een krant geproduceerd door mediaplanet

SECURITY SOLUTIONS Professionele beveiliging op alle vlakken

oktober 2008

Ook bedrijfsnetwerken hebben

Belgische technologie

Netwerkbeveiliging is een

Wie wordt er verantwoordelijk

een verzekering nodig

beveiligt banktransacties

gigantische karwei

voor de beveiliging?

Stroompannes, brand, overstromingen

Bankfraude is niet nieuw, zolang er

Netwerkbeveiliging gaat dus veel

Een veiliger Internet begint bij beter

– het zijn maar enkele van de rampen

banken zijn is er altijd wel een of ander

verder dan louter het netwerk zelf, want

beveiligde toepassingen en een meer

die een bedrijf tot stilstand brengen. Een

individu geweest dat aan de haal pro-

naast het netwerk moet ook aandacht

bewuste eindgebruiker. Maar alleen

business continuity/disaster recovery-

beert te gaan met andermans centjes.

geschonken worden aan de beveiliging

eindgebruikers verantwoordelijk stellen

plan is dan ook geen overbodige luxe

Alleen steekt de Belgische Digipass daar

van computers

voor beveiliging is onrealistisch

een stevig stokje voor Lees blz. 6-7

Lees blz. 6-7

Lees blz. 9

Lees blz. 10 iStockphoto

advertentie

een krant geproduceerd door mediaplanet

 | security solutions

Inleiding

Luc Golvers, Voorzitter van de Belgische Club voor Informatica Veiligheid (BELCLIV) Gerechtelijk deskundige informatica

M

eer dan een eeuw heeft het geduurd voor dat quasi iedereen met een auto rijdt. Niettemin is verkeersveiligheid nooit zo bekommerend geweest. Niettegenstaande talloze inspanningen slaagt men er moeilijk in om het aantal slachtoffers op spectaculaire wijze te doen dalen. Een betere veiligheid vergt de inzet van alle betrokken actoren: de gebruikers waarvan een veiliger gedrag wordt verwacht, de wetgever die de verkeersregels bepaalt, de overheid die voor een betere wegeninfrastructuur moet zorgen en de autoconstructeurs die de intrinsieke veiligheid van hun wagens steeds moeten opdrijven. Het gebruik van computersystemen volgt dezelfde trends. Computerbeveiliging is een veel te ernstige zaak om ze alleen aan techneuten over te laten. De zaakvoerders, tewerkgestelde, privégebruikers of ouders hoeven een verantwoord gedrag te vertonen. De wetgever heeft een belangrijke rol bij het bepalen van de spelregels (privacy wetgeving, bestrijding van computercriminaliteit, veiliger internet voor minderjarigen, enz.). Diegene die netwerkinfrastructuren, hard- en software ontwikkelen, aanbevelen en installeren hoeven aansprakelijk te worden gesteld voor de veiligheidsleemtes in de door hen geleverde systemen.

Stel dat U een alarmsysteem thuis wenst te plaatsten. Indien de vakman U niet eerst vraagt: “Wat wenst U te beveiligen?”, is het sterk aangeraden om niet verder met hem in zee te gaan. Wanneer men over veiligheid spreekt, hoeft men steeds eenvoudige basisvragen te stellen die toelaten om de risico’s in te schatten. Welke zouden de gevolgen voor de organisatie zijn indien deze applicatie onbeschikbaar werd gedurende enkele minuten, uren, dagen, weken,... ? Welke zouden de zwaarste gevolgen van een fout of wat zou het hoogste bedrag van fraude in deze applicatie zijn? Welke zouden de zwaarste gevolgen zijn van verspreiding onder derden van deze gegevens of programma’s? of van het beveiligingssysteem zelf? Enkel het management en de gebruikers kunnen een gegrond antwoord verlenen op deze fundamentele vragen, die het verder veiligheidsbeleid moeten bepalen. Onderbeveiliging is uiterst gevaarlijk. Overbeveiliging is verspilling. Niettegenstaande alle inspanningen qua preventie, kunnen incidenten zich steeds voordoen. Een efficiënt detectiesysteem is onontbeerlijk. Het is verbazend hoe vaak fraudes een lange tijd gepleegd worden vóór ze pas per toeval ontdekt worden. Een overlevingsplan om ernstige schadegevallen te kunnen overleven is een absolute prioriteit, die veel voorbereidend werk vereist. Een goede crisiscommunicatie gaat er mee gepaard. Ten slotte hoeft men bij criminele daden niet te aarzelen om klacht in te dienen bij de Computer Crime Units van de Politie die in het hele Rijk aanwezig zijn. In de sombere economische tijden die wij te gemoed gaan kan er gevreesd worden dat men prioritair zou bezuinigen in de veiligheidsinvesteringen. De gevolgen ervan zouden wel catastrofaal kunnen zijn indien men geen goede inschatting heeft gemaakt van de risico’s waaraan men zich bloot stelt.

Luc GOLVERS

De beveiliging van computernetwerkenT en van het Internet in ’t bijzonder is niet uit het nieuws weg te slaan. Bijna dagelijks lees of hoor je ergens wel iets over inbraken, virussen, Trojaanse paarden, diefstal van identiteit. Gebeurtenissen die variëren van onschuldige spielerei (zelden nog) tot feiten die een bedrijf compleet lam kunnen leggen of soms zelfs de fles op jagen. Wat gebeurt er allemaal in deze cyberwereld, hoe gaan de cybercriminelen tewerk en hoe kunnen we ons daartegen verweren ?

INHOUD Inleiding

2

Computerbeveiliging

3

Een virtuele identiteitskaart

4

Internetcriminelen

5

Ook Bedrijfnetwerken hebben een verzekering nodig 6-7 Het dilemma van communicatiebeveiliging

6-7

Digipass staat nog altijd op eenzame hoogte

6-7

Malware een halt toeroepen

8

Diefstal van identiteit duidelijk in de lift 8 Netwerkbeveiliging is een gigantisch karwei

MEDIAPLANET PRODUCEERT, FINANCIERT EN ONTWIKKELT THEMAKRANTEN IN PERS, ONLINE EN VIA BROADCASTING. www.mediaplanet.com

9

Wie wordt verantwoordelijk voor de beveiliging ?

10

Gegevensbeveiliging

11

security solutions – PUBLICATIES MEDIAPLANET PUBLISHING HOUSE Project Manager: Julien Dumont Mediaplanet +32 2 421 18 26 Graphic Design: Elise Toussaint Redactie: Frans Godden, Bruno Koninckx Pictures: www.istockphoto.com Print: Corelio Mediaplanet is de leidinggevende Europese uitgever van themakranten in pers, online en via broadcasting. Als u zelf een idee ­heeft over een ­onderwerp, of misschien wel een heel thema, aarzelt u dan niet om contact met ons op te nemen. Mediaplanet Publishing House, Country Director, Aurore Preszow, Phone: +32 2 421 18 20, www.mediaplanet.com Gedistribueerd met De Standaard op 20 oktober

security solutions | 

Computerbeveiliging : vechten tegen de bierkaai ?

