusions and attacks, 1999, The Electronic Library, Vol. 17, nr. 2, blz. 115-119

I

§

CRINS H.W. & DERKSEN J.G., 1992, Automatisering van de Informatie Verzorging, Academic Service, 878 blz.

§

DE CAUSMAECKER P., 2001, “Besturingssystemen”, slides RAID

§

DE LEMBRE E., slides http://fetew.rug.ac.be/AccoEco/nederlands/eduboard/boekhouden_1_ste_kan/10%20april%2 0gedeelte%20EDL.ppt . (20/03/2003)

§

DE PELSMACKER P. & VAN KENHOVE P., 1999, Marktonderzoek: methoden en toepassingen, Garant, 737 blz.

§

DE VICENZI, 1999, “Data storage key to safeguarding information”, Security: For Buyers of Products, Systems & Services, Vol. 36, nr. 9, blz. 108-110

§

EURODICAUTOM URL: . (12/04/2003)

§

FISHER S.E., 1996, “VPNs use tunneling to build private business links”, Datamation, Vol. 42, nr. 11, blz. 66-68

§

FORCHT K.A. & HUBBARD J.C., 1998, “Computer viruses: How companies can protect their systems”, Industrial Management & Data Systems, Vol. 98, nr. ½, blz. 12-17

§

GILHOOLY K., 2001, “Smart Cards, smart moves?”, Computerworld, Vol. 35, nr. 21, blz. 58-59

§

GRISEL M., 2001, Cryptografie: versleutelen van bestanden URL:. (11/09/2002)

§

GRUPE F.H. & KUECHLER W., 2003, “Digital signatures: a business view”, Information Systems Management, blz. 19-28

§

HAWKER A., 2000, Security and control in information systems, Routledge, 332 blz.

§

HOUTEPEN E. & MOSSHAMMER A, “Leve de smart card, nu nog even de randvoorwaarden.” URL: . (18/02/2003)

§

HUMBLET P., JANVIER R., RAUWS W. & RIGAUX M., 2002, Synopsis van het Belgisch arbeidsrecht, Intersentia, 452 blz.

§

HUNG V., 1996, “Second generation walls fortify defence”, Computing Canada, Communications & Networking, blz. 31-33

§

HUNTON J.E., 2002, “Back up your data to survive a disaster”, Journal of accountancy, Vol. 193, nr. 4, blz. 65-70

§

INFORMATIEBEVEILIGING URL: . (20/02/2003)

II

§

KOZIEROK C.M., 2001, The PC guide URL: . (08/09/2002)

§

KRAUSE J., 2002, “Hack attack”, ABA Journal, Vol. 88, blz. 50-55

§

LINDGREEN E.R., OVERBEEK P., SPRUIT M., 2000, Informatiebeveiliging onder controle, Uitgeverij Pearson Education, 299 blz.

§

LYSIAS, 2002, Weet u wel zeker dat u uw data niet deelt met onbekenden? URL: . (06/02/2003)

§

LYSIAS, 2002, Op ieder geheim past een sleutel. URL: . (10/02/2003)

§

MACIAG G., 2002, “Biometrics help find your true identity”, National Underwriter, Vol. 106, nr. 7, blz. 33-34

§

MELYMUKA K., 2003, “How to do an IT security audit?”, Computerworld, Vol. 37, nr. 5, blz. 37

§

MOORE F., 2002, “Total cost of survival”, Computer Technology Review, Vol. 22, nr. 8, blz. 28-30

§

MUSAJI Y.F., 2001, Auditing and Security, Wiley, 530 blz.

§

NATIONALE BANK VAN BELGIË, Groepering per activiteitssector URL: . (27/03/2003)

§

NEDERLANDS NORMALISATIE INSTITUUT, 2000, Code voor informatiebeveiliging, deel 1, 89 blz.

§

NEIGER D., 2002, “Feeling insecure?”, Australian CPA, Vol. 72, nr. 5, blz. 54-55

§

O’BRIEN J.A., 1993, Informatiekunde, Academic service, 652 blz.

§

OHLSON K., 2000, “Redundant arrays of independent disks”, Computerworld, Vol. 34, nr. 22, blz. 67

§

OVERBEEK P. & SIPMAN W., 1999, Informatie beveiliging, Uitgeverij Tutein Nolthenius, 255 blz.

§

PFLEEGER C.P., 1989, Security in computing, Prentice Hall, 538 blz.

§

PISA, Privacy: Juridisch luik URL: . (21/03/2003)

§

RANUM M.J., 1995, “Great walls of fire”, Security Management, Vol. 39, nr. 7, blz. 131134

III

§

RSA Data Security URL: . (13/02/2003)

§

RUBENKING N.J., 2002, “Backup Nice and Easy”, “Differential and Incremental backups”, PC Magazine, Vol. 21, nr. 15, blz. 70-72

§

SCHWARZWALDER R., 1999, “Intranet Security”, Database, Vol. 22, nr. 2, blz. 58-62

§

SECURITY WHITE PAPER INTER ACCESS, Informatiebeveiliging de schakel tussen Business en ICT-beheer URL: . (20/02/2003)

§

SELIGER R., 1999, “Software security key, firewalls, visual integration emerge”, Health Management Technology, Vol. 20, nr. 7, blz. 10-11

§

SMITH R., 2002, “Computer backups: The gotcha factors”, Multimedia Schools, Vol. 9, nr. 4, blz. 40-43

§

SMITH R.E., 1999, Cryptography and the internet URL: . (12/02/2003)

§

STEVENS D., 2001, Wet inzake de informaticacriminaliteit URL: . (21/03/2003)

§

SUN N., 1997, “Internal firewalls can protect subnetworks from unauthorized access”, Computer Technology Review, Vol. 17, nr. 6, blz. 14-18

§

TENNANT R., 2001, “Coping with disasters’, Library Journal, Vol. 126, nr. 19, blz. 26-28

§

“The language of hacking”, Management Review, 1998, Vol. 87, nr. 9, blz. 18-21

§

TRAUBITZ T., 2000, “Data reliability key to web success”, Communications News, Vol. 37, nr. 6, blz. 20-22

§

TROWBRIDGE D., 1995, “Firewalls frustrate vandals seeking to break in”, Computer Technology Review, Vol. 15, nr. 7, blz. 1-2

§

TYLER G., 2002, “Virus hunting”, Management Services, Vol. 46, nr. 9, blz. 24-26

§

UNIVERSITY OF IOWA, How do I choose a good password? URL: . (10/02/2003)

§

VANHESTE J., 2001, Het handboek voor internet- en intranettechno logie, Pearson Education uitgeverij BV, 508 blz.

