MODULE INFORMATIEBEVEILIGING
Koudekerk aan den Rijn, maart 2003
INHOUD 1.
INLEIDING
3
2.
1E OPZET ONDERWIJSMATERIAAL: INFORMATIEBEVEILIGING 2.1 Aan te sturen competenties en te bereiken niveau 2.2 Studiebelasting 2.3 Welke leerlijn(en) 2.4 Ideeën over mogelijke opdrachten 2.5 Ideeën over de onderwijsvorm 2.6 Ideeën over toetsing 2.7 Criteria
4 4 4 4 4 4 5 5
3.
INFORMATIEBEVEILIGING: TEGEN WELKE BEDREIGINGEN MOET U ZICH WAPENEN? 3.1 Inleiding 3.2 Bedreigingen komen meestal uit de eigen organisatie 3.3 Concrete maatregelen 3.3 Continuïteit bedrijfsvoering centraal 3.4 Conclusie
6 6 6 7 8 10
4.
STATUUT INFORMATIEBEVEILIGING 4.1 Achtergrond 4.2 Eindverantwoordelijkheid 4.3 Doelstelling en doelgroep 4.4 Betrokkenen 4.5 Opzet informatiebeveiliging 4.6 Beleidsuitgangspunten
11 11 11 11 11 12 13
5.
ANATOMIE VAN EEN BEVEILIGINGSSYSTEEM 5.1 Inleiding 5.2 Beveiligingscyclus 5.3 Beveiligingscomponenten 5.4 Hoe nu verder?
15 15 15 15 18
6.
SELECTIEOVERWEGINGEN BEVEILIGINGSCOMPONENTEN 6.1 Inleiding 6.2 Voorbereiding beveiligingsoplossing 6.3 Selectie overwegingen voor de totaaloplossing 6.4 Selectie overwegingen op component niveau
20 20 20 20 22
7.
BESPAREN OP VERBINDINGSKOSTEN MET VPN 7.1 Inleiding 7.2 De uitdaging 7.3 De oplossing 7.4 Kwaliteitsaspecten 7.5 Een rekenvoorbeeld
24 24 24 25 26 28
8.
IBIZ INFORMATIE BEVEILIGING EN IMPLEMENTATIE IN DE ZORG
29
2
1.
INLEIDING
Het toenemend gebruik van ICT in de zorg brengt risico’s met zich mee op het gebied van veiligheid en privacy. Zowel patiënten, zorgverleners als organisaties kunnen in geval zich zo iets zou voordoen schade ondervinden. Inmiddels zijn er doeltreffende maatregelen beschikbaar en een methodische aanpak om deze op de juiste manier in te zetten. Inmiddels is er een NEN norm beschikbaar voor de informatiebeveiliging in de zorg, alsmede een implementatieplan. Met toestemming van NEN-Gezondheidszorg is een korte tekst opgenomen in dit studiemateriaal. In deze module komen de volgende onderwerpen aan de orde die de thematiek behandelen: 1. Inleiding 2. Eerste opzet onderwijsmateriaal: Informatiebeveiliging 3. Informatiebeveiliging: tegen welke bedreigingen moet u zich wapenen? 4. Statuut Informatiebeveiliging 5. Anatomie van een beveiligingssysteem 6. Selectieoverwegingen beveiligingscomponenten 7. Besparen op verbindingskosten met VPN 8. IBIZ Informatie Beveiliging en Implementatie in de Zorg
3
2.
1E OPZET ONDERWIJSMATERIAAL: INFORMATIEBEVEILIGING
Zorgverleners in opleiding dienen naast het vertrouwd raken met gebruik van ICT ook vanuit hun ethische en juridische kaders zorgvuldig om te gaan met vertrouwelijke informatie. Deze module gaat in op concrete maatregelen. 2.1
Aan te sturen competenties en te bereiken niveau
De student heeft inzicht ontwikkeld in het belang van een beveiligde infrastructuur waarbinnen patiëntgegevens op een veilige manier kunnen worden uitgewisseld. Op globaal niveau is er sprake van een overzicht van technische mogelijkheden en toepassingen terwijl er een goed begrip moet zijn van maatregelen die moeten worden genomen op organisatorisch niveau. 2.2
Studiebelasting
40 uren 2.3
Welke leerlijn(en)
Integrale leerlijn. 2.4
Ideeën over mogelijke opdrachten
∗ Literatuur studie van de bijgevoegde onderwerpen 2-7. ∗ Verzamelen van informatie over beveiligingsmogelijkheden: zoals biometrische herkenning, ID-card, password/ID-code et cetera. ∗ Inventariseren voor- en nadelen van elke methode. ∗ Inventariseren waar welk soort toepassingen worden gebruikt en aan te geven welke te prefereren zijn in de zorg. ∗ Werkzaamheden NEN: informatiebeveiliging zoeken op www.nen.nl naar beveiliging. ∗ Koppelingen maken met privacybescherming en zwijgplicht. ∗ Bijhouden van de ontwikkelingen. Er is een gedeelte op de NEN website dat informatie geeft over de status van de ontwikkelingen rond om de norm: http://www.nen.nl/nl/act/spec/ibiz/ . ∗ Bestuderen van de volgende tekst: Ilioudis C, Pangalos G. A framework for an Institutional High Level Security Policy for the Processing of Medical Data and their Transmission Through the Internet. Journal of Medical Internet Research 2001;3(2):e14.
Deze bevat nuttige informatie om in de eigen instelling e.e.a. op te zetten. 2.5
Ideeën over de onderwijsvorm
Zelfstudie met eventuele responsiecollege voor de aanpak Discussie in kleine groepen aan de hand van actuele casuïstiek over beveiligingsproblemen. Discussies met leverancier(s) over hoe men de producten, die men op de markt brengt, heeft beveiligd.
4
2.6
Ideeën over toetsing
Een gemotiveerd verslag waarin beschreven is op welke wijze de veiligheid van gegevens van de patiënt, die op welke wijze dan ook zorg ontvangt, het beste kan worden gewaarborgd in de zorg. 2.7
Criteria
Aandacht voor de volgende zaken: ∗ organisatorische aspecten zoals mogelijke problematiek en regels voor gebruik van de informatiesystemen; ∗ persoonlijke waarborgen (passwords etc. laten slingeren); ∗ toepassingsmogelijkheden die werk niet teveel belemmeren (bijv. single sign on); ∗ standpunt bepaling ten aanzien van eigen handelen bij gebruik van ICT in de zorg.
5
3.
INFORMATIEBEVEILIGING: TEGEN WELKE BEDREIGINGEN MOET U ZICH WAPENEN?
Zie ook http://www.zbc.nu 3.1
Inleiding
Hackers die de website van Microsoft platleggen, salarisdiskettes komen in handen van gewieks te criminelen die zich vervolgens verrijken met andermans inkomen, virussen die complete bedrijven verlammen, via een website van een makelaar de prijzen van huizen veanderen ... Zaken die iedereen bekend in de oren zullen klinken en gelukkig altijd bij een ander plaatsvinden. Tenminste, zo lijkt het. Toch loont het beveiligen van uw bedrijfsinformatie de moeite. Want er loeren vaak meer gevaren dan u denkt. Dat informatiebeveiliging een hot issue is, of zou moeten zijn, is niet zo verwonderlijk. Om te beginnen zijn bedrijven en organisaties steeds meer afhankelijk geworden van hun automatisering en daarmee ook kwetsbaarder voor bedreigingen. De tweede reden dat informatiebeveiliging hoog op de agenda hoort, is het feit dat bedrijfsrisico’s alleen maar zijn toegenomen. Oftewel uw bedrijf of organisatie wordt vandaag de dag vanuit meer, vaak onverwachte kanten bedreigd. En de risico’s zullen alleen maar groter worden in aantal én omvang. 3.2
Bedreigingen komen meestal uit de eigen organisatie
Het vervelende van ongelukken is dat ze meestal uit onverwachte hoek komen. Met alle berichten over virussen, hackers en elektriciteitsstoringen ontstaat de indruk dat de risico’s vooral van buiten komen. Niets is minder waar. In de dagelijkse praktijk blijkt de meeste schade te worden toegebracht van binnenuit, dus door de medewerkers zelf. Daar komt bij dat veel ongelukken niet eens opzettelijk plaatsvinden. Een foutje is zo gemaakt en kan verstrekkende gevolgen hebben. Er zijn vier typen bedreigingen: Intern
Extern
onopzettelijk Onnadenkende medewerkers vormen een bedreiging. Denk bijvoorbeeld aan een medewerker die een virus binnenhaalt. Of een kopje koffie dat over een computer valt en gegevens onleesbaar maakt. Calamiteiten zoals brand, waterschade of stroomstoring kunnen de zaken soms voor langere tijd dwarsbomen.
opzettelijk Gevaar uit onverwachte hoek: uw eigen personeel. Zoals een medewerker die boos ontslag neemt en alle bestanden wist. Of het doorspelen van gevoelige gegevens naar derden. De meest besproken maar niet de grootste bron van gevaar. Naast hackers valt ook fysieke inbraak in deze categorie.