Volgens het Amerikaanse departement van justitie bedroeg de omzet uit cybercrime vorig jaar 100 miljard dollar, terwijl de totale omzet van de security industrie volgens marktonderzoeker Gartner rond 8 miljard dollar lag. Een ongelijke strijd die we alleen maar kunnen verliezen ? Tekst: Frans Godden

Yves Van Seters, Marketing Manager Benelux IBM Internet Security Systems

H

et bericht stond in The Sunday Times van zondag 12 oktober: de kredietkaarten van klanten in meer dan 40 winkels over heel GrootBrittannië zijn gehackt. In de kaartlezers zou al in de fabriek in China een chip aangebracht zijn die de code en het paswoord mee uitleest en via GSM draadloos doorstuurt naar Pakistan waar gekloonde kaarten aangemaakt worden die dan door criminelen gebruikt worden voor grote uitgaven zoals vliegtuigtickets. En de gehackte kassa’s zouden ook elders in Europa al in gebruik zijn...   Beveiliging is big business geworden, getuige IBM dat vorig jaar maar liefst 1,5 miljard dollar investeerde in security-oplossingen en een dozijn bedrijven overnam die met beveiliging te maken hadden. En toch krijgen we steeds vaker de indruk dat we achter de feiten aanhollen, Ronny Bjones, security architect bij Microsoft, liet zich onlangs nog ontvallen dat honderd procent beveiliging een illusie is, vooral ook omdat je het menselijke aspect nooit helemaal kan uitschakelen. Verantwoordelijkheid opnemen “Veel mensen gaan ervan uit dat iemand anders wel voor de beveiliging zal zorgen, maar in de praktijk blijkt dat niet het geval te zijn”, zegt Marc Vael, executive director bij Protiviti, een specialist in risicobeheer. “De verantwoordelijkheid wordt doorgeschoven, maar zoiets kan alleen maar als er transparantie is, als het duidelijk is wie ultiem verantwoordelijk is – en

Marc Vael, Executive Director bij Protiviti

dat moet iemand van het directiecomité zijn. In elk bedrijf moet er ook een aanspreekpunt zijn, een security man of vrouw die de bewustwording voor security

coderen. En toen was het eigenlijk ook nog meer een “sport”, je deed het om faam te verwerven onder de programmeurs en de nerds. Nu zijn er managed exploit providers, met een eigen billing systeem - wil je een aanval inzetten op een bedrijfsnetwerk of een Website, dan huur of koop je toch gewoon de nodige tools op het Internet !”.   Maar ook aan de kant van de beveiliging doet men steeds vaker een beroep op specialisten. “Eigenlijk hebben de mensen hun beveiliging altijd uitbesteed”, zegt Bruce Schneier van BT Counterpane. “We besteden die uit aan de politie, het leger, private bewakingsfirma’s – en

  Honderd procent “ beveiliging is een illusie, vooral omdat je het menselijk aspect nooit helemaal kan uitschakelen „ creëert, maar wel los van alle departementen, liefst ook niet IT-gebonden, echt een coördinerende functie”.   Het grote probleem is volgens Vael dat veel bedrijven helemaal geen security policy hebben – er staat wel iets op papier maar wordt dat in de praktijk wel toegepast? “Er zijn bedrijven waar beveiliging niet eens in de top twintig prioriteiten staat. En als de directie zelf zich niet inlaat met beveiliging, dan zal ook iemand op een lager echelon niet geneigd zijn dat te doen. Bedrijven schieten nog altijd te vaak met losse flodders in plaats van een degelijk, coherent beschermingsbeleid”. Cybercriminelen versus outsourcing Yves Van Seters van IBM heeft er geen goed oog in, de cyberwar dreigt enorme proporties aan te nemen. “Eigenlijk kan je spreken van een parallelle economie in cyberspace. Vroeger moest je echt computerkennis hebben om malware te kunnen schrijven, je moest kunnen analyseren en

nu dus ook voor IT. Over tien jaar zal je verwonderd zijn dat er nog bedrijven zijn die hun ITbeveiliging niet outsourcen”. Ook Marc Vael ziet

alle heil in outsourcing – “maar de ultieme verantwoordelijkheid moet wel bij de interne directie blijven, het fysieke gedeelte kan je zeker outsourcen”.   “Outsourcen gaat nog wat onwennig”, geeft Yves Van Seters toe, “maar steeds meer bedrijven zetten de stap, voor een vast bedrag per maand krijgen ze zekerheid en gemoedsrust. IBM heeft tien security operation centers over heel de wereld, waarvan één in Brussel. Alles samen verwerken die twee miljard security events per dag”.

iStockphoto

De zwakke schakel Sla er literatuur op na over netwerk- en Internetbeveiliging, en je komt telkens weer tot dezelfde onthutsende vaststelling dat de mens de zwakste schakel blijft in de hele beveiligingsketen. “Dat is heel simpel”, zegt Marc Vael: “hoe groot het bedrijf ook is, de mens blijft cruciaal. Ik heb nog nooit een computer zelf iets weten uitsturen zonder d a t e e n mens

daartoe het commando heeft gegeven”. Ook Yves Van Seters ziet de meeste problemen in beveiliging nog altijd van binnenuit komen. Bij massale ontslagen

bijvoorbeeld gebeurt het niet zelden dat ontevreden werknemers nog snel een of andere malware het bedrijfsnetwerk opsturen, al dan niet met vertraging, als een tijdbom.   Dat is ook de reden waarom steeds meer bedrijven in hun security policy uitdrukkelijk aandacht schenken aan wat de werknemer zelf verkeerd kan doen: ongeoorloofde Websites bezoeken, illegale programma’s installeren, eigen apparatuur aan het bedrijfsnetwerk hangen, confidentiële documenten meenemen op papier, notebook of USBstick, enz.   We moeten ons zeker geen begoochelingen maken: de e-criminaliteit is aan een sterke opmars bezig. En industrie en overheid hebben dan de keuze: ofwel doen ze nu de nodige investeringen om die lawine te stoppen en zo misschien de bedreigingen op het Internet onder controle te houden, ofwel laten ze alles zijn gang gaan en lopen ze het risico dat het publiek compleet het vertrouwen verliest in het Internet als communicatiemiddel voor het bedrijfsleven, en dat zou dan wel eens in een economische ramp kunnen uitmonden...

 | security solutions

Een virtuele identiteitskaart

Enkele maanden geleden kondigde de Amerikaanse overheid aan dat ze een internationaal data-smokkelnetwerk op het Internet had opgerold dat verdacht werd van inbraken in computersystemen van negen grote Amerikaanse winkelketens en van het verhandelen van meer dan 40 miljoen gestolen krediet- en debetkaartnummers. Tekst: Frans Godden