§

VERLEYEN B., 2001-2002, Beveiligde internettoegang voor een domoticatoepassing, Eindverhandeling tot het verkrijgen van de graad van Industrieel ingenieur

§

VERTON D., 2003, “Viruses get smarter”, Computerworld, Vol. 37, nr. 4, blz. 21-24

IV

§

VIJAYAN J., 2002, “Replication”, Computerworld, Vol. 36, nr. 23, blz. 54

§

Virtual Private Networks URL: . (03/03/2003)

§

URL: (05/12/2002) URL: (13/12/2002) URL: (13/12/2002) URL: (13/12/2002) URL: (12/02/2003) URL: (19/02/2003) URL: (19/02/2003) URL: (19/02/2003)

Bronvermelding checklist: §

Information Systems Checklist Audit Programme, 2001, Khurram Uqaili

§

IBM AS400 Security Procedures URL: (21/02/2003)

§

Contingency planning audit, 1997, Ray D. URL: (21/02/2003)

§

Disaster Recovery, 1999, Johnson A. URL: (21/02/2003)

§

MUSAJI Y.F., 2001, blz. 68-69, blz. 515-518

V

Bijlagen

Bijlage 1

Soorten dreigingen

(OVERBEEK P. & SIPMAN W., 1999, blz. 32-34)

Opzettelijke inbreuken op de beveiliging: 1. Kopiëren of stelen van (vertrouwelijke) informatie of programmatuur 2. Afluisteren van communicatielijnen en netwerken 3. Het invullen van onjuiste gegevens 4. Het frauduleus veranderen van gegevens 5. Het moedwillig wissen van gegevens 6. Het moedwillig wijzigen of beschadigen van programma’s 7. Het moedwillig beschadigen van gegevensdragers 8. Het moedwillig beschadigen van computerapparatuur 9. Diefstal van informatie, programmatuur of apparatuur 10. Oneigenlijk of onrechtmatig gebruik van informatie of programmatuur 11. Het moedwillig beschadigen van programma’s, bijvoorbeeld door het inbrengen van computervirussen 12. Vandalisme 13. Brandstichting 14. Oproer 15. Bedrijfsbezetting, stakingen, of andere arbeidsconflicten 16. Afpersing 17. Het opzettelijk beschadigen van verbindingen, waardoor communicatie met het informatiesysteem niet meer mogelijk is

Menselijk falen: 1. Foute invoer van gegevens 2. Gebruik van verkeerde (versies van) programma’s 3. Per ongeluk wissen van gegevens, bijvoorbeeld door het geven van onjuiste computeropdrachten 4. Onjuiste omgang met gegevensdragers, waardoor deze onleesbaar worden 5. Onjuiste omgang met computerapparatuur, waardoor deze defect raakt

6. Morsen

van

drank,

as,

kruimels,

en

dergelijke,

waardoor

gegevensdragers

of

computerapparatuur beschadigd raken 7. Bedieningsfouten 8. Laten vallen van apparatuur 9. Meegebrachte spelletjes op computers gebruiken, waardoor virussen in het systeem geïntroduceerd worden 10. Slordige omgang met sleutels en toegangscodes, waardoor derden toegang tot het systeem en de informatie kunnen verkrijgen 11. Het per ongeluk uitschakelen of weghalen van verbindingen, bijvoorbeeld bij verhuizingen of onderhoud, waardoor het computersysteem niet meer bereikbaar is 12. Het onbewaakt achterlaten van ingeschakelde computerapparatuur, waardoor derden toegang kunnen krijgen 13. Het laten slingeren van gegevensdragers, waardoor derden deze kunnen inzien, kopiëren of stelen

Technisch falen: 1. Slijtage van apparatuur of gegevensdragers 2. Spontane storingen 3. Kortsluiting in de apparatuur 4. Storingen in de klimaatregeling, waardoor de temperatuur en vochtigheid ontregeld raken, als gevolg waarvan de computerapparatuur defect kan raken 5. Lijnstoringen, waardoor geen communicatie meer mogelijk is 6. Fouten in de programmatuur 7. Fouten in de handleidingen, waardoor onjuiste handelingen verricht worden, die op hun beurt weer tot schade kunnen leiden, zoals het verliezen of vernielen van informatie

Externe oorzaken: 1. Uitvallen van de stroom 2. Blikseminslag 3. Brand 4. Waterschade ten gevolge van leidingbreuk of hevige regenval 5. Constructie werkzaamheden, zoals heien

6. Persoonlijke

ongevallen

computerwerkzaamheden

of

ziekte,

onverwacht

waardoor niet

essentiële

meer

personen

beschikbaar

voor

zijn,

bepaalde

zoals

een

systeembeheerder 7. Optredende defecten aan het gebouw, waardoor computersystemen of verbindingen kunnen uitvallen 8. Oorlog, revoluties of relletjes 9. Andere oorzaken, zoals radarstraling

Bijlage 2

Gevolgen van virusschade

(FORCHT K.A. & HUBBARD J.C., 1998, blz. 16)

EFFECT

FREQUENTIE VAN OPTREDEN

Crash van de harde schijf

30 %

Onbetrouwbare applicaties

35 %

Gegevensverlies

39 %

Verlies van de toegang tot gegevens

49%

Corrupte gegevens

59 %

Computer onbeschikbaar

71%

Productiviteitsverlies

81%

Bijlage 3

Gecontacteerde bedrijven

Naam bedrijf Eerste Contact Datum Verder contact Datum Meedoen?