Om hier wat aan te doen is een pakket aan maatregelen nodig. Gelukkig zijn er maatregelen te treffen om de hiervoor genoemde typen incidenten te voorkomen, dan wel indien ze toch plaatsvinden adequate maatregelen te nemen. De maatregelen die zijn te treffen om de problemen te voorkomen worden meestal op verschillende niveaus weergegeven. In Figuur 1 worden de maatregelen weergegeven in de vorm van verschillende lagen.
6
W e tte lijk e b e s c h e r m in g R e g e ls e n p r o c e d u r e s P e r s o o n lijk e a u t o r is a t ie B e v e ilig in g v a n d e o m g e v in g B e v e ilig in g v a n g e g e v e n s B e v e ilig in g v a n h a rd - e n s o ftw a re e n n e tw e rk
Figuur 1. Maatregelen voor informatiebeveiliging. NEN noemt in de opdracht een aantal processen in de zorg die aangrijpingssituaties vormen voor informatiebeveiliging: ∗ Beveiliging bij het invoeren en vastleggen van gegevens. Maatregelen hier zijn het vastleggen wie voor de invoer van gegevens en de bewerkingen ermee verantwoordelijk is. Een techniek die hiervoor steeds belangrijker wordt is de digitale handtekening; ∗ Beveiliging van de opslag van de gegevens. Maatregelen betreffen het bewaken van de consistentie van de database (vindt opslag plaats in de juiste vorm op de juiste plaatsen) en om het periodiek maken van back-ups. Ook dient de fysieke toegang tot ruimtes waarin de bestanden worden bewaard te worden geregeld; ∗ Beveiliging bij gebruik van de gegevens. Hier zijn maatregelen nodig in de software om correcte bewerkingen uit te voeren, en rondom de hardware en netwerken om optimaal te blijven functioneren. Ook hoort hierbij het voorkomen van ongewenste toegang en ongewenste wijziging van gegevens. Dit wordt gerealiseerd door kwaliteitscontroles van software en systemen, autorisatie van gebruikers en registratie van elk gebruik van het systeem door log-filing. 3.3
Concrete maatregelen
Uit de aangrijpingspunten en figuur 1 zijn concrete maatregelen af te leiden. 1. Zorgdragen voor hardware, software, netwerken, databases van afdoende kwaliteit, bij voorkeur via certificatie, en garanderen dat het systeem optimaal functioneert. Geschikte ruimten horen daarbij, evenals gekwalificeerd personeel. Hierbij horen ook back-up systemen, vooraf dan wel regelmatig testen en de operationele systemen niet gebruiken om nieuwe dingen uit te proberen. 2. Beveiliging van de gegevens door de toegangsregelingen, backups en logfiling. Maar bijvoorbeeld ook het zorgvuldig omgaan met uitdraaien, encryptie van informatie alvorens deze te verzenden, bescherming tegen computervirussen horen hierbij. Het kan ook verstandig zijn de gegevens voor de zorgverlening en de afgeleide zaken als management, administratie, onderzoek en beleid in aparte databases onder te brengen. 3. Beschermen van hardware, software, netwerken, databestanden en eventuele overige onderdelen van de informatiesystemen tegen zaken uit de omgeving zoals brand, wateroverlast, hitte-kou, geweld van buiten, diefstal en onveilige situaties zoals het kunnen struikelen over de soms tientallen kabels. De bekabeling in instellingen voor gezondheidszorg dienen ook ‘fool-proof te ‘zijn. Bijvoorbeeld ziekenhuisbedden kunnen indien ze er tegenaan stoten makkelijk een twisted pair of glasvezelkabel doorsnijden.
7
4. Persoonlijke autorisatie is reeds genoemd. Aandachtspunten hierbij zijn zorgvuldige registratie van gebruikers en het worden geautoriseerd voor bepaalde patiënten, afdelingen, instellingen, maar niet voor alles. Dit is echter maximaal voor 50% een technisch probleem: alle gebruikers dienen zich van het belang bewust te zijn en hier zorgvuldig mee om te gaan. Dat is de andere helft van de maatregel en dit vraagt meer om een implementatietraject. 5. Regels en procedures vormen een belangrijk menselijk aspect rondom informatiebeveiliging. Waarborg dat het beveiligingssysteem zelf geen inbreuk op de privacy kan worden en ontwikkel adequate procedures voor de ontwikkelaars en beheerders van de database. Gebruikers moeten worden getraind om niet om 8.00 uur het wachtwoord in te typen en de computer vervolgens de hele dag toegankelijk te laten terwijl men tussendoor weggaat. Ook zijn hier technische maatregelen mogelijk. Een goede interne registratie van de gebruikers, hun identiteit, authenticiteit en autorisaties dient plaats te vinden. Ook het verwijderen van toegangsmogelijkheden bij ontslag of functieverandering is op zijn plaats. Ondanks alle goede voorzorgen kan er wat mis gaan. Een goede procedure kan worden uitgezet door het maken van een systematische registratie van knelpunten en problemen. Zo werkt in diverse ziekenhuizen en instellingen een incidenten rapportage. Indien deze rapportage regelmatig plaatsvindt, kunnen er op termijn patronen uit worden gehaald, die een bijdrage kunnen leveren aan zorgvuldig beheer en onderhoud van een informatie systeem. Een niet te onderschatten maatregel is het doen van een appel op de ethische en juridische codes voor de beroepsuitoefening in de zorg. In principe weet elke hulpverlener dat patiënten gegevens vertrouwelijk moeten worden gehouden. Wat men zich soms niet realiseert is dat bepaalde gedragingen in informatiesystemen een schending van de privacy zijn. Onwetendheid over concrete alledaagse werkzaamheden in het systeem. Dit aspect is belangrijk in de implementatie. 6. Wet en regelgeving vallen buiten deze norm zelf, maar vormen het kader waarbinnen de informatiebeveiliging in de zorg functioneert. In de volgende paragrafen wordt op een aantal maatregelen verder ingegaan. 3.4
Continuïteit bedrijfsvoering centraal
Vaak komt het bewustzijn voor veiligheid pas als het te laat is. Informatiebeveiliging is bij veel bedrijven nog geen onderwerp dat hoog scoort. Meestal gaat het om onzichtbare maatregelen die pas in werking treden als de nood aan de man komt. Niet iets waar het management goede sier mee maakt. Waar informatiebeveiliging wel zichtbaar wordt, zien mensen het als een lastige barrière om hun werk te doen. Daar komt bij dat met beveiliging stevige investeringen gemoeid zijn, waar zo op het eerste gezicht geen baten tegenover staan. Toch leert de praktijk dat u zich maar beter kunt wapenen tegen verlies, manipulatie en corruptie van informatie en systemen. Want al lijkt de kans gering, als het echt misgaat vallen de kosten voor herstel veel hoger uit dan de kosten van informatiebeveiliging. Trouwens, ook uw imago kan onherstelbare schade oplopen als gevoelige gegevens op straat komen te liggen. De beschikbaarheid en integriteit van uw informatiesystemen vraagt om een actief beveiligingsbeleid. Zo’n beleid bevat in de eerste plaats maatregelen om incidenten te voorkomen. En mocht er toch iets misgaan, dan moet de schade tot een minimum beperkt blijven. Bijvoorbeeld door de inzet van een recovery center. Dit is een compleet computersysteem op een andere locatie, meestal bij een gespecialiseerd bedrijf, dat klaarstaat om vitale bedrijfsprocessen onmiddellijk over te nemen. Informatiebeveiliging is cruciaal voor de continuïteit van de onderneming. Vanzelfsprekend heeft iedere organisatie z’n eigen specifieke beveiligingsrisico’s. Een kant en klaar recept voor succes is daarom niet te geven. Informatiebeveiliging is in veel gevallen een kwestie van maatwerk. Maar dat hoeft geen
