Operatie geslaagd, patiënt overleden: Beveiligingskaders, compliance, ISO-normeringen leiden niet tot veiligere systemen Principe gebaseerde IT-security als alternatief
Auteur: Reinout Dotinga Quality Assured Services B.V. Thorbeckestraat 53 2613 BV DELFT KvK 60679905
INHOUDSOPGAVE: 1.
INLEIDING
3
2.
ONTWIKKELINGEN IN SECURITY BEDREIGINGEN
4
3.
PRINCIPE GEBASEERDE IT SECURITY
6
4.
SECURITY DIENSTEN
7
5.
CONCLUSIE
9
20151201 Operatie geslaag patient overleden.docx
1 december 2015
2/9
Copyright: Dit artikel is intellectueel eigendom van QA Services BV en valt onder het auteursrecht. Zonder toestemming van QA Services BV mag niets uit dit artikel gekopieerd worden. Wel mag het artikel integraal verspreid worden onder vermelding van de bedrijfsnaam van QA Services.
1. Inleiding In een wereld die steeds meer draait om veiligheid en waar organisaties worden overstelpt met normenkaders, beveilgingsonderzoeken, auditors en ‘second opinions’ is de constatering dat organisaties er niet veiliger op geworden zijn. Virussen dringen nog steeds binnen, banken worden nog steeds met DDOS aanvallen bestookt, Social Engineering is aan de orde van de dag en CEO fraude is bij menig boekhouder het eerste waar hij aan denkt als de CEO hem toevallig belt. Kortom meer dreigingen dan ooit. En dan hebben we het nog niet over het niveau zoals Snowden dat beschrijft. Ondertussen worden we in slaap gesust door allerlei leveranciers die ons vertellen dat ze ISO27001 en 27002 compliant zijn. De vraag die niemand daarbij stelt is: waarvoor bent u eigenlijk gecertificeerd. De harde werkelijkheid is dat op een uitzondering na geen enkele leverancier al zijn diensten beveiligd heeft conform deze normen. De vervolgvraag die de argeloze lezer op dat moment moet stellen is “en hoeveel beveiligingsincidenten heeft u gehad?” Het eerlijke antwoord is dat de meeste organisaties dat niet weten, omdat ze simpelweg niet alle incidenten meten en als ze het al meten niet met de billen bloot willen. De overheid heeft haar eigen normenkader voor beveiliging vastgesteld, het BIR. Een normenkader dat is afgeleid van ISO27001/2 en dat een aantal aanvullingen bevat. Collectief wordt dit kader opgelegd aan externe partijen die vervolgens hun eerdere deelcertificaten laten zien om aan te tonen dat ze echt compliant zijn. Toch is er een aantal bedrijven die het wel goed voor elkaar heeft. Ga eens kijken bij Exxon, ING of Rabobank en je zult zien dat ze op het normale niveau van beveiligen ze het goed voor elkaar hebben. Betekent dat dat er bij hen nooit iets fout gaat? Nee, natuurlijk hebben ook zij te maken met hacks. De aard, zo je wil kwaliteit, hiervan is echter van een substantieel hoger niveau dan waar het gemiddelde bedrijf mee te maken heeft. De interessante vraag is waarom doen dit soort bedrijven het beter dan gemiddeld. Het antwoord is simpel. Zij gaan uit van een principe gebaseerd normenkader in plaats van een regels gebaseerd normenkader. In veel boekjes heet dit inmiddels Risk Based Security. De Amerikaanse overheid heeft inmiddels deze standaarden overgenomen in de vorm van NIST. Dit artikel gaat dieper in op de achtergronden van Principe gebaseerde beveiliging en hoe IT security diensten hier op kunnen inspelen en welke verwachtingen wij hebben ten aanzien van de ontwikkeling van dergelijke diensten.
Referenties: https://en.wikipedia.org/wiki/Application_security#Security_standards_and_regulations http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf 20151201 Operatie geslaag patient overleden.docx
1 december 2015
3/9
Copyright: Dit artikel is intellectueel eigendom van QA Services BV en valt onder het auteursrecht. Zonder toestemming van QA Services BV mag niets uit dit artikel gekopieerd worden. Wel mag het artikel integraal verspreid worden onder vermelding van de bedrijfsnaam van QA Services.