Persoon

Accentis

Gemaild

06-03-03 Gemaild

21-03-03

Agfa Gevaert

Telefonisch

07-03-03 Gemaild Gemaild

07-03-03 18-03-03

Bedrijf A

Telefonisch

03-03-03 Gemaild Telefonisch Ontvangen Bijkomende info

03-03-03 07-03-03 11-03-03 13-03-03

JA

Dhr X

Bedrijf I

Gemaild

28-03-03 Ontvangen

01-04-03

JA

Mevr X

Barco

Telefonisch

27-02-03 Gemaild Telefonisch

03-03-03 12-03-03

JA

Emile Schamp

Base

Telefonisch

03-03-03 Gemaild

03-03-03

NEEN

Nathalie Bonjean

Beaulieu

Gemaild

05-03-03 Telefonisch Gemaild Gemaild

07-03-03 12-03-03 18-03-03

Befimmo

Gemaild

05-03-03 Telefonisch

07-03-03

NEEN

M.P. Bouvier

Bedrijf B

Gemaild

05-03-03 Gemaild Ontvangen Bijkomende info

18-03-03 20-03-03 21-03-03

JA

Dhr X

Belgacom

Telefonisch

03-03-03 Gemaild

04-03-03

Brantano

Gemaild

04-03-03 Telefonisch Gemaild

07-03-03 18-03-03

Brederode

Gemaild

06-03-03 Gemaild

12-03-03

Club Med

Gemaild

06-03-03 Gemaild

12-03-03

Daikin

Gemaild

03-03-03

Danilith

Gemaild

28-03-03

Deceuninck

Gemaild


07-03-03

Delhaize

Gemaild

05-03-03 Telefonisch Telefonisch

07-03-03 13-03-03

An Gijs

Valerie Quintelier Veerle Goderis

NEEN


Persoon

D 'Ieteren

Gemaild

05-03-03 Gemaild

21-03-03

Distrigas

Gemaild

05-03-03 Telefonisch Mail

07-03-03 10-03-03

Bart Opdebeeck

Douwe Egberts

Gemaild

05-03-03 Mail Gemaild

11-03-03 12-03-03

Roger Berckmans

Electrabel

Telefonisch

03-03-03

Fardis

Gemaild

12-03-03

Ford

Gemaild

05-03-03 Gemaild

21-03-03

Bedrijf J

Telefonisch

28-02-03 Gesprek

31-03-03

JA

Glaverbel

Gemaild


07-03-03

NEEN

Het Leger

Gemaild

05-03-03 Mail Gemaild Gemaild Tegenantwoord

07-03-03 10-03-03 11-03-03 12-03-03

NEEN

Paul Stubbe

Bedrijf C

Telefonisch

03-03-03 Opgestuurd Ontvangen

04-03-03 06-03-03

JA

Mevr X

Innogenetics

Gemaild

05-03-03 Telefonisch Gemaild Gemaild Gemaild

07-03-03 12-03-03 21-03-03 28-03-03

Interbrew

Gemaild

04-03-03 Tegenantwoord

05-03-03

NEEN

Janssen Pharmaceutica

Gemaild

05-03-03 Telefonisch Gemaild Gemaild Tegenantwoord

07-03-03 07-03-03 18-03-03 21-03-03

NEEN

KBC

Gemaild

05-03-03 Mail Telefonisch

06-03-03 JA, beperkt 12-03-03

Kodak

Gemaild

05-03-03 Telefonisch Gemaild

07-03-03 07-03-03

JA

Sonja Van Criekingen

Koramic

Gemaild

05-03-03 Gemaild Gemaild Ontvangen Bijkomende info

07-03-03 21-03-03 21-03-03 24-03-03

JA

Lieven Delva Wivine Bouten

NEEN

Dhr X

Geert Vandeputte

Erna Jansen

Wim Vandenberghe

Naam bedrijf Eerste Contact Datum Verder contact Datum Meedoen? MarieJo

Gemaild


Naessens W.