8
belemmering te zijn. Een quick scan kan snel aangeven in welke richting oplossingen moeten worden gezocht. het startpunt: de risico-analyse Veiligheidsbeleid begint met het in kaart brengen van de bedrijfsrisico’s en belangrijke ontwikkelingen. Bij inventariseren van risico’s spelen twee afwegingen een rol: de kans dat een gebeurtenis plaatsvindt en de schade die erdoor kan ontstaan. Het knelpunt dat u oplost moet wel in verhouding staan tot de kosten. 100% waterdicht beveiligen is onmogelijk en niet eens nodig. Het gaat erom de risico’s tot een acceptabel niveau terug te brengen. fysieke en organisatorische maatregelen Bij het vertalen van bedrijfsrisico’s in concrete maatregelen ligt de focus maar al te vaak op de techniek. Een succesvolle benadering stelt de menselijke factor centraal: de mens die het beste voorheeft maar die fouten maakt, en de mens die moedwillig schade toebrengt. Of u het nu leuk vindt of niet: beide soorten mensen lopen binnen en buiten uw organisatie rond. Dus moet die organisatie bestand zijn tegen menselijke fouten en moedwillige schade. fouten voorkomen Fouten ontstaan vaak door onwetendheid of gebrek aan veiligheidsbewustzijn. De uitdaging is dan ook de hele organisatie ‘veiligheids-minded’ te krijgen. Op een verantwoorde manier omgaan met informatie moet net zo gewoon worden als je auto op slot doen. Veel ellende is te voorkomen door duidelijke afspraken te maken over het omgaan met informatie. Bijvoorbeeld door taken en bevoegdheden en het wenselijke verloop van processen helder vast te leggen. En door op cruciale momenten in het proces meetpunten in te bouwen om afwijkingen te detecteren. Op basis van voortdurende analyse van de meetgegevens kan zonodig worden bijgestuurd. Een correctiemechanisme is dan ook een onmisbaar onderdeel van de beveiliging. moedwillige beschadiging Maatregelen ter voorkoming van fouten gaan ervan uit dat de mens te goeder trouw is. Maar dat is lang niet altijd het geval. Helaas komt het vaak voor dat medewerkers of mensen van buiten expres gegevens naar buiten brengen, manipuleren of saboteren. Hiermee kunnen ze aanzienlijke schade aanrichten die voorkomen had kunnen worden. De remedie: bevoegdheden en toegang tot gevoelige informatie zoveel mogelijk inperken. Alleen noodzakelijke gegevens zijn beschikbaar en uitsluitend noodzakelijke handelingen kunnen worden uitgevoerd. Daarnaast kan strikte rapportage en controle hierop de speelruimte voor moedwillig vandalisme aanzienlijk beperken. De noodzaak hiervan zal per organisatie verschillen. Maar het dient wel altijd een punt van aandacht te zijn. niet reageren maar anticiperen Beveiligingsmaatregelen zijn bij veel bedrijven en organisaties vooral gericht op het minimaliseren van schade. In de turbulente wereld waarin ondernemingen en overheden tegenwoordig opereren is ‘damage control’ niet voldoende. Zorgen voor een gezonde organisatie is minstens zo belangrijk als adequaat kunnen reageren op calamiteiten. Veiligheidsbeleid moet zich dan ook vooral richten op het voorkomen van risico’s. Daarnaast blijven natuurlijk maatregelen nodig die de continuïteit garanderen als er toch schade is. Informatiebeveiliging evolueert dan ook van reageren naar anticiperen. Voorwaarde is dat het veiligheidsbewustzijn van hoog tot laag in de organisatie wordt ingebed.
9
externe specialist is cruciaal Iedere organisatie heeft zo z’n eigen blinde vlekken en dat is meestal het gebied waar het misgaat. Informatiebeveiliging vraagt dan ook om een frisse blik. Een onderzoek door een externe specialist vormt de beste basis. Iemand die objectief naar de organisatie kijkt, ziet niet alleen meer, maar is vanuit zijn deskundigheid in staat creatieve oplossingen aan te dragen. Met als doel: de continuïteit te waarborgen door betrouwbare informatiesystemen. 3.5
Conclusie
Niet voor niets staat informatiebeveiliging volop in de aandacht. Uw bedrijf of organisatie wordt steeds afhankelijker van informatiesystemen en is daardoor ook kwetsbaarder. Dus moet die informatie goed beschermd zijn, zonder dat dit leidt tot overbodige maatregelen. Een goed startpunt is een zogenaamde quick scan laten uitvoeren door een externe specialist. Die brengt in korte tijd de risico’s voor uw bedrijf of organisatie in kaart, zonder dat de kosten meteen de pan uitrijzen. Vervolgens kan een afgewogen keuze gemaakt worden welke maatregelen voor uw bedrijf echt noodzakelijk zijn. Risico's mogen uiteraard geaccepteerd worden, maar ze moeten wel bekend zijn.
10
4.
STATUUT INFORMATIEBEVEILIGING
4.1
Achtergrond
Het managementteam van de instelling XXXX onderkent dat het toenemende gebruik van datacommunicatiemogelijkheden (internet, E-commerce), de complexiteit van en verwevenheid tussen geautomatiseerde systemen, de massaliteit van de dagelijkse communicatie, de omvang van de bestanden alsmede de toenemende professionalisering van de computercriminaliteit leiden tot een grote afhankelijkheid en kwetsbaarheid van de geautomatiseerde informatievoorziening binnen de XXXX. De risico's die hiermee samenhangen zijn zeer aanzienlijk en kunnen een bedreiging vormen voor de vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening en daarmee indirect voor het imago en dus de continuïteit van de XXXX. 4.2
Eindverantwoordelijkheid
Gelet op de mogelijke impact van verstoringen op de continuïteit van XXXX berust eindverantwoordelijkheid voor het beleid inzake de beveiliging en de interne controle van de geautomatiseerde informatievoorziening bij de directie van XXXX. 4.3
Doelstelling en doelgroep
Het Statuut maakt deel uit van het algehele beveiligingsbeleid van XXXX. De doelstelling van het Statuut inzake de vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening van de XXXX luidt: "Het bieden van een raamwerk van beleidsuitgangspunten met betrekking tot de exclusiviteit, integriteit en beschikbaarheid van de geautomatiseerde informatievoorziening, waarbinnen een evenwichtig (doeltreffend en doelmatig) stelsel van onderling samenhangende maatregelen ontwikkeld wordt, teneinde de geautomatiseerde informatievoorziening te beschermen tegen interne en externe bedreigingen." Alle leidinggevenden dienen ervoor zorg te dragen, dat aan de in dit Statuut geformuleerde beleidsuitgangspunten wordt voldaan bij de inrichting van de organisatie, procedures, werkwijze en de daarbij gehanteerde informatiesystemen. 4.4
Betrokkenen
∗ Beveiligingsorganisatie; ∗ de gebruiksorganisatie is en blijft, als houder, eindverantwoordelijke voor de door haar gebruikte geautomatiseerde informatiesystemen; ∗ de systeemontwikkelingsorganisatie is verantwoordelijk voor het realiseren van de overeen te komen gewenste functionele specificaties tijdens systeemontwikkelingstrajecten. De verwerkingsorganisatie is de houder van de overeengekomen technische infrastructuur, waaronder inbegrepen de infrastructurele beveiligingsmiddelen.