Roger Halbheer, Chief Security Advisor EMEA bij Microsoft

A

mbtenaren omschreven de arrestaties als “de grootste zaak van hacking en identiteitsdiefstal die ooit in de Verenigde Staten aan het licht gekomen was”. De multinationale reikwijdte van de operatie vestigde nogmaals de aandacht op de wereldwijde impact van cybermisdaad. En tegelijkertijd herinnerde deze zaak nog nadrukkelijk aan het enorme volume aan persoonlijke gegevens dat op dit moment online circuleert, en de kwetsbaarheid voor beveiligingsinbreuken door criminelen met malafide bedoelingen.   Het is een feit dat het Internet onmisbaar geworden is in alle mogelijke facetten van ons dagelijks leven, van het beheren van onze financiën en het doen van aankopen tot het communiceren met overheidsdiensten en contact houden met onze collega’s, vrienden en familie.   PII of Persoonlijke Identificatie Informatie is het hart van al die transacties geworden, een manier voor online dienstenleveranciers om de identiteit van een consument te verifiëren. Maar voor cybercriminelen vormen deze gegevens precies de digitale sleutel waarmee ze bankrekeningen kunnen openen en plunderen, ongebreideld illegaal kunnen gaan winkelen en onrechtmatig kredietlijnen openen. Allemaal onwettige activiteiten die jaarlijks een aanzienlijke financiële tol eisen bij zowel consumenten als het bedrijfsleven.   De aanzwellende stroom van veiligheidsbedreigingen en van steeds gesofisticeerdere en listigere oplichters toont duidelijk aan dat er dringend nood is aan nieuwe, frisse inzichten die het huidige lukrake beheerssysteem

savas keskiner / iStockphoto

vervangen, waarmee de online identiteit van consumenten beschermd wordt. Consumentenvertrouwen ondermijnd Onderzoek wijst uit dat de vrees voor online fraude het consumentenvertrouwen in het Internet ondermijnt en ook de online economische activiteit beïnvloedt. Volgens recente bevindingen van Eurostat, de dienst die gegevens verzamelt

  12% van de inwon“ ers van de Europese Unie

tussen 16 en 74 jaar in 2006 hebben online winkelen vermeden omwille van beveiligingsrisico’s

 „

voor de Europese Commissie, zou 12% van de inwoners van de Europese Unie tussen 16 en 74 jaar in 2006 online winkelen vermeden hebben omwille van beveiligingsrisico’s.   “Maar wat als we er zouden in slagen het moeilijker te maken om persoonlijke informatie te stelen en het grotendeels zouden kunnen vervangen door veiligere manieren van online datatransmissie en identiteitsverificatie?”, zegt Roger Halbheer, Chief Security Advisor EMEA bij Microsoft. “Dat is wat Information Cards ons beloven, een nieuwe technologie die kan rekenen op de snelgroeiende steun van de industrie.

Information Cards kan je beschouwen als de virtuele versies van de fysieke kaarten die we in onze portefeuille hebben zitten voor identificatiedoeleinden. Op dezelfde manier dat de kaarten in iemands portefeuille bewijzen dat hij is wie hij beweert te zijn en hem recht geven op bepaalde privileges zoals toegang tot zijn bankrekening, zo ook bevestigen Information Cards de identiteit van iemand online zonder de risico’s van gemakkelijk te stelen gebruikersnamen, paswoorden of stukjes persoonlijke informatie die mogelijke deuren openen voor kandidaat identiteitsdieven”.   In plaats van manueel PII of gebruikersnamen en paswoorden te moeten ingeven maken

digitale Information Cards gebruik van sterke cryptografie die ervoor zorgt dat enkel geautoriseerde partijen toegang krijgen tot de identiteiten die erin opgeslagen zijn, en op die manier helpen ze onderschepping tijdens het doorzenden te voorkomen. Overheid op eerste plaats De overheid en de industrie hebben hier een cruciale maar tegelijkertijd complementaire rol in het uitwerken van de basis die nodig is voor de aanvaarding van de Information Cards door een kritische massa van consumenten, bedrijven en overheidsagentschappen. Overheidsinstellingen geven vandaag al geboortebewijzen, rijbewijzen en

andere identificatiedocumenten uit, en dat maakt hen een logische keuze voor de persoonlijke verificatie die aan de grondslag moet liggen van de InformationT Cards die voor de meest cruciale toepassingen gebruikt worden. Ook geaccrediteerde bedrijven en organisaties moeten dergelijke kaarten kunnen uitreiken.   Overheidsinstellingen kunnen hier het goede voorbeeld geven door de technologie zelf als eerste te gebruiken om er het nut van te bewijzen en door burgers, bedrijven en politie te informeren over de voordelen.   Het goede nieuws is dat ze vandaag al kunnen rekenen op krachtige steun uit alle mogelijke industriële sectoren. De nonprofit Information Card Foundation, die opgericht werd om de technologie te propageren, telt onder haar leden al grote namen als Microsoft, Google, PayPal, Equifax, Novell en Oracle. Een van de belangrijke kenmerken van Information Cards is immers dat ze courante Webprotocols gebruiken en compatibel zijn met een waaier van software en hardware, en op die manier een snelle grootscheepse aanvaarding kunnen in de hand werken.   “Met een gezonde dosis politieke wil en samenwerking tussen overheid en industrie ben ik ervan overtuigd dat de technologie van Information Cards in staat moet zijn een stevige dam op te werpen tegen de cybercriminelen en een grote vooruitgang te boeken tegen de gesel van online fraude. Op die manier kunnen we de toekomst van de online economie vrijwaren”, aldus Roger Halbheer.

Andrey Prokhorov / iStockphoto

security solutions | 

Internetcriminelen hebben het vooral op je identiteit gemunt

Het is alweer een tijd geleden dat computervirussen nog groot en breed in de media kwamen. Dat wekt misschien de indruk dat het tegenwoordig wel meevalt op dat vlak. Niets is minder waar: de puistkoppen die een virus schreven om er mee in de belangstelling te komen, zijn geëvolueerd tot gehaaide internetcriminelen. Tekst: Bruno Koninckx

Wouter van Vloten, Marketing Manager van Symantec Benelux

“Vroeger had je een virus dat gemaakt was met een aantal doelstellingen,” legt Wouter van Vloten, marketing manager van Symantec Benelux uit. “Dat kon zijn een besturingssysteem onderuit halen, of zich zo snel mogelijk verspreiden. Dat was heel vervelend voor de gebruiker en het was schadelijk voor je computer. Als zo’n virus de ronde deed, haalde je daar het nieuws mee. Vandaag is roem halen met het verspreiden van een virus of in het journaal geraken niet meer zo makkelijk. Daarom is advertentie

het ook niet meer zo interessant. Maar dat betekent niet dat er momenteel geen gevaren meer zijn. In tegendeel zelfs: er zijn tegenwoordig zelfs méér internetgevaren.” Waar de virusschrijvers zich vroeger zoveel mogelijk in de belangstelling probeerden te werken, zijn ze tegenwoordig net superdiscreet. Ze zijn uitgegroeid tot internetcriminelen, die hun slachtoffers liefst ongemerkt bestelen. Vroeger ging het alleen om het achterhalen van e-mail adressen om die aan spammers te kunnen doorverkopen. Nu gaat men veel verder, en probeert men identiteitsgegevens, paswoorden, kredietkaartgegevens en dergelijke in te zamelen. Deze gegevens gebruikt men dan zelf om bijvoorbeeld in systemen in te kunnen breken of om aankopen te kunnen doen onder een andere naam. Vaak gaat men ook driester te werk, en probeert men via valse e-mails en websites om mensen naar valse websites te lokken waar ze dan de bankgegevens proberen te achterhalen. Deze