2. Ontwikkelingen in security bedreigingen Hadden we we enkele jaren vooral last van security threats en was de kans dat het ons zou raken relatief klein en de impact vaak ook beperkt, dan gaat dat al niet meer op voor vandaag. Wie heeft er niet mee gemaakt dat hij geen betaling kon doen omdat zijn bank niet beschikbaar was; wie kent er niet iemand wiens google account is gehacked of nog erger wiens PC is geblokkeerd door Ransomware. Het gebeurt in toenemende mate om ons heen en de statistieken liegen er niet om. De trend is dat het erger wordt, niet beter.
Bron: SC Magazine, maart 2015, http://www.scmagazine.com/march-2015-threatstats/slideshow/2509/#7 Als we de groep met security bedreigingen verder afpellen dan zien we de volgende categorieën met security bedreigingen (bron Symantec): 1. Mobiele apparaten: Niet alleen de klassieke mobiele telefoons en tablets zijn mobiele apparaten met intelligentie, maar vrijwel elk apparaat met en computerchip erin. Denk aan slimme koelkasten die netjes aangeven dat er niets in de koelkast ligt en je de deur de laatste week niet hebt opengedaan. Inbrekers lopen met scanner door een wijk om een geschikte kandidaat uit te zoeken. Kortom elk apparaat levert nieuwe risico’s op. Het afgelopen jaar hebben we een paar mooie voorbeelden voorbij zien komen van autoleveranciers (bv. Volkswagen en Jeep). 20151201 Operatie geslaag patient overleden.docx
1 december 2015
4/9
Copyright: Dit artikel is intellectueel eigendom van QA Services BV en valt onder het auteursrecht. Zonder toestemming van QA Services BV mag niets uit dit artikel gekopieerd worden. Wel mag het artikel integraal verspreid worden onder vermelding van de bedrijfsnaam van QA Services.
2. Web bedreigingen: Volgens onderzoek van Symantec uit 2014 is 75% van alle websites kwetsbaar en 20% zelfs kritiek, dat wil zeggen dat als de beveiliging zo lek als een mandje is. Toch vertrouwen we sites zonder erover na te denken, zeker als we iets nodig hebben. Zelfs als de webbrowser waarschuwt dat je naar een onveilige website gaat, klikken de meeste gebruikers gewoon op ok. Vaak hebben ze de waarschuwing niet begrepen of al te vaak gehad. 3. Social media oplichting: Dit is een domein in opkomst. Steeds vaker worden mensen misleid door mooie aanbiedingen die ze krijgen via Facebook of andere social media. In het verleden was dat vooral een spelletje van centraal een link plaatsen en wachten tot iemand erop klikt. Tegenwoordig wordt het spel steeds meer op het individu gericht en het slachtoffer gegroomd of gesocial engineerd wordt. (Voorbeelden zijn te vinden in de hack bij Belgacom van vorig jaar) 4. Gerichte aanvallen: Naast de aanvallen om een bedrijf of instantie niet beschikbaar te maken via een DDOS aanval, zien we ook veel gerichte aanvallen op bedrijven door middel van Phishing mails. Traditioneel waren deze vaak lachwekkend slecht ingestoken door standaard teksten met taalfouten of naamfouten erin, maar inmiddels zie je zeer geloofwaardige mails. In een recent onderzoek bij een overheidsorganisatie bleek van een dergelijke testmail die rondgestuurd was dat 26% van de medewerkers aan wie de mail gericht was hierop klikte. 5. Diefstal van informatie: Het stelen van wachtwoorden en pincodes dat weten de meeste mensen wel, maar er wordt door hackers steeds meer andere informatie verzameld, zoals hoe worden betalingen verricht binnen een bedrijf, welke personen zijn hiervoor geautoriseerd en hoe kunnen we de interne controles omzeilen. Dergelijke informatie maakt bedrijven en organisaties enorm kwetsbaar. 6. Malware: Malware is er in allerlei vormen en maten. Van een zeer geavanceerd stuxnet virus (waar de source code van op Internet is te vinden) tot complete malware toolkits die gekocht kunnen worden en waar je je eigen virus of malware mee kunt bouwen. Onderstaand staatje geeft aan wat een gemiddelde hacker kan verdienen aan gestolen informatie:
Bron: Symantec, Whitepaper on Internet Security, 2015 20151201 Operatie geslaag patient overleden.docx
1 december 2015
5/9
Copyright: Dit artikel is intellectueel eigendom van QA Services BV en valt onder het auteursrecht. Zonder toestemming van QA Services BV mag niets uit dit artikel gekopieerd worden. Wel mag het artikel integraal verspreid worden onder vermelding van de bedrijfsnaam van QA Services.