11
Directie XXXX
4.5
Opzet informatiebeveiliging
Van elk geautomatiseerd informatiesysteem, inclusief de daarbij behorende gegevens, dient expliciet één houder te zijn benoemd. Het houderschap impliceert de eindverantwoordelijkheid voor het betreffende systeem, inclusief het bepalen van bij het systeem te onderkennen risico's, het classificeren van het systeem en de daarbij behorende gegevens en het (laten) ontwikkelen van adequate beveiligingsmiddelen en interne controlemaatregelen. Naast de applicatie betreft dit ook de juiste inzet van de infrastructurele componenten (werkstations, servers en LAN/WAN), de juiste verwerking, het adequate beheer, het goed functioneren van het personeel, het maken van afspraken met derden, fysieke beveiliging en voorzieningen om incidenten en calamiteiten te voorkomen of af te handelen.
12
In onderstaand figuur zijn alle genoemde deelgebieden van een informatiesysteem opgenomen.
Er wordt gesproken over eindverantwoordelijk omdat een aantal aspecten van het informatiesysteem uitbesteed worden aan andere houders. Dit kan zowel betrekking hebben op aspecten tijdens de ontwikkeling van het systeem, als tijdens het beheer, het gebruik en/of bepaalde deelcomponenten van het totale systeem. De te treffen maatregelen, alsmede de prioriteitsstelling hierin, dienen te worden bepaald op grond van een door het bedrijfsonderdeel periodiek op te stellen risicoanalyse, waarin: ∗ de bedreigingen tegen een betrouwbare en op continuïteit gerichte, geautomatiseerde informatievoorziening en de daarmee samenhangende risico's worden onderkend en ∗ een evenwichtig stelsel van onderling samenhangende maatregelen wordt ontwikkeld ter reducering van de risico's tegen acceptabele kosten. Hierbij wordt derhalve niet een maximaal beveiligingsniveau nagestreefd, maar een optimaal niveau. Bij het uitvoeren van de risicoanalyse wordt het bedrijfsonderdeel ondersteund door Beveiligingsadvies. Zij vervult in deze een coördinerende rol, opdat overlappingen en tekortkomingen in het totale stelsel van maatregelen binnen de XXXX worden voorkomen. 4.6
Beleidsuitgangspunten
∗ De fysieke en logistieke beveiliging van de computercentra en de andere bedrijfsgebouwen van de XXXX is zodanig dat de vertrouwelijkheid, integriteit en continuïteit van de gegevens en gegevensverwerking gewaarborgd is. ∗ Aanschaf, installatie en onderhoud van geautomatiseerde gegevensverwerkende systemen, alsmede inpassing van nieuwe technologieën, mogen geen afbreuk doen aan het niveau van veiligheid van de geautomatiseerde informatievoorziening. ∗ Het personeelsbeleid is er mede op gericht een bijdrage te leveren aan de vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening.
13
∗ Opdrachten aan derden voor het uitvoeren van werkzaamheden worden zodanig omgeven met maatregelen dat er geen inbreuk op de vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening kan ontstaan. ∗ Het ontwikkelen van en onderhoud op geautomatiseerde informatiesystemen geschiedt binnen de kaders en regels van de centrale architectuur volgens de standaard systeemontwikkelingmethodologie van de XXXX, met gebruikmaking van standaardtechnieken, waarbij de documentatie volgens een vaste systematiek tot stand komt. ∗ Bij de geautomatiseerde informatievoorziening zijn stringente scheidingen aangebracht tussen de test-/ontwikkelingsomgeving, de acceptatieomgeving en de productieomgeving. ∗ Er zijn functiescheidingen aangebracht tussen de systeemontwikkelings-, verwerkings- en gebruiksorganisatie. ∗ Er zijn voorzieningen aanwezig om de inhoudelijke juistheid, de volledigheid en de juiste werking van de geautomatiseerde systemen te kunnen vaststellen. ∗ Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van cliënten en personeel te waarborgen. ∗ Logische toegangsbeveiliging zorgt ervoor, dat ongeautoriseerde personen of processen geen toegang krijgen tot de geautomatiseerde systemen, gegevensbestanden en programmatuur van de XXXX. ∗ Datatransport is zodanig met beveiligingsmaatregelen omkleed, dat geen inbreuk kan worden gepleegd op de vertrouwelijkheid, integriteit van de gegevens en de informatievoorziening als geheel. ∗ End-user computing is omgeven door zodanige maatregelen, dat de vertrouwelijkheid, integriteit van de opgeleverde informatie gegarandeerd is. ∗ Teneinde computervirusinfecties te voorkomen wordt er slechts gewerkt met geautoriseerde versies van (legale) programmatuur. ∗ Het beheer en de opslag van gegevens is zodanig dat geen informatie verloren kan gaan. ∗ Er zijn calamiteitenplannen en -voorzieningen om de continuïteit van de geautomatiseerde informatievoorziening te waarborgen .
14
5.
ANATOMIE VAN EEN BEVEILIGINGSSYSTEEM
5.1
Inleiding
Het ontwikkelen van een beveiligingssysteem is geen sinecure. Dit document beoogt inzicht te geven in de anatomie van een beveiligingssysteem ter ondersteuning van dit proces. Van belang bij de ontwikkeling van een beveiligingssysteem is in eerste instantie een goede functionele helikopter view te verkrijgen waarbij alle benodigde functionaliteit is uiteengezet in verschillende deelgebieden. Zo kunt u per deelgebied beslissen welke componenten u dient in te zetten. Als dit eenmaal inzichtelijk is, kan bepaald worden welke samenwerking tussen die componenten benodigd is om de beoogde functionaliteit te creëren. De uitkomsten van dit proces wordt doorgaans gedocumenteerd in een functioneel ontwerp. Dit functioneel ontwerp is een uitstekend vertrekpunt om de technische inrichting van gekozen componenten te bepalen, wat vervolgens weer vastgelegd kan worden in een technisch ontwerp. 5.2
Beveiligingscyclus
Het creëren van een betrouwbare beveiliging geschiedt per definitie op basis van vijf stappen welke zich cyclisch ten opzichte van elkaar verhouden. Deze stappen zijn als volgt te onderscheiden:
Een goed beveiligingssysteem biedt voorzieningen voor elke stap in de cyclus en bestaat dus niet alleen uit technologische componenten maar ook uit de juiste beleidsregels, procedures en contracten. In dit document gaan we er echter ter bevordering van de leesbaarheid van uit dat er een security policy is opgesteld, het auditeren van de netwerkbeveiliging aan een derde partij is uitbesteed en er voldoende beheersvoorzieningen zijn getroffen. Wij beschrijven dus alleen componenten behorende bij stap 2 en 3. 5.3
Beveiligingscomponenten
DMZ Een basisvoorziening in het beveiligingssysteem is het creëren van een tussensegment tussen het secure netwerk en het unsecure netwerk om rechtstreeks verkeer te voorkomen. Dit tussensegment noemen we de DeMilitarized Zone (stap 2 component). Dit is een relatief veilig
15
segment waarin apparatuur kan worden geplaatst die via het Internet gedeeltelijk publiekelijk toegankelijk is (noodzakelijke toegang). In de DMZ worden per definitie geen systemen opgenomen die beschikken over gegevens of informatie. Omdat alleen de componenten in de DMZ benaderbaar zijn (en dan nog voor toegestane informatiestromen) kan hier de aandacht voor wat betreft beveiliging op gericht worden en zijn de extra beveiligingsinspanningen voor lokale servers gering. In de DMZ wordt zoveel mogelijk intelligentie uitgeschakeld om het risico te beperken. Informatiestromen van het secure netwerk naar het unsecure netwerk geschieden allen via de DMZ. Dit biedt tevens de mogelijkheid additionele handelingen te verrichten (met stap 3 componenten) waarna de gegevensuitwisseling veilig kan worden verklaard en verkeer kan worden doorgelaten. Firewall Een firewall (stap 2 component) reguleert het verkeer en beschermt ongeautoriseerde toegang tussen verschillende segmenten. U dient vast te leggen waar u de firewall opstelt en hoe u deze gaat gebruiken. Een voorbeeld vindt u in onderstaande illustratie.