Gemaild

29-03-03

Neckermann

Gemaild

05-03-03

Nestle

Gemaild

04-03-03

NMBS

Telefonisch

Bedrijf D

Persoon

06-03-03

NEEN

Annemie De Pauw

04-03-03 Gemaild Mail Tegenantwoord

04-03-03 11-03-03 12-03-03

NEEN

Antoon Mordijck

Telefonisch

03-03-03 Opgestuurd Ontvangen Bijkomende info

03-03-03 07-03-03 13-03-03

JA

Dhr X

Palm

Gemaild

04-03-03 Telefonisch Gemaild Gemaild Ontvangen

07-03-03 07-03-03 18-03-03 26-03-03

JA

Jan Louis

Picanol

Gemaild


07-03-03 07-03-03 18-03-03

Pinguin

Telefonisch

03-03-03 Gemaild Telefonisch Bijkomende info

04-03-03 04-03-03 13-03-03

JA

Matthias Claes

Quick

Gemaild

05-03-03 Gemaild

21-03-03

RealSoftware

Gemaild

05-03-03 Telefonisch Opgestuurd Tegenantwoord

07-03-03 10-03-03

NEEN

Philippe Duyle

Recticel

Gemaild

05-03-03 Telefonisch Gemaild Gemaild Tegenantwoord

07-03-03 07-03-03 18-03-03 24-03-03

NEEN

Hubert Creyf Patrick Versyck

Bedrijf E

Gemaild

05-03-03 Telefonisch Gemaild Gemaild Ontvangen

07-03-03 07-03-03 18-03-03 18-03-03

JA

Dhr X

Selor

Gemaild

04-03-03


Persoon

Sidmar

Telefonisch

03-03-03 Opgestuurd Ontvangen Gemaild

03-03-03 07-03-03 18-03-03

JA

G. Claeys

Siemens

Telefonisch

03-03-03 Gemaild Tegenantwoord

03-03-03 07-03-03

NEEN

Marc Samyn

Solvay

Gemaild

05-03-03

Standaard

Gemaild


07-03-03 07-03-03 21-03-03

Telenet

Gemaild

06-03-03 Mail Gemaild Tegenantwoord

10-03-03 18-03-03 21-03-03

Televic

Gemaild

05-03-03 Mail Gemaild Gemaild Gemaild

06-03-03 12-03-03 21-03-03 28-03-03

Ter Beke

Gemaild


03-03-03 03-03-03 18-03-03

NEEN

Tessenderlo chemie

Gemaild

05-03-03

Thomas Cook

Gemaild


05-03-03

NEEN

Ubizen

Gemaild

05-03-03 Gemaild

21-03-03

UCB

Gemaild


07-03-03

NEEN

Umicore

Gemaild

05-03-03 Ontvangen Bijkomende info

21-03-03 28-03-03

JA

François Casteels

UZ Antwerpen

Gemaild

28-03-03

UZ Gent

Gemaild

04-03-03 Gemaild Gemaild Ontvangen Bijkomende info

10-03-03 18-03-03 27-03-03 01-04-03

JA

Noel Maes

Jan Knudde

NEEN

Miriam Verbeeck

Luc Jonckheere

Marc Decroos


Persoon

Vandemoortele

Telefonisch

04-03-03 Gemaild Mail Gemaild Tegenantwoord

04-03-03 07-03-03 18-03-03 28-03-03

NEEN

Daniel Tempelaere

Bedrijf F

Telefonisch

05-03-03 Gemaild Mail Telefonisch

07-03-03 12-03-03 13-03-03

JA

Dhr X

Volvo

Gemaild

05-03-03 Gemaild

21-03-03

Bedrijf G

Gemaild

04-03-03 Mail Ontvangen Bijkomende info

05-03-03 13-03-03 20-03-03

JA

Dhr X Dhr Y

VTM

Gemaild

04-03-03 Gemaild Tegenantwoord

21-03-03 21-03-03

NEEN

Geert Van Camp

WTV

Gemaild


10-03-03

NEEN

Nele Ollieuz

Bedrijf H

Gemaild

05-03-03 Mail Ontvangen Gemaild Gesprek

05-03-03 14-03-03 14-03-03 14-03-03

JA

Dhr X

Bijlage 4

Achtergrondinformatie bedrijven

BEDRIJF A Bedrijf A is een onderneming actief binnen de telecommunicatiesector. Het profiel van deze onderneming is in de afgelopen jaren echter grondig gewijzigd. Van haar oorspronkelijke activiteit in de telefonie, is de onderneming geëvolueerd naar een volwaardig multimedia- en internetbedrijf.

Wat betreft de beveiliging van gegevens kan vastgesteld worden dat de onderneming het heel goed doet, en dit binnen elk specifiek domein van beveiliging. De opvallendste kenmerken die deze organisatie typeren zijn het bestaan van een uitstekende fysieke beveiliging, een goed uitgedokterd contingentieplan en een goede bescherming betreffende de toegang tot data. Zo loggen terminals automatisch uit na een periode van inactiviteit, en wordt de datum en tijd weergegeven telkens er ingelogd wordt. Een minpunt is dat dit bedrijf al te maken had met inside hackers. Dit kon verholpen worden, of tenminste vlugger gedetecteerd worden, door het gebruiken van een logboek dat de handelingen van gebruikers registreert.

BARCO Barco is een onderneming actief in de telecommunicatiesector en bespeelt verschillende deelgebieden. De Barco groep bestaat met andere woorden uit de volgende afdelingen: §

BarcoView:

de internationale leider in het aanbieden van kwaliteitsvolle beeldschermen en

grafische besturingseenheden. §

BarcoProjection: de wereldleider in de ontwikkeling en vervaardiging van schermen. De visuele communicatie is te zien in verschillende toepassingen, met onder andere het ‘home cinema’ systeem en de digitale camera.

§

BarcoVision: de wereldleider in optische detectiesystemen, sorteermachines en productie managementsystemen voor verschillende industrieën.

Het beveiligingsniveau van deze onderneming is globaal gezien goed, maar toch kunnen er nog grote verbeteringen aangebracht worden. Zo beschikt de onderneming slechts gedeeltelijk over een contingentieplan, dat tevens slechts sporadisch aangepast wordt. Ook is er op geen enkele manier

sprake van uitwijkmogelijkheden, wat toch wel cruciaal is, zeker voor een onderneming binnen de telecommunicatiesector. Een bijzonder positief aspect echter is dat de onderneming over een heel goede fysieke beveiliging beschikt.

KODAK Kodak is een organisatie die wereldwijd actief is op alle gebieden van ‘het beeld’: de professionele markt, de consumentenmarkt, de industriële markt, document imaging, film en televisie. Kodak is al bijna 90 jaar actief in België met de marketing van Kodak producten en eigen ontwikkelcentrales. Ze levert een belangrijke bijdrage aan het succes van de fotografie. Niet enkel op het gebied van de amateurfotografie, maar op het gehele gebied van de beeldverwerking.

Een groot probleem binnen deze organisatie heeft te maken met de plaats waar de back-up bewaard wordt, met name in de computerruimte zelf. Daarbij komt nog dat men zelf aangeeft dat het zeker geen veilige ruimte is.

Dit kan serieuze problemen met zich meebrengen indien bepaalde

incidenten zich voordoen.

BEDRIJF H Bedrijf H is een onderneming die geïntegreerde oplossingen aanbiedt aan de professionele consument in het domein van de draadloze communicatie inclusief data, stem, video, multimedia en internet.

De beveiliging binnen deze onderneming laat te wensen over.