techniek noemt men ‘phishing’. 25 euro voor 50 kredietkaartnummers “Op ondergrondse marktplaatsen wordt die technologie in kanten-klare kits verkocht,” geeft Wouter van Vloten mee. “Eind vorig jaar kon je zo bijvoorbeeld bundels van kredietkaartnummers kopen: 50 nummers voor 25 euro, 500 nummers voor 125 euro. Men test die uit door tijdens de campagne voor de presidentsverkiezingen in de VS bijvoorbeeld 1 dollarcent te doneren. Als dit werkt, weet men dat de gegevens van de kredietkaart nog kloppen. De technologie is nu heel hard op je persoonlijke gegevens gericht. Voor de gewone mens is dat niet goed te begrijpen. Vroeger zag je nog door een virus dat er iets mis was met je computer, of waren de nagemaakte websites slecht gemaakt. Nu is dit laatste ook heel professioneel.” Zo kan men tegenwoordig bijvoorbeeld in een foto die je doorgestuurd krijgt van iemand die je kent, een script zetten. Ook op populaire sites als Facebook gebeurt

het dat men er stukjes software opzet die automatisch gedownload en geïnstalleerd worden. Zo wordt ongemerkt een zogenaamd bot op je computer geïnstalleerd. Met zo’n bot kan men van op afstand je computer bepaalde taken laten uitvoeren. Ook deze rekenkracht wordt dan weer doorverkocht voor criminele doeleinden.   Gelukkig kan je je wel wapenen tegen dit soort bedreiging, zegt Wouter van Vloten: “je moet geen angst hebben voor het internet, maar je moet wel aan drie

zaken denken. Ten eerste moet je altijd goed nadenken over wat je doet, naar welke sites je gaat en dergelijke. Als je iets wilt kopen, probeer dan te achterhalen wat voor winkel het is: heeft men een helpdesk, telefoonnummer, enzovoort. Ten tweede moet je er voor zorgen dat je besturingssysteem en browser echt up to date zijn. Zo kan men bijvoorbeeld geen bot op je computer installeren. Ten derde moet je een compleet beveiligingspakket hebben dat je beschermt tegen virussen, inbraken en identiteitsdiefstal.”

Jonny McCullagh / iStockphoto

 | security solutions

Ook bedrijfsnetwerken hebben een Het zal je maar overkomen: je online winkel draait op volle toeren, de verkoop gaat prima, en net op dat moment valt de stroom uit. En dus valt ook je business stil. Tenzij je dergelijke rampen voorzien hebt en over een business continuity/disaster recovery plan beschikt, want dan kan je snel weer aan de slag zijn. Tekst: Frans Godden

Mark Goossens, Business Continuity & Resilience Services Consultant bij IBM

S

troompannes, brand, overstromingen... Het zijn maar enkele van de rampen die een bedrijf tot stilstand brengen. Steeds meer bedrijven beschikken dan ook over een DR-plan, “maar de manier waarop het opgezet wordt, is niet altijd even coherent”, zegt Mark Goossens, Business Continuity & Resilience Services Consultant bij IBM. “Ze weten dat ze back-ups moeten maken om hun gegevens vei-

lig te stellen, ze weten dat hun communicatielijnen kunnen uitvallen, en daar doen ze dan iets aan, maar al te vaak blijft het daar bij. Voor de meesten is het ook geen prioriteit. Je kan het vergelijken met een verzekering: als er niet echt een nood is, dan is er de neiging om die verzekering wat uit te stellen en het geld elders te besteden. Zo ook met DR en BC, veel bedrijven denken: bij mij zal het wel niet gebeuren,

dus nog even uitstellen”. Grondige planning Zo’n business continuity of disaster recovery oplossing vergt flink wat voorbereidend werk. Goossens: “Wij gaan eerst analyseren wat er precies nodig is, doen business impact analyses, kijken naar de businessprocessen, welke resources ze nodig hebben en hoe snel een bedrijf terug up and running moet zijn vooraleer de panne een nefaste

invloed heeft op de werking van het bedrijf. We gaan ook na hoeveel gegevens maximaal verloren mogen gaan. Na het vaststellen van de business requirements en de risico’s brengen we die informatie samen met de IT- en de business strategie om een BCstrategie op te bouwen met de daarbij horende oplossing”.   Over ’t algemeen verschilt die oplossing niet zoveel van leverancier tot leverancier, in het geval van IBM staan er constant een aantal systemen klaar waarover de klanten in geval van panne binnen de 4 uur kunnen beschikken. Bij de leverancier

Het dilemma van communicatiebeve Niet eenvoudig voor een telecomoperator: enerzijds moet je maximaal je telefoonnetwerk beschermen tegen alle soorten van bedreigingen, maar anderzijds wil de wetgever dat alle verkeer over dat netwerk te onderscheppen moet zijn voor de gerechtelijke diensten. Tekst: Frans Godden

Carlos Lowie, Hoofd van het departement Group Investigations bij Belgacom

V

roeger had je enkel de klassieke telefooncentrale, de PABX, met gewone analoge telefoonlijnen (PSTN), en die zijn vrij gemakkelijk te onderscheppen. Er zijn zelfs gevallen bekend van afluisterpraktijken via de verdeelkasten langs de straat. De volgende generatie, ISDN, was digitaal en dit kan enkel met zeer dure apparatuur geïntercepteerd worden, “maar die kans is klein”, zegt Carlos Lowie, hoofd van het departe-

ment Group Investigations bij Belgacom. “Mobiele telefonie nu zit barstensvol algoritmes, alles is volledig geëncrypteerd, al zijn er al wel enkele algoritmes gekraakt. Ook een fax is geëncrypteerd, en diensten zoals Skype. Dat maakt het moeilijk om ze op illegale wijze te intercepteren. Ik zeg wel “illegaal” want de wetgever zegt dat elk product dat een telecomoperator op de markt brengt, intercepteerbaar moet zijn wanneer de vraag komt van

onderzoeksrechters. Alles moet dus voorzien zijn van een “legal intercept gateway”, verplicht!”. Ook soft switches beveiligen “Inbraken op het telefonienetwerk zijn nochtans niet ongewoon”, zegt Carlos Lowie. In de periode 2001-2002 was er een golf van PABX-kraken over heel Europa die opgestart was in Antwerpen. De lokale recherche van Antwerpen heeft uiteindelijk ook de hackers gearresteerd. “Maar de traditie wordt verder-

gezet. Waar vroeger een PABX gekraakt werd, zijn het nu de soft switches, via kwetsbaar-

Digipass staat nog altijd op eenzam Phishing, spoofing, pharming - de termen duiken constant op in artikels over bankfraude. Teveel mensen (en ook sommige banken) springen te los om met de beveiliging van hun transacties. Tenzij ze natuurlijk technologie gebruiken zoals de Digipass, want dan maken malafide figuren geen schijn van kans. Tekst: Frans Godden

Giovanni Verhaeghe, Director of Projects and Product Strategy bij Vasco

B

ankfraude is natuurlijk niet nieuw, zolang er banken zijn is er altijd wel een of ander individu geweest dat aan de haal probeert te gaan met andermans centjes. De opkomst en doorbraak van het Internet en daarmee ook van het elektronisch bankieren hebben wel een waaier van nieuwe kansen gecreëerd voor dergelijke praktijken. We zien ook dat de aanvallen tegen toepassingen voor Internetbankieren alsmaar gesofisticeerder worden, met phishing momenteel als een

van de meest populaire vormen. Bij phishing ontvreemden criminelen gevoelige informatie zoals gebruikersnamen, paswoorden en details van bank- of kredietkaarten, door zich voor te doen als een betrouwbare Website (vooral sites als eBay, PayPal, Facebook, Myspace). Om dergelijke problemen te vermijden moeten banken dan ook de toegangsmechanismen tot hun banktoepassingen versterken.   Een aantal banken maakt nog steeds gebruik van een statisch

paswoord - “maar gelukkiglijk verdwijnt dat gebruik stilaan, de grote meerderheid van de banken in België doet een beroep op de Digipass”, zegt Giovanni Verhaeghe, Director of Projects and Product Strategy bij Vasco. “We hebben vandaag meer dan 50 verschillende Digipassen die allemaal in samenspraak met de klant aangemaakt worden, in totaal zo’n 1.150 banken over heel de wereld. Er zijn ook verschillende gradaties van beveiliging bovenop hetzelfde basisalgoritme, AES of Triple