In dit voorbeeld wordt uitgegaan van een three-part firewall constructie. Het is ook mogelijk een Two-tier firewall constructie te kiezen. Hiervoor zijn dan twee firewalls nodig om de DMZ te creëren. Het nadeel is evident. De investering is hoger en het beheer wordt complexer. Het voordeel is echter dat er een ‘second line of defense’ ontstaat wanneer er twee firewalls met verschillende technologie ingezet wordt. Om u ervan te vergewissen dat u in een later stadium (bij het opstellen van het technisch ontwerp) de juiste technologieën kunt toepassen, dient de firewall minimaal te voorzien in: ∗ (Dynamic) Access Control Lists; ∗ (D)Dos detection and prevention; ∗ IP Fragmentation Detection; ∗ Network Address Translation; ∗ Port Application Mapping; ∗ Audit trail (configurable).
16
Outbound Proxy Om het internet gebruik te registreren (logging) en af te schermen (middels autorisatie) voorziet een standaard beveiligingssysteem in een Proxy server in het Secure LAN (stap 2 component). Hiervoor kan het beste gekozen worden voor een systeem dat aansluit bij de intern gebruikte directory service. Bijvoorbeeld BorderManager in geval van eDirectory en ISA Server in geval van Active Directory. Als toevoeging op het authenticeren van gebruikers kan hier een URL filtering tools op worden geplaatst zodat gebruikers afgeschermd worden voor sites met risicovolle content. Voor selectieoverwegingen verwijzen wij u naar het artikel 'Selectieoverwegingen beveiligingscomponenten'. In illustratie B vindt u de schematische rol van de Outbound Proxy in het beveiligingssysteem.
Content Scanning Teneinde het inkomende en uitgaande mail/webverkeer niet zonder controle op het interne netwerk terecht te laten komen, kan er in de DMZ een content scanning server worden ingezet (stap 3 component). Al het verkeer wordt door deze server gescand en getoetst aan, volgens de security policy, ingevoerde regelgeving. Ook kan gescand worden op virussen, trojans en andere malafide data/scripts eventueel verborgen in Java of ActiveX applets. Wanneer veilig bevonden kan het verkeer toegelaten worden op het Secure Lan, of het netwerk juist verlaten naar het Internet. Om dit te laten werken zal deze; component tevens dienst doen als SMTP relay host (met een SMTP connectie naar de provider en de interne mail server) en als proxy cascade (met een http/ftp route naar de Proxy server van de provider en de outbound Proxy server in het Secure Lan). Illustratie C voegt de Content Scanning Engine toe.
17
Intrusion Detection Met behulp van Intrusion Detection technologie kan men automatisch op de hoogte worden gesteld van inbraakpogingen (stap 3 component). De firewall maakt het mogelijk het verkeer dat van een ander netwerk afkomstig is te controleren en op basis van vooraf ingegeven toegangslijsten te blokkerren. Op grond van deze controle kan worden bepaald of het type verkeer al dan niet wordt toegelaten. Echter wanneer een aanvaller slaagt, kan de firewall dit niet of onvoldoende detecteren. Naast de firewall kan daarom een Intrusion Detection Systeem (IDS) in het netwerk worden opgenomen. Een Intrusion Detection systeem kan bij een inbraakpoging alarmeren door een e-mail te versturen naar de systeembeheerder. U dient te bepalen of u de inzet van een IDS noodzakelijk acht of niet. Ook dient u te bepalen of een network based IDS (scant segment op aanvallen) of een host based IDS (scant servers op aanvallen) voor uw situatie de beste keus is. Een combinatie kan natuurlijk ook, met name wanneer u in de DMZ de toegang tot applicaties in het secure LAN verschaft. Ongeacht de keuze is het verstandig een IDS systeem te gebruiken dat kan samenwerken met de firewall. Zo kan IDS de firewall opdracht geven tijdelijk verdacht verkeer te blokkeren totdat de ICT manager anders beslist. De locatie van network based sensoren is bepalend voor de functionaliteit. Hoe dichter u de sensor bij het onveilige netwerk plaatst des te vaker zal het systeem alarm genereren. Afhankelijk van uw wensen kunt u de sensoren plaatsen bij de borderrouter (koppeling met het Internet), in de DMZ of in het secure netwerk. 5.4
Hoe nu verder?
Het is verstandig een extern specialist in te schakelen om u te helpen bij het ontwerpen van een goed functionerend beveiligingsysteem. U kunt dan gebruik maken van de ervaring die bij andere bedrijven is opgedaan. Een goede consultant adviseert een oplossing die is afgestemd op de daadwerkelijk behoefte zonder overbodige toeters en bellen en zorgt ervoor dat de oplossing geïmplementeerd kan worden in
18
plaats van geïnstalleerd. Hij heeft de sjablonen en methodieken in handen om het geheel in het beveiligings- en ICT beleid van het bedrijf in te bedden.
19
6.
SELECTIEOVERWEGINGEN BEVEILIGINGSCOMPONENTEN
6.1
Inleiding
Bij het kiezen van een beveiligingssysteem spelen een aantal kritische factoren een rol. Niet de individuele apparatuur of de software moet centraal staan maar de totaaloplossing voor de reële bedreigingen van de eigen situatie. Het is dus niet een kwestie van het selecteren van een firewall of een intrusion detection systeem op basis van krachtspecificaties als bitrate of megahertzen. Interessanter is te kijken waar men prioriteiten op dient te leggen en uit welke componenten de beveiligingsoplossing moet bestaan. Eenmaal zicht op de deelgebieden die nodig zijn om de totaaloplossing te bouwen, zal men de beslissing voor de één of andere technologie bij voorkeur nemen op basis van de mogelijkheid om de verschillende componenten samen te laten werken en de mogelijkheid de totaaloplossing in de bestaande infrastructuur te integreren. Tenslotte moet het geheel niet alleen veilig zijn, maar ook blijven en daarbij speelt het beheer een cruciale rol. Het beheer van de beveiligingsoplossing zal eenvoudig moeten zijn (minder kans op fouten) en toegankelijk moeten zijn (dus gebruik makend van bekende tools). Dit document is bedoeld voor ICT verantwoordelijken die zich aan het oriënteren zijn op de aanbiedersmarkt voor beveiligingsoplossingen. Het beoogt inzicht te geven in de verschillende aspecten die een rol spelen bij de selectie van een beveiligingsoplossing. 6.2
Voorbereiding beveiligingsoplossing
In eerste instantie kan men zich af vragen waartegen beveiligd moet worden en welk belang hieraan gehecht moet worden. Veel organisaties hebben inmiddels, ingegeven door stuwende technologische bedreigingen en wet- en regelgeving, (ICT) beveiligingsbeleid opgesteld. Hierin kan het bestuur of management van een onderneming in grote lijnen aangeven waar het bedrijf de nadruk op wil leggen, wat belanghebbende kunnen verwachten en wat er van medewerkers met betrekking tot beveiliging verwacht wordt. Een dergelijk document geeft houvast bij het vaststellen van prioriteiten in de beveiligingsstrategie. Als er geen beleidslijnen zijn kan overwogen worden om vanuit de ICT afdeling een aantal richtlijnen voor te stellen en hiervan commitment van het management te verkrijgen of om voor te stellen om beveiligingsbeleid te gaan schrijven alvorens men zich op de technologie gaat richten. Dit voorkomt een hoop research naar oplossingen die de organisatie niet ten doel staan. 6.3
Selectie overwegingen voor de totaaloplossing
Bij het bouwen van een beveiligingssysteem is het van belang eerst te komen tot een ‘helikopter view’ waarin de gewenste functionaliteit wordt opgebroken in deelgebieden. Vervolgens kan de samenhang van, en samenwerking tussen deze deelgebieden worden beschreven. Het geeft inzicht in de verschillende processen en de benodigde componenten die deze processen ondersteunen. Dit ‘functioneel ontwerp’ is het uitgangspunt voor het technisch ontwerp waarin de daadwerkelijke technische inrichting van de componenten wordt beschreven. Het spreekt voor zich dat een bedrijf dat transacties over het internet met klanten afhandelt (bijvoorbeeld voor invoeren van gegevens of het bestellen van artikelen via webapplicaties) zich meer zorgen maakt over de exclusiviteit, betrouwbaarheid en integriteit van hun informatie(systemen) dan een bedrijf dat internet louter gebruikt voor e-mail.