Er zijn immers belangrijke

technieken die totaal genegeerd worden (omwille van het dure prijskaartje), zoals het gebruik van smartcards, certifiers en encryptie. Ook beschikt de onderneming slechts in theorie over een contingentieplan. Deze plannen zijn niet getest, worden niet herzien en niet gecommuniceerd naar de personeelsleden toe. Ik had de indruk dat dit bedrijf sterk haar kosten wil reduceren, en dit zelfs ten nadele van haar beveiligingsniveau. Niettegenstaande is ze toch onderzoek aan het uitvoeren in verband met het invoeren van de WebTrust zegel.

KBC KBC is een welgekende bankinstelling, die voortgekomen is uit de fusie van de Kredietbank, de Bank van Roeselare en de Cera.

Vooreerst moet opgemerkt worden dat men niet bereid was op alle vragen een antwoord te formuleren, zelfs niet indien een fictieve naam gehanteerd zou worden. Voor dergelijke instelling is het een absolute vereiste dat men over een degelijke beveiliging beschikt. Er kan dan ook praktisch geen enkele opmerking gegeven worden, behalve misschien dat het

beveiligingsplan

niet

gecommuniceerd

wordt

naar

de

personeelsleden

toe.

Dit

hoogstwaarschijnlijk omdat men het niet nodig acht dat alle mensen op de hoogte zijn hiervan. Hoe meer mensen hier immers weet van hebben, hoe vlugger informatie plotseling pootjes kan krijgen.

BEDRIJF J Bedrijf J is opnieuw een gekende bankinstelling in België.

Zoals hierboven vermeld is het een absolute vereiste dat deze onderneming een goed beveiligingsniveau hanteert.

Zo worden hier wel technieken als biometrie gebruikt,

niettegenstaande de hoge kostprijs ervan. Belangrijke vaststellingen die in het nadeel wijzen van deze onderneming zijn het feit dat computers niet uitloggen na een periode van inactiviteit, de datum en tijd wordt niet weergegeven bij het inloggen, er is geen limiet qua aantal foutieve paswoordpogingen en er gebeurt ook geen rapportering naar het management toe. Wat betreft de fysieke beveiliging heerst er een speciale regeling in geval van brand. Er wordt immers automatisch gas gespoten in de lokalen, die alle zuurstof wegneemt. Mensen hebben dan minder dan één minuut om de ruimte te verlaten.

BEDRIJF C Bedrijf C is de exclusieve informaticapartner van een welgekende distributieonderne ming. De projectenwaaier strekt zich uit van herbevoorrading tot datawarehousing, van kassasystemen tot het steeds belangrijkere e-commerce.

Algemeen beschikt het bedrijf over een redelijk goed beveiligingsniveau, wel met hier en daar wat gaten in. Zo is dit de enige onderneming die niet over een kopie van haar besturingssysteem beschikt. Wel kan men terugvallen op een uitwijkvoorziening, met name een tweede computerzaal op een andere site. Een volgende opmerking betreft het gebruik van encryptie. Mome nteel wordt dit niet toegepast, maar men heeft het nut ervan ingezien en daarom is men nu bezig met een project om dit te implementeren. Een laatste bemerking is dat de organisatie verkoopt via het internet, evenwel zonder over een WebTrust zegel te beschikken. Men acht dit totaal onnodig, dit misschien omdat het hier gaat om een algekende organisatie, waarbij vertrouwen van de consument reeds voldoende aanwezig is.

PALM De brouwerij Palm, gelegen te Steenhuffel, kijkt terug op een grote geschiedenis. Iedereen kent deze onderneming als de brouwerij van het biermerk Palm.

Algemeen kan gesteld worden dat de onderneming, volgens dat deze toch niet in de telecommunicatie of in de financiële wereld zit, een goede beveiliging hanteert. Enkele mogelijke verbeteringen situeren zich op het vlak van encryptie. Nu wordt daar immers geen gebruik van gemaakt, terwijl dit toch een vrij handige techniek is. Ook worden firewalls enkel gebruikt voor hun traditionele taak, en niet als logboek of om de toegang tot websites te ontzeggen.

PINGUIN Pinguin is een familieonderneming die actief is op de markt van de diepvriesgroenten, ideaal in tijden waar de oogst door het slechte klimaat verloren gegaan is. Pinguin oogst en bevriest de beste groenten van de beste velden in hun grondgebied.

Op deze manier worden de originele

bestanddelen (smaak, kleur, vitamines) gegarandeerd.

De onderneming beschikt over een heel slecht beveiligingsniveau. Zo beschikt men niet over een beveiligingsplan, de toegang tot pc ruimtes wordt niet zo nauw gecontroleerd, men maakt geen gebruik van encryptie en de back-up wordt niet in een veilige ruimte bewaard. Ook wordt er niet voorzien in een degelijke fysieke beveiliging.

Er is immers geen aparte elektriciteit voor de

computerruimte, er zijn geen brandvrije deuren, er worden geen metingen gedaan naar de

temperatuur en vochtigheid,… gebruiken.

Kortom, de beveiliging kan nog serieus veel verbeteringen

Niettegenstaande dit slecht beveiligingsniveau hanteert de onderneming dan wel

biometrische technieken, zoals de vingerafdruk.

BEDRIJF F Bedrijf F is een bedrijf dat instaat voor de productie van tabakswaren, meer specifiek sigaren. Het gaat om een familieonderneming die uitgegroeid is tot een bedrijf met talrijke buitenlandse vestigen.

Deze onderneming haalt een redelijk goed beveiligingsniveau, dat wel nog voor verbetering vatbaar is. Er wordt immers geen gebruik gemaakt van biometrie en men beschikt ook niet over een beveiligingsplan. De twee grootste problemen zijn echter dat er geen rookverbod heerst in de pc ruimte en dat de onderneming geen contingentieplan bij de hand heeft. Men heeft er zelfs nog nooit aan gedacht dit eventueel in te voeren. Ook worden technieken als encryptie, temperatuurmeting, smartcards,… niet toegepast.

BEDRIJF D Bedrijf D is een bedrijf actief binnen de farmaceutische industrie. Het biedt een volledige waaier aan van gezondheidsproducten en –services aan de apotheker, de tandarts en de volledige medische sector.

