Informatiebeveiliging
Jeroen van Luin 30-11-2011
[email protected]
Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
En nu begrijpelijk:
1. 2. 3. 4. 5.
Geen toegang tot informatie waar men geen recht op heeft Wel toegang tot informatie waar men wel recht op heeft Informatie in een informatiesysteem is volledig en correct Procedures hoe te handelen als punt 1, 2 of 3 misloopt Detecteren of punt 1, 2 of 3 is misgelopen
Zelfde definitie voor informatie op papier of digitaal
Waarom is “geen toegang” zo moeilijk? • Gebrek aan ervaring bij gebruikers Afgedankte PC OvJ Tonino aan straatkant gezet Niet-versleutelde USB-stick laten liggen in huurauto Phishing: hengelen naar informatie P2P Netwerken (Kazaa, Napster, eMule, Limewire) MIVD directeur zet teveel persoonlijke gegevens op Hyves • Gebrek aan ervaring bij website-makers Database-injectie: extra opdracht meegeven aan database » Database-opdracht: Toon mij alles over oorlog ; Geef alle wachtwoorden
Cross-site scripting » Website-bezoeker kan eigen programmacode laten uitvoeren door de webserver
Waarom is “geen toegang” zo moeilijk? (2) • Veel kennis & kunde nodig bij ICT afdeling • Makkelijk bereikbaar voor kwaadwillende experts • Met één druk op de knop op grote schaal wereldwijd kunnen “rammelen aan de deur” • Fouten in beveiliging worden snel ontdekt door kwaadwillenden • Incidenten moeilijk te detecteren: • bij digitale inbraak zijn er geen glasscherven • bij digitale diefstal is het origineel niet weg maar gekopieerd
Continuïteitsgarantie • Uitvoering voornamelijk bij ICT-afdeling • Back-up en restore • Strategie (Wat gaan we back-uppen? Hoe lang?) door (of in samenwerking met) gebruiker • Testen (Werkt het? Hoe lang duurt back-up/restore?) • Uitwijk • Identieke kopie op externe locatie die in geval van bijv. stroomstoring of brand de digitale dienstverlening kan overnemen
6
Correctheid en volledigheid •
Casus: Ron Kowsoleea slachtoffer identiteitsfraude • 1994: criminele oud-klasgenoot onder zijn naam in computersysteem van politie Hoofddorp • Databases 25 politieregio‟s zijn gekoppeld en worden dagelijks gesynchroniseerd • Wissen van foute data vereiste gelijktijdige actie in alle 25 databases • 15 jaar lang onterecht als crimineel behandeld in binnen- en buitenland
7
Detectie en incidentprocedure • Detectie van beveiligingsincidenten moeilijk (tot het te laat is) • Toegeven van beveiligingsincident nog veel moeilijker • Casus: Diginotar • “echtheidscertificaten” van websites worden digitaal ondertekend door vertrouwde instellingen (bijv. Diginotar) • Inbraak in computersystemen Diginotar werd verzwegen • Webbrowsers dachten ten onrechte maandenlang dat nagemaakte certificaten echt waren • Had Diginotar direct toegegeven dat inbraak had plaatsgevonden was de schade veel kleiner geweest 8
Wat kun je zelf doen? • Leer van andermans fouten • Kwetsbaarheid & Afhankelijkheid-analyse • Welke gegevens zijn kwetsbaar? • Welke gegevens moeten echt online benaderbaar zijn? • Casus uit Lektober: Vliegschool zet BKR registraties en strafbladgegevens van leerlingen in dezelfde database als website-inlog informatie. Gevolg van het gehackt worden was nu veel groter dan wanneer deze gegevens offline hadden gestaan
Controleer periodiek beveiliging, update software regelmatig Don‟t shoot the messenger: aanmoedigen van melden van beveiligingsproblemen ipv straffen en „kop in het zand steken‟ 9