20
ongeoorloofde toegang tot applicaties of gegevens Dit aspect van beveiliging (authenticatie) kan met eenvoudige middelen als gebruikersnaam, wachtwoord en wat hardere authenticatie instrumenten als tokens of smartcards bereikt worden. De bedoeling is in alle gevallen vast te stellen of de gebruiker ook werkelijk is wie hij zegt dat hij is. Misschien is het voor uw bedrijf ook nodig te kijken naar de mogelijkheden om meer of minder privileges aan specifieke gebruikers toe te kennen op basis van de authenticatie methodiek (autorisatie) en op welke manier het gedrag van gebruikers vastgelegd kan worden. Immers, iemand die meer dan 7 keer zonder succes probeert in te loggen is op zijn minst verdacht en andersom, als er iets verdachts is gebeurd, is het handig om na te zoeken wie er op het systeem wat precies gedaan heeft. Vanzelfsprekend is het vastleggen van handelingen van gebruikers iets dat zij altijd moeten weten. Ook onder het applicatieniveau dienen voorzieningen te worden getroffen om te voorkomen dat de beveiliging op applicatieniveau omzeild wordt. Het is daarom van belang om bij de keuze van onderliggende systemen en componenten als hosts en firewalls goed te letten op mogelijkheden hiertoe. Met kan denken aan context based access control, port application mapping, dynamic control lists, etc. Deze technologieën worden vaak gecombineerd om te voorkomen dat op onderliggend niveau de applicatie veiligheid gecompromitteerd wordt, terwijl er toch enige flexibiliteit en dus beheersbaarheid gewaarborgd wordt. Houdt er bij de selectie van onderliggende systemen ook rekening mee hoe andere aspecten van de beveiliging zich verhouden en hoe de oplossing zich straks in de huidige infrastructuur kan integreren zodat eenvoudig beheer mogelijk wordt. imagoverlies Denial of service (het verstoren van functionaliteit), spoofen (omleiden naar andere bestemming) of defacen (iets anders dan de oorspronkelijke content plaatsen) van de site waarop de applicatie draait, kan het vertrouwen dat klanten in het bedrijf hebben aanzienlijk schaden. Om dit te voorkomen dienen er in het beveiligingsconcept maatregelen genomen te worden die dergelijke acties voorkomen of onderscheppen. Te denken valt aan de mogelijkheid tot het automatisch inspecteren van tcp sequence nummers. Zijn de nummers niet zoals verwacht, wordt de sessie misschien omgeleid. Zijn er teveel nieuwe connecties of zijn er half open sessies, dan is actie benodigd. Dit beveiligt het netwerk tegen methodieken als syn flooding, port scans en packet injection. Ook het plaatsen van sensoren op de webservers, die alarmeren wanneer er iets op de server verandert, is heel effectief. Imagoverlies voorkomt men echter niet alleen met inzetten van apparatuur die deze technologie ondersteunt. Ook goede voorzieningen treffen om de webserver adequaat te kunnen onderhouden is belangrijk. Zo kunnen imago aantastende kwetsbaarheden snel verholpen worden. Zorg dus voor systemen die zich geautomatiseerd laten checken. Betrouwbare fabrikanten van firewalls, webservers en cache engines hebben contractuele voorzieningen en reageren snel en adequaat op bugs. misbruik van systemen Hackers hebben computerkracht nodig om schade te kunnen berokkenen. Om zoveel mogelijk computers bij een aanval te laten meehelpen, ontwikkelen zij robotprogrammatuur die via trojans op grote schaal in krachtige computers van bedrijven geplaatst worden. Deze code kan bijvoorbeeld ongemerkt geïnstalleerd worden op een computer van een gebruiker die aan het browsen is. Via de html code die wordt gedownload (en door de firewall toegestaan wordt omdat de gebruiker de communicatie initieert) wordt een kleine applicatie onopgemerkt binnengehaald. Op deze manier kan de kwaadwillende de computer van de gebruiker op elk
21
gewenst moment opdracht geven mee te helpen bij een aanval, bijvoorbeeld zoals gebeurd is op de microsoft.com site. Moet het gekozen beveiligingsconcept voorzien in tegenmaatregelen, denk dan aan content scanning tools die alle in- en uitgaande communicatie (niet alleen email maar ook http of ftp verkeer) controleert op malafide code. Een ondersteunende component in de beveiligingsoplossing om te voorkomen dat gebruikers op malafide websites (waar dergelijke trojans verspreid worden) terechtkomen is het inzetten van URL filtering tools. Zo kan de ICT afdeling aangeven op welk type sites gebruikers wel kunnen komen en niet kunnen komen. Indeling gaat bij de meeste producten op categorieën als nieuws, entertainment, informatief, educatief en bijvoorbeeld erotische content. Ook hier valt of staat de selectie van dergelijke tools met de integratie in het totale concept en de mogelijkheden om samenwerking te realiseren tussen de verschillende componenten. Heeft u bijvoorbeeld een windows 2000 netwerk en werkt u met active directory? Dan zou het toch heel prettig zijn wanneer men in het lokale netwerk met de standaard user administration tools kan aangeven wie wat mag, welke content nog gecontroleerd moet worden en wanneer er iets gerapporteerd moet worden. 6.4
Selectie overwegingen op component niveau
Wanneer men een helder beeld heeft van de componenten die ingezet moeten worden en de samenhang tussen de componenten kan het zinnig zijn om per component een aantal secundaire overwegingen in de selectie mee te nemen. Firewall Bij de selectie van de firewall gaan we er voor het gemak van uit dat deze goed kan samenwerken met de andere componenten die u nodig heeft. Dus een gebruiker die langs de firewall gaat wordt automatisch gevalideerd aan de bestaande directory (bijvoorbeeld AD of NDS) en vandaar wordt gekeken of de site die opgevraagd wordt ook daadwerkelijk toegestaan is. Wanneer in deze situatie zowel software als hardware oplossingen beschikbaar zijn kan men de volgende voor- en nadelen onderscheiden: onderscheidend vermogen hardware oplossing Besturingssysteem Vaak onbekend (pre) en gemaakt voor de functie van de toepassing (veiligheid). Functionaliteit Beheer
Vaak beperkter omdat de toepassing specifiek voor de ‘black box’ geschreven is. Vaak minimale beheersinspanningen omdat de oplossing minder kwetsbaar is. Kennis van het specifieke systeem is echter vereist.
software oplossing Vaak standaard en daardoor per definitie bekender voor kwaadwillenden en multipurpose opgezet (dus moet veilig gemaakt worden). Vaak meer mogelijkheden omdat de software voor een breed geaccepteerd platform geschreven is. Vaak intensiever beheer in verband met ‘openheid’ van het onderliggend platform. Software oplossingen zijn vaak iets gebruiksvriendelijker.
IDS Intrusion detection functionaliteit is vaak een integraal onderdeel van een beveiligingsoplossing. Er bestaan sensoren voor netwerken (bijvoorbeeld voor de DMZ), hosts, servers en databases. Allemaal herkennen ze specifieke aanvallen en alarmeren de beheerders bij ongeregeldheden (iets wat een firewall doorgaans maar in zeer beperkte en onvoldoende mate kan).