De IT manager eiste een fictieve naam voor zijn bedrijf, uit vrees voor opmerkingen met betrekking tot het beveiligingsniveau. Eigenlijk hoefde deze manager zich totaal geen zorgen te maken! De enige mogelijkheden tot verbetering situeren zich op het vlak van encryptie en biometrie. Deze technieken worden immers niet geïmplementeerd, maar kunnen nochtans een belangrijke bijdrage leveren. Voor het negeren van encryptie heeft men zo zijn eigen redenen. Men beweert immers dat kritieke data niet over het internet verzonden worden, waardoor men ook geen nood heeft aan deze techniek.

BEDRIJF B Bedrijf B is wereldleider op het gebied van metaaltransformatie en bedekkingtechnologieën, maar om de vooropgestelde rendabiliteit te behalen richt de organisatie zich eveneens op potentiële groeimarkten, zoals hernieuwbare energie, zuiver water of zuivere lucht en de elektronicasector.

Een goed beveiligingsniveau bereiken is een cruciaal iets in onze hedendaagse maatschappij. Deze onderneming heeft een aantal tekortkomingen met betrekking tot het gebruik van encryptie en biometrie.

Wel beschikt ze over een prachtig contingentieplan, dat tevens duidelijk

gecommuniceerd wordt naar de personeelsleden toe en dat frequent (om het kwartaal) uitgebreid getest en aangepast wordt. Algemeen genomen doet deze organisatie het goed qua beveiliging van gegevens. Natuurlijk kunnen er altijd verbeteringen aangebracht worden!

SIDMAR Sidmar is een onderneming actief in de staalsector. Haar activiteiten houden echter meer in dan het louter produceren en leveren van staal. De ontwikkeling van HRM is van groots belang voor het succes van de organisatie en de implementatie van haar top prioriteiten zoals veiligheid, kwaliteit, milieubewustzijn en kostenbewustzijn.

Wat betreft de beveiliging kan vastgesteld worden dat de organisatie inspanningen levert om alles zo goed mogelijk te beschermen. Bijvoorbeeld gaat men controleren door middel van checkcodes en hashing technieken of een bericht al dan niet gewijzigd werd. Ook maakt men veelvuldig gebruik van de digitale handtekening. Een tekortkoming is dat men geen aparte of extra elektriciteit heeft voor de computerruimte, en dat men geen WebTrust zegel heeft, alhoewel er via de dochteronderneming wel verkocht wordt via het internet.

UMICORE Umicore is een globale, toepassingsgeöriënteerde metaalgroep, die tot doel heeft de beste te zijn in elk toepassingsgebied. Ze zijn ertoe gebonden de weg te effenen tot recyclage en de ontwikkeling van milieuvriendelijke producten en productieprocessen.

De metaalgroep voorziet in een middelmatige beveiliging van haar gegevens.

De meeste

technieken worden toegepast, met uitzondering van biometrie en smartcards. Deze technieken vindt de organisatie immers te duur. Een tekortkoming is het niet beschikken over een contingentieplan. Men heeft er nog nooit één opgesteld, en men is dit voorlopig ook niet van plan. Een andere onvolmaaktheid situeert zich op het vlak van paswoorden, waar er geen limiet gezet wordt op het aantal invalide pogingen. Dit is een verkeerde redenering, aangezien op deze manier hackers de kans krijgen om constant pogingen te doen om in het netwerk in te breken.

BEDRIJF E Bedrijf E is een Belgisch uitgeverijconcern dat in een relatief korte tijdsspanne uitgegroeid is tot een toonaangevend Vlaams mediabedrijf.

Over deze onderneming vallen een aantal interessante uitspraken te doen. Ten eerste beschikt ze over een onvolledig contingentieplan. Dit betekent dat de organisatie nu volop bezig is dit plan te wijzigen en te verbeteren. Ook kan niet gesteund worden op uitwijk, maar er worden wel afspraken gemaakt qua productie. Binnen dit bedrijf heerst een duidelijk gespannen sfeer, aangezien men al te kampen had met inside hackers. Het bijhouden van logfiles heeft uiteindelijk de dader bekend gemaakt. Een laatste bemerking heeft verband met verkopen via het internet. Zo beschikt de onderneming niet over een WebTrust zegel, terwijl ze toch producten online gaat aanbieden. Het bedrijf wordt hiervoor zelfs niet doorgelicht door een hiervoor erkende auditor. Een positiever bemerking is dat de organisatie veelvuldig gebruik maakt van asymmetrische encryptie en dat ze over een uitstekende fysieke beveiliging beschikt.

BEDRIJF G Bedrijf G voert in België de taak uit van omroep, met als opdracht een zo groot mogelijk aantal mensen te bereiken aan de hand van een grote diversiteit aan programma’s.

De onderneming beschikt over een duidelijk en goed beveiligingsniveau. De contingentieplannen zijn goed getest, gecommuniceerd en worden regelmatig aangepast. Ook worden firewalls voor allerlei doeleinden gebruikt, dit wel meestal op vraag van de directie.

Enkele tekortkomingen situeren zich op het gebied van paswoorden. Men stelt immers geen eisen aan de lengte ervan, en er gebeurt geen rapportering van invalide pogingen naar de managers toe. Dit kan hackers vergemakkelijken inbraakpogingen te ondernemen, aangezien er geen controle gebeurt op dat vlak.

KORAMIC Koramic dakproducten België maakt deel uit van Koramic Building Products, een toonaangevende Europese producent van bouwmaterialen. De belangrijkste activiteit van Koramic België is de productie van dakbedekkingproducten.

Wat beteft het beveiligingsniveau kan een contradictie waargenomen worden. Enerzijds doet de onderneming het heel slecht inzake fysieke beveiliging. Een aantal voorbeelden zijn: §

Geen vuurvaste deuren

§

Geen systemen die de vochtigheid meten

§

Evacuatieplan niet gecommuniceerd

§

Geen regelmatige brandoefening

… Een andere bemerking is dat de back-up niet in een veilige ruimte bewaard wordt, en dat de recovery plannen net opgesteld zijn, wat betekent dat deze nog niet operationeel zijn. Anderzijds maakt de onderneming wel gebruik van encryptietechnieken zoals bijvoorbeeld de digitale handtekening.