DES. In België wordt de reader in combinatie met een smartcard gebruikt, de Digipass berekent dan de digitale handtekening”.   De eerste Digipass, die in ons land zo’n 15 jaar geleden werd ingevoerd, was bedoeld om de toegang tot home banking te beveiligen. “Maar alhoewel onze strategie gericht is op de financiële wereld, zijn er intussen ook nog andere markten waar de technologie kan toegepast worden”, legt Verhaeghe uit. “Het gebruik van de Digipass is dan ook niet meer

security solutions | 

n verzekering nodig zelf of eventueel ook ter plaatse bij de klant, op voorwaarde dat hij nog stroom heeft, natuurlijk. “Klanten kunnen desgewenst ook hun data continu repliceren naar ons datacenter zodat ze onmiddellijk beschikbaar zijn in geval van ramp”, zegt Goossens. “Overigens zorgen wij niet alleen voor nieuwe computersystemen, we kunnen ook de mensen zelf opvangen. We hebben een volledige verdieping met bureaus die klaar staan voor het personeel. De telefoonnummers worden dan gewoon overgezet zodat de mensen verder kunnen werken alsof ze nog in hun bedrijf zaten”.

Waardeloos zonder test Een niet te verwaarlozen onderdeel van een goed DR-plan is de documentatie en het testen en onderhouden van de plannen. “Een plan dat niet getest is, is volledig waardeloos”, stelt Goossens, “en dat is de reden waarom bedrijven die een contract hebben met ons op zeer regelmatige tijdstippen hun DR-plan moeten testen. Er hoort ook nog een crisismanagementplan bij voor het beheren van de onderneming in geval van ramp, welke communicatie er voorzien is, enzovoort”.   Mark Goossens geeft toe dat de bewustwording wel groter is in

de VS met de stormen, orkanen en aardbevingen die daar schering en inslag zijn. Bij ons moet men ook wel rekening houden met sociale acties, zoals stakingen, waardoor bedrijven soms niet bereikbaar zijn. “Maar het evolueert wel in de goeie zin omdat er steeds meer druk komt vanuit audits en vanuit regelgeving zoals Basel II en SOX. Het is wel opvallend dat steeds meer klanten voor business continuity gaan, de bestendige beschikbaarheid van hun computerinfrastructuur, in plaats van louter disaster recovery in geval van ramp”.

eiliging

iStockphoto

heden in het besturingssysteem of via openstaande poorten. En dus moeten die ook extra be-

veiligd worden want we stellen vast dat ook hier al fraude wordt gepleegd: vanuit West-Europa worden altijd dezelfde bestemmingen gebeld: Cuba, Mexico, Haïti en Jamaica”. Belangrijk bij dat alles is dat je zorgt voor een logfile van IP-adressen zodat je weet wie geprobeerd heeft in te breken, anders loopt het onderzoek achteraf spaak.   Dan is er nog Voice over IP, telefoneren over het Internet-protocol, zeg maar. Volgens Stefan Avgoustakis van Cisco stelt dat wel nieuwe uitdagingen maar is de beveiliging die vandaag op een VoIP-netwerk haalbaar is, minstens even goed als die van een klassiek telefoonnetwerk.

“Klopt”, bevestigt Carlos Lowie, “uiteindelijk is VoIP het louter transporteren van gesprekken over het IP-protocol, en dus gaan we ook dat spraakkanaal beveiligen met technologieën als IPsec”. Belgacom heeft bovenop zijn telefonienetwerk een fraude beheerssysteem (fraud management system) draaien, waarmee het hele netwerk gemonitord wordt om eventuele problemen voortijdig te kunnen onderscheppen en de klant al op voorhand te waarschuwen. “Je moet het zien als een paraplu die alles wat op het netwerk afkomt, tegenhoudt”, aldus Carlos Lowie.

me hoogte

beperkt tot louter de bankwereld, ook in de virtuele wereld met een virtuele economie zoals SecondLife worden dezelfde technologieën aangewend om profielen van mensen te gaan beveiligen. In de virtuele wereld wordt er immers veel geld van het ene profiel naar het andere overgepompt, en dat maakt het interessant voor mensen met minder goeie bedoelingen”.   Gebruiksvriendelijkheid is zeer belangrijk in de beveiliging van transacties, zegt Verhaeghe nog, je kan een superbeveiligde toegang hebben met telkens 25 cijfers die je moet ingeven, maar dat gaat een gebruiker nooit aanvaarden, zelfs als je claimt de veiligste van allemaal te zijn.

Günay Mutlu / iStockphoto

 | security solutions

Malware een halt toeroepen Tekst: Frans Godden

Eddy Willems, IT Security Evangelist bij Kaspersky Labs

M

alware is eigenlijk de verzaMalware is eigenlijk de verzamelnaam voor al wat gevaarlijk is voor je PC. Vroeger had het vooral be-

trekking op virussen, maar die vertegenwoordigen nu nog amper 5 tot 7% van alle problemen. Nu spelen eerder Trojaanse paarden, adware en spyware de hoofdrol. “Malware groeit nog steeds exponentieel”, zegt Eddy Willems, IT Security Evangelist bij Kaspersky Labs. “Begin vorig jaar werden 500.000 gevallen geregistreerd, maar tegen het einde van het jaar waren dat er al 2 miljoen. En onze prognoses voor dit jaar voor het tienvoudige lijken te gaan uitkomen want we zaten vorige week al aan 17,5 miljoen stuks. Daarbij gebruikt malware steeds vaker technieken om onzichtbaar te worden, om onder de radar te blijven, zoals rootkit technologie.

Alleen het doel van malware blijft ongewijzigd: geldgewin!”.   Het is dan ook duidelijk dat hier nieuwe technieken nodig zijn, de klassieke firewalls en anti-virusdefinities volstaan niet meer. Willems: “Naast intrusion protection, waarbij we malware gaan blokkeren en hacking proberen te voorkomen, maken we nu ook gebruik van een nieuwe technologie, white listing. Daarbij wordt je hele PC één keer afgescand en als het ware een portret gemaakt van alle programma’s die op je PC staan. De minste wijziging die zich dan voordoet aan die programma’s, wordt onmiddellijk gesignaleerd en de verdediging kan in actie komen”.