22
Bij de selectie van een IDS systeem is het interessant te onderzoeken HOE de beheerder gesignaleerd kan worden. Is dit alleen via de management console of kan er ook een e-mail of SMS gestuurd worden? Verder is het, wanneer er verschillende soorten sensoren gebruikt worden, van belang te weten of events (vermeldenswaardige activiteiten) komende vanaf de diverse sensoren vanuit 1 centrale console afgelezen kunnen worden. Qua functionaliteit ontlopen de verschillende aanbieders elkaar niet zo veel. Uitzoeken welke aanvallen nu wel of niet herkend worden is dus niet zo belangrijk. Wil men toch op de inhoud selecteren, dan is het beter te beoordelen hoe de aanbieder de database met signatures (bekende aanvalpatronen) bijhoudt en hoe frequent er updates aangeboden worden. URL filtering Wanneer het voor uw bedrijf belangrijk is om internet bestemmingen af te schermen, selecteer dan een pakket dat integreert in uw directory service (bijvoorbeeld NDS of AD). Op deze manier voorkomt u dubbel gebruikersbeheer. Koppeling kan ook bijvoorbeeld via RADIUS of Tacacs maar maakt het (vaak) onnodig complex. Sommige oplossingen werken ook samen met firewalls voor authenticatie, handig wanneer u bijvoorbeeld vanaf verschillende netwerken met dezelfde oplossing uit de voeten wilt. De verschillende fabrikanten gebruiken diverse manieren van categoriseren en algoritmen voor selectie van sites binnen de categorieën. Een website als rooieoortjes.nl is niet te blokkeren wanneer er niet echt op paginatekst wordt beoordeeld. Ook is het handig wanneer de database ook IP adressen bijhoudt zodat de beveiliging niet door de gebruiker omzeild kan worden door het simpel intikken van thuis opgezochte IP adressen. Wees er aan de andere kan van bewust dat 80% blokkeren voldoende demotivatie bij medewerkers moet opleveren. Bij sommige pakketten is het zelfs mogelijk om op zoekmachines ongeoorloofde content te vinden. Content scanning Wanneer content scanning tools een integraal onderdeel van de beveiligingsoplossing moet worden zal bij de selectie nadruk op moeten liggen op specifieke protocollen. Sommige oplossingen zijn sterker in smtp en http dan in ftp of gopher. Maakt u ook gebruik van url filtering, dan is het van belang dat er een mogelijkheid is om verkeer te cascaderen tussen verschillende componenten. Kijk bij het selecteren van een content scanning tool ook naar de databases die gebruikt worden door de fabrikant. Als dit niet dezelfde database gebruik als de op uw beveiligde netwerk gebruikte virusdetectie programmatuur, dan kunt u voor e-mail verkeer een ‘second line of defense’ creëren.
23
7.
BESPAREN OP VERBINDINGSKOSTEN MET VPN
7.1
Inleiding
Elke organisatie zal zich af en toe af moeten vragen of er niet te veel betaald wordt voor de verbindingen met andere vestigingen, thuisgebruikers, mobiele werknemers, netwerken van klanten/leveranciers of internet. Vaak zijn externe koppelingen in de loop der tijd opgezet op basis van toen beschikbare technieken en contracten. Door alle verbindingswijzen en bijbehorende kosten op een rij te zetten kan een bedrijf veel besparen. Dit document geeft een overzicht van verschillende verbindingsmogelijkheden en gaat in op de voor en nadelen alsmede de mogelijke kostenbesparingen die gerealiseerd kunnen worden. 7.2
De uitdaging
De vraag naar bandbreedte neemt snel toe. Met de invoering van e-mail en internet op de werkplek wordt er zowel onderling (tussen vestigingen) als extern (met klanten en leveranciers) veel meer informatie uitgewisseld dan enkele jaren geleden. Maar ook het centraliseren van systemen waarbij gebruikers op afstand met de applicatie communiceren en het koppelen van systemen tussen klant en leverancier (EDI/XML) stuwt de vraag naar bandbreedte voort. Bijna elke onderneming, maar in het bijzonder bedrijven met meerdere vestigingen, kunnen maandelijks veel geld besparen op hun verbindingskosten door het inzetten van de juiste technologie. Allereerst zullen wij de verschillende mogelijkheden even kort opsommen. ISDN Met ISDN is op relatief snelle en eenvoudige wijze een 64 of 128k verbinding naar het internet tot stand te brengen. Indien u of uw medewerkers weinig e-mail ontvangen, slechts een klein gedeelte van de dag browsen op het internet en wanneer u geen "hosting"-activiteiten zoals webof VPN-apparatuur ontplooit c.q. op kortere termijn gaat ontplooien, is ISDN een interessante keuze. Het nadeel van ISDN is echter dat de kosten variabel zijn en u op basis van een inschatting de kosten moet ramen. Bovendien is de 64K of 128K bandbreedte die ISDN biedt niet echt meer toereikend voor hedendaagse toepassingen. Er bestaat inmiddels overigens wel een zogenaamde flat fee ISDN. Deze vorm bestaat uit een gewone ISDN-2 lijn die continu in verbinding staat. Relatief duur gezien de nog steeds beperkte bandbreedte maar altijd nog goedkoper dan een huurlijn. Huurlijn Wanneer u permanente koppeling wenst, of wanneer dit voor u aanschaf van een huurlijn een logische keuze. Met een huurlijn betaalt u een vast bedrag per maand en zijn de kosten derhalve niet meer (zoals bij ISDN) afhankelijk van het aantal malen en de tijdsduur dat verbinding met het internet tot stand is gebracht. De huurlijnen zijn zeer stabiel en hiermee kan een bedrijfszekere koppeling worden gerealiseerd. Over het algemeen wordt gesteld dat de kosten voor huurlijnen redelijk hoog zijn maar een break-even point met ISDN is te berekenen. Kabel Met een (centrale antenne) kabelaansluiting kunt u tegen een relatief laag maandbedrag permanent on-line zijn op internet. Het nadeel van een kabelaansluiting is dat een dergelijke fysieke koppeling een gedeeld medium betreft, hetgeen concreet inhoudt dat de beschikbare bandbreedte sterk afhankelijk is van het gebruik van andere organisaties die op dezelfde infrastructuur aangesloten zijn. Dit maakt het gebruik van kabelaansluitingen over het algemeen
24
minder bedrijfszeker. Een ander nadeel is dat een kabelaansluiting vaak niet op grote industrieterreinen aanwezig is en veel bedrijven er derhalve geen gebruik van kunnen maken. (A)DSL Met ADSL worden de voordelen van een huurlijn en een kabelmodem voor een groot gedeelte gecombineerd; er is een directe point-to-point verbinding met een Internet Service Provider tegen een relatief laag maandbedrag. Het is echter voor Webhosting en VPN-activiteiten noodzaak dat u gebruik kunt maken van een geregistreerd IP-subnet, zodat u ook daadwerkelijk rechtstreeks met "echte publieke IP-adressen" op het internet aanwezig bent. Deze opzet is (nog) lang niet voor iedere ADSL-provider vanzelfsprekend. Verder verschillen de aanlogprocedures, de beschikbaarheids-verwachtingen en "oversubscription-rates" per aanbieder behoorlijk, zodat het zaak is voldoende onderzoek op dit gebied te verrichten. Private IP networks Dan zijn er ook nog de netwerken die verkocht worden als prive. Binnen het netwerk van de provider worden circuits geprogrammeerd om van punt A naar punt B te komen. De technologie die hiervoor gebruikt wordt verschilt per provider. Over het algemeen kan gesteld worden dat men bij een dergelijke verbindingstype duur uit is, maar dat het beheer in zijn geheel door de provider wordt uitgevoerd. Ook Quality of Service is vaak een optie. 7.3
De oplossing
Vaak zien we dat er verschillende ontsluitingsmethodieken worden toegepast voor verschillende doeleinden, bijvoorbeeld: Toepassing Mobiele/telewerkers (externe) vestigingen Internet
Technologie ISDN/PSTN Vaste verbindingen en/of Frame-Relay DSL of huurlijnen
Als de verschillende communicatiestromen goed in kaart worden gebracht, kan vervolgens een herontwerp gemaakt worden. Door inzet van nieuwe technologie is het dan mogelijk aanzienlijke kostenbesparingen door te voeren. Wist u bijvoorbeeld dat al bij een afstand van zeven kilometer tussen twee bedrijfsvestigingen een koppeling op basis van DSL in combinatie met VPN technologie twee tot acht keer sneller en ook goedkoper is dan een vaste verbinding? Ook voor de koppeling met internet zijn inmiddels betrouwbare en veilige DSL oplossingen realiseerbaar. Als alternatief voor ISDN bespaart u al kosten bij een verbindingstijd van twee uur per dag. Het grote voordeel van het gebruik van DSL technologie is dat u ook verschillende soorten verkeer over dezelfde lijn kunt combineren. Bijvoorbeeld in het geval u vestigingen wilt koppelen en ook internet toegang voor deze vestigingen wilt realiseren, kan dit met 1 DSL verbinding per vestiging. In dit kader is het ook mogelijk om over dezelfde lijn ook nog toegang voor externe gebruikers mogelijk te maken, ter vervanging van een access server of andere inbelvoorzieningen. Wat is VPN precies? VPN staat voor Virtual Private Network. Eigenlijk maakt dit ‘best of both worlds’ mogelijk door een flexibel privé netwerk te creëren over een bestaand en goedkoop publiek netwerk als het Internet.