UZ GENT Het universitair Ziekenhuis Gent is één van de grootste gezondheidsvoorzieningen in Vlaanderen. Het beschikt hiervoor over uitgebreide voorzieningen.

De kernopdrachten zijn patiëntenzorg,

onderwijs, wetenschappelijk onderzoek en dienstverlening.

Het gebruik van paswoorden kan wel iets nauwkeuriger gebeuren.

Men moet immers zijn

paswoord niet verplicht wijzigen, en na vijf ongeldige pogingen moet men een vijftal minuutjes wachten vooraleer men opnieuw op het systeem kan. Dit is echter geen afdoende garantie om hackers buiten te houden.

Niettegenstaande het transport van de back-up niet onder voldoende bescherming gebeurt, beschikt de onderneming wel over degelijke contingentieplannen met uitwijkvoorziening naar een tweede computerveld.

BEDRIJF I Bedrijf I is eveneens een instelling voor gezondheidsvoorziening in Vlaanderen (ziekenhuis).

Ook bij deze organisatie bestaat er een contradictie in het beveiligingsniveau. Zo beschikt de onderneming niet over een contingentieplan, moeten paswoorden niet frequent gewijzigd worden (op eigen initiatief) en gebeurt er geen rapportering van invalide pogingen. Anderzijds maakt de onderneming gebruik van encryptie en is men onderzoek aan het uitvoeren voor de implementatie van smartcards en biometrie, meer bepaald de vingerafdruk.

Bijlage 5

Checklist

§

Information Systems Checklist Audit Programme, 2001, Khurram Uqaili

§

IBM AS400 Security Procedures URL: (21/02/2003)

§

Contingency planning aud it, 1997, Ray D. URL: (21/02/2003)

§

Disaster Recovery, 1999, Johnson A. URL: (21/02/2003)

§

MUSAJI Y.F., 2001, blz. 68-69, blz. 515-518

Auditprogramma inzake de “Beveiliging van gegevensbestanden” Naam van het bedrijf: Naam van de persoon die de checklist invult:

TOEGANG TOT GEGEVENSBESTANDEN Ja / Neen

Commentaar

Toegang tot data 1. Beschikt de onderneming beveiligingsplan?

over

een

2. Wordt dit plan gecommuniceerd naar de personeelsleden toe? 3. Gebruikt men encryptietechnieken om zich te beschermen tegen ongeautoriseerde toegang? 4. Training van personeel in beveiliging, privacy en recovery procedures? 5. Zijn er procedures om bij ontslag van een werknemer onmiddellijk de toegang tot data te ontzeggen?

Toegang tot computer (ruimtes) 6. Is de toegang tot computerruimtes enkel voor geautoriseerd personeel? 7. Zijn er administratieve regels voor de toegang tot computerruimtes? 8. Deuren zijn altijd gesloten 9. Toegang tot ruimtes wordt bewaakt door biometrie (bijvoorbeeld vingerafdrukken, scan van het oog, stemherkenning, …) 10. Hebben derden toegang tot de werkruimtes van de personeelsleden? Zo ja, is dit onder begeleiding van bevoegde personen? 1

Ja / Neen

Commentaar

Paswoorden 11. Gebruikt men bepaalde procedures voor het opzetten van paswoorden? 12. Zijn er vereisten verbonden aan de lengte van het paswoord? 13. Zijn er procedures voor mensen die hun paswoord vergeten zijn? 14. Heeft elke gebruiker een eigen paswoord en identificatiecode, of gebruikt met een groeps ID? 15. Worden gewijzigd?

paswoorden

regelmatig

16. Loggen terminals automatisch uit na een bepaalde tijd? 17. Geeft het systeem, bij het inloggen, de datum en tijd weer van de vorige keer dat toegang gevraagd werd? 18. Is er een limiet qua aantal invalide paswoorden die ingevoerd mogen worden? 19. Worden foutieve paswoord gerapporteerd aan managers?

pogingen

Andere technieken 20. Maakt men gebruik van smartcards? (dit is een soort van bankkaart, waar allerlei gegevens van mensen kunnen opgeslagen worden) 21. Worden ‘certifiers’ gebruikt? (dit is een toestel vergelijkbaar met een rekenmachine, dat na de invoering van een code een random getal genereert. Dit getal moet ingevoerd worden op de pc, die tevens ook controleert of dit getal correct is. Het is een systeem dat veel gebruik wordt bij pc-banking.)

2

Ja / Neen

Commentaar

Biometrie 22. Gebeurt de verificatie van de identiteit van personen aan de hand van biometrische technieken (vingerafdruk, stemherkenning, gezichtsscan, analyse van de handtekening, iris scan, …) 23. Welke technieken worden gebruikt? 24. Gebruikt men ook technieken zonder dat de werknemers daar weet van hebben? Bijvoorbeeld gezichtsherkenning. 25. Worden de technieken regelmatig herzien en aangepast?

BEHEER VAN WIJZIGINGEN

Functiescheiding 1. Werkt de onderneming aan de hand van het principe van functiesplitsing? Dit betekent dat één persoon bijvoorbeeld niet in staat is om vanaf de bestelling van goederen tot de betaling ervan op de hoogte te zijn. Verschillende personen zijn hierbij verantwoordelijk. 2. Brengt deze techniek specifieke problemen met zich mee? 3. Heeft de netwerkbeheerder toegang tot alle computers? 4. Heeft de netwerkbeheerder kennis van alle paswoorden? 5. Bij welke activiteiten is het ‘4 ogen principe’ van cruciaal belang?

Integriteitsbewaking 6. Controleert men of een verstuurd bericht al dan niet gewijzigd werd onderweg?