T

Felix Möckel / iStockphoto

Diefstal van identiteit duidelijk in de lift

Precieze cijfers zijn er niet maar alle specialisten zijn het erover eens dat de diefstal van identiteit een bijzonder snelgroeiende plaag is geworden. Niet alleen neemt het aantal mogelijkheden om zich uit te geven voor iemand anders toe, maar ook de manier waarop identiteitsdiefstal kan gebeuren wordt steeds gevarieerder. Tekst: Frans Godden

Bruce Schneier, Chief Technical Officer van BT Counterpane

B

ruce Schneier, Chief Technical Officer van BT Counterpane, de divisie van British Telecom die zich toelegt op beheerde securitydiensten, windt er geen doekjes om: de diefstal van identiteit is de nieuwste misdaad van het Internettijdperk. Een crimineel verzamelt daarbij voldoende persoonlijke gegevens over het slachtoffer om zich te laten doorgaan als de ander bij banken, kredietkaartfirma’s of andere financiële instellingen. Hij

plundert dan de rekeningen van het slachtoffer en verdwijnt met de cash.   Dergelijke praktijken komen natuurlijk meer voor in landen waar geen identiteitskaarten be-

“ 

De diefstal van identiteit is de nieuwste misdaad van het Internettijdperk

 „

staan zoals Groot-Brittannië of de Verenigde Staten – daar zijn zelfs gevallen bekend van criminelen die zich voordeden als iemand anders en op het postkantoor het adres van het slachtoffer lieten veranderen. Maar met de opkomst van het Internet zijn ook andere landen niet langer immuun. Volgens Bert Van Beeck, Identity Specialist bij Sun Microsystems, moet je wel een onderscheid maken tussen een hack, waarbij met criminele bedoelingen ingebroken wordt in computersystemen om kredietkaart- of andere identiteitsgegevens te stelen, en phishingaanvallen, waarbij mensen misleid worden om persoonlijke

gegevens op het Internet in te vullen en door te sturen, ogenschijnlijk naar een betrouwbare bestemmeling maar in feite naar een site die door criminelen opgezet werd.   Phishing kan je vermijden door nooit in te gaan op oproepen via e-mail om vertrouwelijke gegevens door te sturen, al dan niet via een Website die er vertrouwd uitziet. Je zal overigens op de Website van elke

bank kunnen lezen dat zij nooit mails sturen waarin je bankgegevens gevraagd worden. “Maar er is nog een an-

der aspect dat met identiteit te maken heeft, namelijk identity management”, zegt Van Beeck. “Stel, je wordt gepromoveerd in het bedrijf waar je werkt, krijgt nieuwe rechten in je nieuwe afdeling maar men vergeet je oude rechten in je vroegere afdeling te schrappen. Het resultaat is dat je dan misschien rechten hebt die

niet met elkaar verenigbaar zijn, en dan krijg je conflicten rond de segregation of duties, een van de basisconcepten van interne controles. Iets wat te allen prijze moet vermeden worden want dan wordt de poort wagenwijd opengezet om bepaalde transacties te laten plaatsvinden, zonder dat er nog controle over is. Daarom heb je producten als identity managers nodig om manuele controles te kunnen uitvoeren”.

security solutions | 

Netwerkbeveiliging is een gigantisch karwei

Bedrijfsnetwerken beveiligen is geen eenvoudige klus, alleen al omwille van de vele manieren waarop zo’n netwerk belaagd wordt. Steeds meer bedrijven gaan dan ook over tot het uitbesteden van dergelijke beveiliging naar specialisten. Tekst: Frans Godden

gaan of gestolen worden? En dat is niet zomaar met één product op te lossen, daartoe moet je vertrekken van een security policy die een bedrijf gedefinieerd moet hebben. Een voorbeeld: documenten die als confidentieel gemerkt zijn, mogen niet zomaar via e-mail of een USB-stick verspreid worden”.   “Nieuwe fenomenen als grid en cloud computing maken de beveiliging van netwerken er niet gemakkelijker op. Waar bedrijven vroeger hun infrastructuur zelf beheerden of gedeeltelijk uitbesteedden in een extern datacenter, maakt het nu met grid en cloud

netwerk. Alleen moet de gebruiker ervan overtuigd worden die beveiliging ook toe te passen”.   “Avgoustakis ziet ook de vraag naar beveiliging van Webtoepassingen snel toenemen, bedrijven willen steeds vaker kunnen controleren of het verkeer van

maal niet inlaten met het beheer van hun netwerk”, zegt Bruce Schneier van BT Counterpane. “Hun netwerk en het Internet moet voor hen werken zoals het telefoonnet, het stroomnet of de waterleiding. Het werkt zonder dat ze er moeten naar omkij-

  Netwerkbeveiliging is inderdaad werk voor speciali“ sten geworden en niet elk bedrijf heeft het aan boord „ en naar een Website wel goedgekeurd is. Ook instant messaging wordt kritisch bekeken: vroeger meer een communicatiemiddel

ken”. Uiteraard heeft veel ook te maken met de beschikbaarheid van de nodige competenties, netwerkbeveiliging is inderdaad

Stefan Avgoustakis, Channel Systems Engineer Security bij Cisco

N

etwerkspecialist Cisco liet onlangs een wereldwijde studie uitvoeren naar de risico’s die bedrijfsnetwerken lopen, en de resultaten waren op zijn zachtst gezegd onthutsend. Zo bleek toegang via het bedrijfsnetwerk tot ongeoorloofde toepassingen en Websites zoals het downloaden van muziek en online shopping in bijna driekwart van de gevallen aanleiding te geven tot de helft van alle gevallen van gegevensverlies. Een op de vijf werknemers verandert daartoe zelfs de beveiligingsinstellingen van zijn computer. En minstens een op drie werknemers laat zijn computer ingeschakeld en onbeveiligd achter wanneer hij zijn bureau verlaat. Vaak blijft de computer zelfs ’s nachts in die toestand en staat de deur dus wagenwijd open voor diefstal van persoonlijke en bedrijfsgegevens. En geloof het of niet maar een op de vijf werknemers bewaart zijn paswoorden nog altijd op een papiertje in de buurt van zijn computer. Soms zelfs op het bekende gele klevertje aan de zijkant van het scherm... Eerder systeembeveiliging “Netwerkbeveiliging gaat dus veel verder dan louter het netwerk zelf”, zegt Stefan Avgoustakis, Channel Systems Engineer Security bij Cisco. “Wij spreken daarom eerder van systeembeveiliging, wat naast het netwerk ook de beveiliging van computers, informatie zoals e-mail en toepassingen omvat. Want de kernvraag blijft: hoe kan een bedrijf vermijden dat cruciale gegevens verloren

Stephen Pell / iStockphoto

computing voor een bedrijf maar weinig meer uit waar alle diensten zich bevinden, maar men verwacht nog wel hetzelfde niveau van beveiliging. Dan wordt het beheer en het monitoren belangrijker omdat het fysieke contact met de oplossing er niet meer is”. Draadloos en fysiek En dan zijn er nog de draadloze netwerken. “Een wireless omgeving is kwetsbaarder omdat het eenvoudiger is voor iemand met slechte bedoelingen om op dat netwerk te geraken, hij heeft voldoende aan een draadloos apparaat om het netwerk aan te vallen”, zegt Avgoustakis. “Maar er is vandaag voldoende technologie beschikbaar om alles op een veilige manier te doen, zeker even veilig als op een klassiek bedraad

in een privé-omgeving maar nu ook steeds meer gebruikt in een bedrijfscontext, met alle gevaren vandien”.   Vaak gaat softwarebeveiliging op het netwerk nog gepaard met fysieke beveiliging via camera’s en deuren. Een werknemer komt aan op zijn werk, wordt met zijn badge toegelaten via een bepaalde deur, zijn aanwezigheid wordt geregistreerd, die informatie wordt opgeslagen en dan gebruikt om hem toegang te geven tot bepaalde applicaties. Steeds meer outsourcing Een en ander maakt dat bedrijven steeds vaker een beroep doen op externe specialisten om al die beveiligingsaspecten in goede banen te leiden. “Almaar meer bedrijven willen zich hele-