25
VPN maakt gebruik van encryptie. Tussen twee punten wordt daarmee een tunnel opgebouwd waardoorheen op een veilige wijze gecommuniceerd kan worden. VPN kan zowel gebruik worden tussen twee netwerken (bijvoorbeeld tussen vestigingen) als tussen een netwerk en een computer (bijvoorbeeld in een thuiswerk situatie).
Figuur 1: site to site VPN Een dergelijke setup kan al geld besparen omdat twee DSL verbindingen naar een Internet Service Provider vaak al goedkoper is dan één vaste verbinding tussen de twee sites. Maar wanneer verschillende verbindingsvraagstukken op eenduidige wijze worden geïntegreerd, zijn er nog meer besparingen te maken. In Figuur 2 werken we de volgende case uit: ∗ hoofdvestiging met veilige internet ontsluiting voor WEB en MAIL verkeer; ∗ twee subvestigingen die gebruik maken van centrale faciliteiten en applicaties; ∗ thuisgebruikers die gebruik maken van centrale faciliteiten en applicaties.
26
Figuur 2: Multi site VPN De voordelen zijn evident: aspect Snelheid Prijs Veiligheid Beheer 7.4
voordeel Veel bandbreedte mogelijk door toepassen DSL verbindingen Goedkoop door gebruik te maken van Internet voor de lange afstand Optimaal door circuits te definiëren en data versleuteld te versturen Optimaal zelf te beheren i.p.v. dure SLA’s met providers
Kwaliteitsaspecten
Vanzelfsprekend kan men stellen dat aan het gebruik van Internet om verbindingen tot stand te brengen ook wat nadelen kleven. Zo is er geen absolute garantie af te geven omtrent de performance. Bovendien is niemand verantwoordelijk voor de beschikbaarheid van het Internet waardoor de bedrijfszekerheid niet gegarandeerd kan worden. Omdat er een continu verbinding met een publiek netwerk bestaat, wordt ook de beveiliging van het internet netwerk en van de verbindingen een aandachtspunt. Een aantal van deze nadelen zijn echter tegen te gaan. Hierbij kan men denken aan het inzetten van packetshapers om verkeer te prioriseren en van de beschikbare bandbreedte altijd een bepaald percentage te reserveren voor kritisch verkeer. Of het inzetten van firewalls om het interne netwerk te beschermen. Dit is echter altijd maatwerk. Het is daarom belangrijk bij het (her)ontwerpen van een Wide Area Network goed de verschillende kwaliteitsaspecten van verkeersstromen te inventariseren. Hulp van een specialistische partij is daarbij van belang en hoeft ook niet duur te zijn. Door een goed beveiligd en uitgebalanceerd Wide Area Network te laten ontwerpen, kunt u inclusief de
27
afschrijving van benodigde apparatuur en diensten ter beveiliging en opwaardering van de kwaliteitsaspecten nog steeds enorme besparingen realiseren op uw maandelijkse verbindingen. 7.5
Een rekenvoorbeeld
Verbinding HFD-SUB A Verbinding HFD-SUB B Verbinding Internet Verbinding Thuiswerkplek
nu 950 850 650 450
DSL/VPN 135 135 135 135
In 3 jaar bespaart u: 2.900*36 -/- 1.040*36 = 66.960
28
afschrijving 125 125 125 125
totaal 260 260 260 260
8.
IBIZ INFORMATIE BEVEILIGING EN IMPLEMENTATIE IN DE ZORG
Deze paragraaf is opgenomen met toestemming van de afdeling NEN-Gezondheidszorg. © Copyright 2002 NEN. Norm voor informatiebeveiliging in de zorg, klaar voor implementatie De kwaliteit van dienstverlening in de zorgsector is een zaak van groot belang, soms zelfs van levensbelang. Om patiënten het gewenste niveau van zorg te kunnen bieden is het noodzakelijk dat zorgverleners op ieder moment over betrouwbare informatie kunnen beschikken. Tegelijkertijd is het van belang die gevoelige informatie uit handen te houden van ongeautoriseerde partijen: de privacy van de patiënt moet worden beschermd. De gewenste beschikbaarheid van informatie en de beveiliging daarvan lijken vaak met elkaar op gespannen voet te staan. Deze twee aspecten samenbrengen vraagt om nauwkeurige afwegingen. De speciaal voor de gezondheidszorg ontwikkelde norm voor informatiebeveiliging in de zorg kan hierbij helpen. Deze norm is in het project IBIZ (Informatie Beveiliging en Implementatie in de Zorg) ontwikkeld, samen met een implementatieplan, dat de invoering van de norm vergemakkelijkt. De norm voor informatiebeveiliging in de zorg beschrijft het kader waarbinnen iedere eigenaar van een zorgproces de voor zijn/haar proces relevant geachte informatiebeveiliging bepaalt. Informatiebeveiliging wordt in de norm beschreven als een continu verbeterproces. Zo kan een organisatie eenvoudig starten of voortbouwen op haar eigen, reeds genomen maatregelen. Naast de norm is voor zeven organisatievormen in de zorg een aparte toelichting ontwikkeld, te weten voor een algemeen ziekenhuis, een psychiatrische instelling, een thuiszorgorganisatie, een netwerk waarin verschillende zorgaanbieders informatie delen, een praktijk voor fysiotherapie, een huisartsenpraktijk en een streeklaboratorium. Sommige organisaties zijn verder in het denken over kwaliteitszorg en informatiebeveiliging dan andere. Door de diversiteit in de zorg en de verschillen tussen organisaties onderling is er behoefte aan een grote variëteit in aan te bieden hulpmiddelen. In het implementatieplan is een aantal hulpmiddelen ontwikkeld die in verschillende zorginstanties gebruikt kunnen worden. De hulpmiddelen zijn voorgelegd aan zeven voorbeeldorganisaties, die enthousiast ermee van start, of verder zijn gegaan. Tijdens een symposium ’IBIZ vliegt uit’ op 20 november 2002 zijn geïnteresseerden geïnformeerd over het belang en de inhoud van de nieuwe norm voor informatiebeveiliging in de zorg. NEN Normcommissie Informatiebeveiliging in de Zorg Het project IBIZ is uitgevoerd in opdracht van de NEN Normcommissie Informatiebeveiliging in de Zorg, die bestaat uit deskundigen van belanghebbende partijen, die op vrijwillige basis activiteiten ontplooien binnen deze commissie. Naast deze norm en het implementatieplan voor informatiebeveiliging in de zorg, ontwikkelt de normcommissie momenteel een algemene norm voor autorisatieprotocollen (tussen zorgverleners) en autorisatieprofielen (voor patiënten). NEN-Gezondheidszorg Houdt zich specifiek bezig met de ontwikkeling van normen in de zorgsector. De consultants kennen de inhoud van Europese Richtlijnen en normen. Zij kunnen u adviseren over het belang daarvan voor uw organisatie. Op initiatief van één of meerdere marktpartijen, de overheid of de
29
afdeling zelf, begeleiden de consultants normalisatieprocessen in de zorgsector. Als onafhankelijk adviseur en coördinator dragen ze bij aan het formuleren van de afspraken die vastgesteld worden in normen, of aan het opstellen van het beleid en de strategie van een normcommissie. Of u nu actief deel wilt nemen aan de totstandkoming van normen, of gewoon meer informatie wenst over de toepassing ervan, u kunt voor informatie terecht bij NENGezondheidszorg. Normalisatie: een kwestie van meer resultaat en meer kwaliteit door goede afspraken op nationaal, Europees en internationaal niveau. NEN-Gezondheidszorg Vlinderweg 6, 2623 AX Delft, Postbus 5059, 2600 GB Delft, NL Telefoon: + 31 (0)15 2 690 444 of (015) 2 690 309 Fax + 31 (0)15 2 690 238 www.nen.nl e-mail:
[email protected] Er is een gedeelte op de NEN website dat informatie geeft over de status van de ontwikkelingen rond om de norm: http://www.nen.nl/nl/act/spec/ibiz/ .
30