3

Ja / Neen

Commentaar

7. Maakt men hiervoor gebruik van ‘checkcodes’ of ‘hashing’ technieken? Checkcodes zijn toegevoegde informatie waarmee de gecontroleerd kan worden of het bericht foutloos verstuurd is. Hashing technieken maken een comprimaat van het bericht en voegen dit toe aan het oorspronkelijk bericht. Aan de ontvangstzijde moet dan het hash-totaal geverifieerd worden.

Virussen 1. Is er een antivirus beleid? 2. Wordt dit beleid gecommuniceerd naar de personeelsleden toe? 3. Beschikt men over een lijst met goedgekeurde software en leveranciers? 4. Wordt enkel geïnstalleerd?

geautoriseerde

software

5. Worden bestanden regelmatig gecontroleerd op wijzigingen in grootte? 6. Beschikt men over antivirus software? 7. Wordt deze software regelmatig vernieuwd met nieuwe virusdefinities? 8. Worden verdachte files in quarantaine gestopt of verwijderd? 9. Worden diskettes geformatteerd vooraleer ze opnieuw gebruikt worden? 10. Zijn alle personeelsleden op de hoogte van de procedures inzake virus preventie?

BACK-UP PROCEDURES

1. Worden back-ups frequent genomen? Zo ja, hoeveel keer per week?

4

Ja / Neen

Commentaar

2. Wordt de back- up samen bij het originele bestand bewaard? 3. Waar wordt de back- up bewaard? 4. Wat wordt gebruikt als opslagmedium voor de back-up? 5. Welke back- up wordt genomen? Volledige, partiële, incrementele of differentiële? 6. Hoeveel generaties wordt de back- up bewaard? 7. Zegt de techniek ‘Electronic vaulting’ u iets? Zo ja, wat? 8. Worden de back-ups bewaard in een veilige ruimte? 9. Gebeurt het transport van de back-up onder voldoende fysieke bescherming? 10. Hoe gebeurt het transport van de back-ups naar de veilige ruimte? 11. Ligt de plaats van de back- ups buiten of binnen het bedrijf? 12. Is er in de plaats waar de back-ups bewaard worden extra stroomtoevoer in geval van een ramp? 13. Is er minstens één kopie aanwezig van het besturingssysteem? 14. Wordt gebruik gemaakt van RAID? Dit is een techniek die gebruik maakt van meerdere harde schijven, zodat bij het crashen van de ene schijf verder ge werkt kan worden met de andere. 15. Gebruikt men ‘low-end’ of ‘high-end’ controllers? Low-end controllers eisen dat men de server stil legt bij het verwijderen van een disk, dit in tegenstelling tot highend controllers.

5

Ja / Neen

Commentaar

16. Op welke level van RAID focust het bedrijf zich?

Disaster Recovery 17. Beschikt men over een contingentieplan (rampenplan)?

degelijk

18. Wie is verantwoordelijk voor het opstellen en het onderhoud van dit plan? 19. Zijn alle getest?

recovery

plannen

uitvoerig

20. Wordt het plan regelmatig herzien? 21. Zijn de recovery plannen gecommuniceerd naar de bevoegde personeelsleden? 22. Bestaat er een disaster recovery implementatie team? (mensen die direct gaan optreden in geval van nood) 23. Maakt de onderneming gebruik van ‘uitwijk’? Zo ja, welke vorm van uitwijk?

FYSIEKE BEVEILIGING

Brand 1. Gebruik van vuurvaste deuren? 2. Bestaat er een computerruimtes?

rookverbod

in

de

3. Vuurvaste kluizen? 4. Aanwezigheid van rookdetectoren? 5. Wordt het evacuatieplan goed gecommuniceerd naar de werknemers toe? 6. Regelmatige brandoefening? 7. Aanwezigheid van brandblusapparaten?

6

Ja / Neen

Commentaar

Waterschade 8. Gebouw immuun storm,…?

tegen

waterlekken,

9. Is er automatische afsluiting van de elektriciteit bij waterovervloed?

Elektriciteitstoevoer 10. Lokale elektriciteitsaanvoer 11. Aparte elektriciteit computerruimte?

voor

de

12. Alternatieve stroomtoevoer bij problemen?

Vochtigheid en temperatuur 13. Zijn er systemen die voortdurend de temperatuur opmeten? 14. Zijn er systemen die de vochtigheid meten? 15. Bestaan er alarmsystemen bij te hoge temperatuur of vochtigheid?

VEILIGE COMMUNICATIE

Firewalls & Hackers 1. Beschikt de onderneming over een firewall om het internetverkeer te regelen? 2. Welk soort van firewall wordt gebruikt? Pakketfilter, Application Gateway, Circuit gateway, proxy? 3. Gebruikt men firewalls om de personeelsleden de toegang tot bepaalde sites te ontzeggen?

7

Ja / Neen

Commentaar

4. Wordt een logboek bijgehouden met de bezochte internetsites van de werknemers? 5. Hackers zijn niet enk el mensen van buitenaf, maar vaak zijn het werknemers van het bedrijf. Heeft men hier al mee te maken gehad?

Encryptie 6. Gebruikt men encryptie om kritieke data over het internet te verzenden? 7. Gebruikt men symmetrische asymmetrische encryptie?

of

8. Wordt het begrip ‘digitale handtekening’ frequent toegepast? 9. Om e- mail berichten op een veilige manier te kunnen verzenden is de techniek ‘Pretty Good Privacy’ ontstaan. Maakt men gebruik hiervan?

Virtual Private Network 10. Wordt gebruik gemaakt van een VPN binnen de organisatie?

WebTrust 11. Is één van de activiteiten van de onderneming verkopen via het internet? 12. Beschikt de onderneming daarbij over een WebTrust zegel? 13. Hoe vaak wordt men hiervoor doorgelicht door een erkende auditor? 14. Denkt men dat door deze zegel, mensen vlugger bereid zijn aankopen te doen via het internet?

8

Beveiliging van gegevensbestanden in Belgische ondernemingen

Recommend Documents