werk voor specialisten geworden en niet elk bedrijf heeft die aan boord. “En dat geldt zowel voor grote als kleinere bedrijven”, beklemtoont Avgoustakis. “De aandachtspunten zijn wel verschillend omdat de impact van een beveiligingsprobleem voor een groot bedrijf veel zwaarder zal doorwegen dan voor een KMO. Maar de uitdagingen waarmee beiden geconfronteerd worden zijn identiek, en wij leveren dan ook net dezelfde diensten, alleen de performantie zal verschillend zijn”.   Hij is verheugd vast te stellen dat de bewustwording voor netwerkbeveiliging groeit. ”Niet zelden is die ingegeven door wetgevende regelgeving, niet alleen op Belgisch of Europees vlak maar ook door strikte richtlijnen binnen een bepaalde sector zelf. Neem bijvoorbeeld de financiële sector: hier bepaalt de PCI-standaard (Payment Card Industry) hoe bedrijven die zich inlaten met geldkaarttransacties hun beveiliging moeten instellen. Elke sector heeft zo zijn eigen regelgeving”. De Cisco-studie besluit met een cruciale aanbeveling om het verlies van gegevens te voorkomen: creëer vooral een bewustwording bij de werknemers dat verlies van data gelijk staat aan verlies van geld en dat het de opdracht van iedereen is om die gegevens te beschermen, en niet enkel van het IT-departement of de security-verantwoordelijke.

Pali Rao / iStockphoto

10 | security solutions

Wie wordt er verantwoordelijk voor de beveiliging ? Over één ding zijn alle securityspecialisten het eens : een veiliger Internet begint bij beter beveiligde toepassingen en een meer bewuste eindgebruiker. Maar alleen eindgebruikers verantwoordelijk stellen voor beveiliging is ontoereikend en ook onrealistisch, want ook de softwareleveranciers zelf dragen een grote verantwoordelijkheid. En die zou in de toekomst nog groter kunnen worden... Tekst: Frans Godden

V

an oudsher heeft de ITindustrie van beveiliging geen prioriteit gemaakt. Dat verandert wel geleidelijk aan, maar een meer radicale wijziging dringt zich op als de industrie gelijke tred wil houden met de vindingrijkheid van de criminelen en wil vermijden dat mensen massaal hun vertrouwen in het Internet verliezen. De grote bedrijven en dan vooral de softwareleveranciers, moeten van de ontwikkeling van veiliger technologieën een topprioriteit maken. Leverancier aansprakelijk Vandaag dumpen die softwareleveranciers nog al te gemakkelijk de risico’s bij de consument via licentie-akkoorden, om op die manier te vermijden dat ze zelf voor de kosten van slechte beveiliging in hun programma’s zouden moeten opdraaien. Dat moet veranderen, zeggen al de kenners in koor. In een rapport dat vorig jaar door het Britse House of Lords gepubliceerd

  De grote bedrijven “ en vooral de softwarele-

veranciers moeten van de ontwikkeling van veiliger technologieën een topprioriteit maken

 „

werd rond Personal Internet Security staat dan ook de aanbeveling dat op Europees niveau het principe van de aansprakelijkheid van de leverancier, zowel voor hard- als voor software, ook in de IT-industrie zou moeten aanvaard worden.   “Dat is de enige manier om softwarehuizen te verplichten veilige software te schrijven”, zegt ook Bruce Schneier van BT Counterpane. “En dat is ook niet meer dan normaal, ken jij een ander consumentenproduct voor de grote massa waar de leverancier niet verantwoordelijk is voor de kwaliteit van zijn product?”. Toch mag je hier volgens Yves Van Seters van IBM ook niet overdrijven. “Menselijk gezien is het onmogelijk een honderd procent waterdicht computerprogramma te schrijven. En dus

Geen hoop op beterschap T Digitale handtekeningen en digitale certificaten zijn twee andere technologieën die in de bedrijfswereld een groeiende populariteit kennen. Digitaleb handtekeningen mogen niet opv een PC aangemaakt worden om-o wille van de mogelijke aanwe-s zigheid van malware maar welD op zogenaamde tokens waarvans bekend is dat er geen malwarev op zit (zoals de Digipass). Di-n gitale certificaten worden doorg betrouwbare instituten (in Belgiëg ondermeer door Certipost) afge-H leverd. Beiden, handtekeningenv en certificaten, zorgen ze ervoort dat twee partijen bij een trans-s actie honderd procent zeker zijno van elkaars identiteit. h   Om ’t even met wie je praat,v telkens krijg je hetzelfde ant-t woord als je naar de toekomstz van Internetbeveiliging vraagt:a maak je geen illusies, het zalU alleen nog maar erger worden.d Bruce Schneier bijvoorbeeldb ziet twee belangrijke tendensen:b complexiteit en misdaad. “Hoez complexer de systemen worden,d hoe minder ze goed beveiligdg zullen zijn en hoe meer ze eent doelwit voor misdadigers zullen3 worden”. o i l o g r t r b t d t b w r U

H

Emrah Turudu / iStockphoto

heeft de industrie een systeem in het leven geroepen waarbij ze een beroep doet op de eindgebruikers om de fouten eruit te halen – met alle risico’s vandien, uiteraard!”. Natuurlijk mag je ook niet in het andere uiterste vervallen en de eindgebruiker helemaal buiten schot laten, uiteindelijk heeft hij wel de plicht ervoor te zorgen dat zijn computer niet besmet geraakt met virussen, spyware, enz. Als hij niet regelmatig zijn beveiligingsprogramma’s bijwerkt zoals hij als een goede huisvader verondersteld wordt te doen, dan gaat hij zeker niet vrijuit als hij problemen krijgt.   Mensen moeten ook meer aandacht hebben voor de beveiliging van hun informatie, zegt Marc Vael van Protiviti. “Waarom stijgt bijvoorbeeld de diefstal van identiteit zo sterk? Omdat mensen zo gemakkelijk bereid zijn informatie door te spelen. Ga bij wijze van spreken op de Meir staan in Antwerpen en ze geven je alle info die je wenst in ruil voor een zelfklever van de Smurfen! Of maak gewoon de vuilbakken eens leeg op een bedrijf – je zal versteld staan hoeveel bedrijfsinformatie daar achteloos in gedeponeerd wordt. Idem voor sociale netwerken

– hoe vaak wordt daar geen bedrijfsinformatie uitgewisseld. Zonder security policy loop je daar als bedrijf grote risico’s”. Bio-security ter hulp? Moet de gewone klassieke beveiliging met firewalls, antivirusprogramma’s en intrusion detectors dan gecombineerd worden met bijvoorbeeld bio-security voor een hogere betrouwbaarheid? Dat kan, maar er zijn twee voorwaarden aan verbonden: het mag de kostprijs van de

“ 

Waarom stijgt de diefstal van identiteit zo sterk? Omdat mensen zo gemakkelijk bereid zijn informatie door te spelen

 „

beveiliging niet aanzienlijk verhogen, en het moet supereenvoudig blijven want anders wil niemand eraan beginnen. Fingerprint readers komen steeds vaker voor op notebooks, maar irisscanners bijvoorbeeld hebben we nog maar zelden gezien. Wél zien we dat steeds meer bedrijven eisen dat de laptops van hun werknemers geëncrypteerd worden, om te beletten dat gevoelige informatie zou kunnen gelezen worden mocht het toe-

stel verloren of gestolen worden. Idem voor PDA’s en vooral de combinaties met smartphones, want die zijn nog meer in trek en nog gemakkelijker te stelen. Bedrijven geven hun werknemers die op reis moeten, ook steeds vaker “blanco” laptops mee waarop enkel het besturingssysteem geïnstalleerd is. Eenmaal ter plaatse op hun bestemming, loggen ze over een veilige verbinding aan op het bedrijfsnetwerk en downloaden alle informatie die ze voor hun opdracht nodig h e b ben. En daarna wordt alles weer netjes terug gewist.

security solutions | 11

Gegevensbeveiliging: meer dan een technische aangelegenheid

De gegevens die op een bedrijfsnetwerk, maar ook op individuele computers en andere opslagmedia staan, zijn vaak echt bedrijfskritisch. Het is dan ook belangrijk om ze afdoend te beveiligen. Voor een groot deel is dit een technisch verhaal, maar ook de menselijke factor is van tel. Tekst: Bruno Koninckx

H

et kan niet genoeg herhaald worden dat er steeds minstens één back-up moet gemaakt worden van gegevens en documenten die op een computer, harde schijf, smartphone en dergelijke staan. Dit is vooral belangrijk om bij schade of diefstal niet alle gegevens kwijt te raken. Maar er zijn nog andere gevaren die uw gegevens bedreigen. Gewoonweg gegevens verliezen bijvoorbeeld. Het is bijna onvoorstelbaar hoeveel gebruikers hun gsm, laptop, MP3-speler of USBstick jaarlijks in café’s of restaurants, op het openbaar vervoer, in taxi’s, enzovoort achterlaten. Uit een studie door beveiligingsbedrijf Pointsec bleek bijvoorbeeld dat er op zes maanden tijd, in Londen alleen al, bijna 55000 gsm’s werden achtergelaten in taxi’s, maar ook 4718 PDA’s, 3179 laptops en 923 USB-sticks of andere geheugenkaarten. Ook in ons land vindt men op de luchthaven van Zaventem, maar ook in treinen en dergelijke, een grote hoeveelheid toestellen terug. Het overgrote deel van deze toestellen wordt uiteindelijk terugbezorgd aan de eigenaar. Er blijft echter altijd een deel dat toch niet meer terecht komt, en daarnaast weet men ook niet altijd wat er in de tussentijd gebeurd is met de toestellen die wel weer naar de eigenaar terugkeren. Uiteraard is het verloren gaan

miljoen gewone e-mails, of het equivalent van honderd dozen papieren archieven. Ook smartphones hebben meer en meer een groot geheugen aan boord, al dan niet in de vorm van een geheugenkaart. Stelen van gegevens In de studie “The Inside Threat, A data loss disaster” laat beveiligingsbedrijf McAfee zien wat er zoal schort aan de beveiliging van mobiele gegevens. Zo blijkt dat werknemers meer en meer mo-

  Mensen moeten “ leren om goede paswoorden aan te maken en daar ook heel zorgvuldig mee om te springen „ len achterlaten op plaatsen waar ze dat beter niet zouden doen”, zegt Jeremy Green, Enterprise Mobility Analyst bij onderzoeksgroep Ovum. Dankzij de bijna alomtegenwoordige toegang tot het b e -

biele toestellen zoals memorysticks en mobiele telefoons gebruiken om confidentiële informatie te ontvreemden aan hun bedrijf. Gemiddeld worden er bij Europese bedrijven per week elf gevoelige documenten meegenomen op draagbare toestellen.

  Het echte risico komt van vergeetachtige gebruikers “ die kleine draagbare toestellen achterlaten op plaatsen waar ze dat beter niet zouden doen „ van informatie geen compleet nieuw gegeven van het digitale tijdperk. Vroeger verloren ook heel veel mensen papieren documenten met vertrouwelijke gegevens. Maar sinds de alomtegenwoordigheid van mobiele digitale toestellen en het internet

Bedrijven zijn wel bezig met beveiliging, maar meestal alleen vanuit het oogpunt van externe aanvallen. Men kijkt veel minder naar hoe men er voor kan zorgen dat gevoelige informatie het bedrijf niet op een ongeoorloofde manier verlaat. “Het echte risico komt van vergeetachtige gebruikers die kleine draagbare toestel-

spreken we over andere dimensies. Op een gemiddelde laptop kan zowat alle vertrouwelijke informatie staan van een bedrijf of organisatie. Op een kleine USBstick van 1 gigabyte kunnen de gegevens staan over meer dan een half miljoen klanten, zo’n 1

drijfsnetwerk via smartphone, PDA of laptop, hoeven werknemers zelfs niet op het bedrijf aanwezig te zijn om gevoelige informatie van de interne server te halen. Forrester Research raadt dan ook aan om bij mensen die toegang hebben tot gevoelige informatie, software op de laptops en desktops te installeren die kan bijhouden wat er met de informatie gebeurt. Zulke toepassingen moeten controleren of er informatie naar of van mobiele opslagmedia wordt gekopieerd,

Krzysztof Zabłocki / iStockphoto

of er informatie tussen toepassingen wordt gekopieerd, en of er gevoelige gegevens worden afgedrukt of gefaxt. Paswoorden, encryptie en antivirus Voor zover informatie al op mobiele toestellen staat, moet deze ook zorgvuldig worden beschermd. Zeker bij mobiele apparaten moeten medewerkers paswoorden en dergelijke gebruiken om toegang te kunnen hebben tot de informatie op de toestellen. Mensen moeten leren om goede paswoorden aan te maken en daar ook heel zorgvuldig mee om te springen. Daarnaast moet de informatie op mobiele toestellen ook nog door middel van encryptie beschermd worden.

gelijk om er toch nog aan te komen.   De beveiliging van data bij mobiele apparaten mag echter niet beperkt blijven tot verlies of diefstal. Zeker als gebruikers met hun mobiele toestel een directe toegang hebben tot het internet, wat bij smartphones en laptops met WiFi of UMTS meestal het geval is, zijn er ook andere gevaren. Vaak worden binnen het bedrijf wel genoeg maatregelen genomen om computers te beschermen tegen virussen, hackers en ander onheil, maar vergeet men de toestellen waarmee medewerkers buiten de bedrijfsmuren of los van het bedrijfsnetwerk toegang hebben tot internet.   Het allerbelangrijkste blijft echter de menselijke factor. Daarom is het van

Want indien een apparaat in handen valt van iemand met minder goede bedoelingen, dan is een paswoord een te zwakke beveiliging. Een paswoord kraken of omzeilen is op zich niet zo enorm moeilijk als men tijd genoeg heeft. Maar als de data daarna nog eens goed geëncrypteerd blijkt, is het bijna onmo-

belang dat bedrijven een gedegen beveiligingspolitiek uitbouwen waarin ook mobiel gebruik aan bod komt. Die regels en richtlijnen moeten duidelijk uitgelegd worden aan de werknemers, die ook getraind moeten worden zodat ze beseffen welke mogelijke gevaren er zijn en hoe ze die het best uit de weg gaan.