Referenties: https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internetsecurity-threat-report-volume-20-2015-social_v2.pdf http://software.dell.com/documents/protecting-the-organization-against-the-unknownwhitepaper-27396.pdf https://heimdalsecurity.com/blog/10-critical-corporate-cyber-security-risks-a-datadriven-list/
3. Principe gebaseerde IT Security De meeste bedrijven en overheidsinstanties hebben een beveiligingsbeleid dat is gebaseerd op ISO 27001 en ISO 27002, gebaseerd op het veel oudere British Standards 7799. De oorsprong van BS 7799 gaat terug tot de Mainframetijd van de jaren 80 en was oorspronkelijk bedoeld als een best practices richtlijn. Geleidelijk aan werd de best practice de norm en zagen we achterliggende gedachte van risico gericht1 denken verdwijnen. Door de decentralisatie van computers werd beveiliging dermate complex - het aantal componenten en bouwstenen in de IT nam immers exponentieel toe - dat men deze set van best practices geleidelijk aan uitbreidde tot er een normatieve set van gemiddeld 750 maatregelen in stonden. Dat ging goed zolang het in een boekje stond en veel bedrijven waren nog in staat om in de opzet het in te richten, maar in het bestaan en de werking werd het vergeten. Dan kwam er weer een dure auditor langs die de ‘incompliancies’ aantoonde en de organisatie ging weer hard rennen om de volgende verbeterslagen uit te voeren. De IT bleef niet stil staan, maar groeide exponentieel door. En geen enkel security beleid voorzag in de nieuwe dreigingen. Wie wist er tot 3 jaar geleden – voor het news of the world schandaal dat zijn voicemail op afstand afgeluisterd kon worden met de pincode ‘0000’. Of wie had er ooit over nagedacht dat zijn facebook account gebruikt kon worden om te zien wanneer het handig was om in te breken. De praktijk is dat de meeste mensen zich niet druk maken om de risico’s en dat de organisaties niet over hun eigen grenzen kijken. Welk risico een bedrijf loopt met een medewerker die zich blootgeeft op social media is niet iets wat we snel terug zullen vinden in het beveiligingsbeleid. Ook een gedragscode voor het gebruik van LinkedIn zijn wij recentelijk nog niet tegengekomen. Om hier los van te komen moeten we teruggaan naar de basis van risico management. We moeten zowel gebruikers als organisaties in de modus krijgen dat ze regelmatig afvragen welk risico loop ik met een bepaalde handeling of transactie. Wie kan erbij en waarom? Om dit mogelijk te maken moeten we ook het aantal regels of normen terugbrengen. In de bijbel wist men het al. 10 geboden, niet meer en niet minder. De gedachte achter principle based security is dat je probeert in een 10-tal principes het beveiligingsbeleid te definiëren. Door hier korte overwegingen bij te zetten, leg je de verantwoordelijkheid voor de beveiliging weer terug waar die hoort, namelijk bij de eigenaar van het risico en niet een of andere systeembeheerder in de kelder, die eigenlijk het risico niet snapt, dan wel zich er niet verantwoordelijk voor voelt.
1
Nog steeds staat Risico Management in de inleiding van ISO 27001, maar tegen de tijd dat de gemiddelde security officer bij pagina 70 is aangekomen is hij dat inmiddels vergeten.
20151201 Operatie geslaag patient overleden.docx
1 december 2015
6/9
Copyright: Dit artikel is intellectueel eigendom van QA Services BV en valt onder het auteursrecht. Zonder toestemming van QA Services BV mag niets uit dit artikel gekopieerd worden. Wel mag het artikel integraal verspreid worden onder vermelding van de bedrijfsnaam van QA Services.
Een voorbeeld van een risicogericht principe kan zijn: De identiteit van een gebruiker moet verifieerbaar en integer zijn. Waar nodig moet een gebruiker zich kunnen identificeren aan de hand van iets dat hij weet en iets dat hij meebrengt. Afhankelijk van het risico kan dit verschillend uitgelegd worden. Zo zal voor de meeste organisaties het volstaan om de gebruiker aan de hand van zijn mailadres te identificeren, maar zijn er ook organisaties die dat op zich al een risico vinden en dus kiezen voor een anoniem account in de vorm van een nummer. Nu zal de vraag van de lezer zijn, kom geef mij mijn 10 principes en dan kan ik weer verder. Het antwoord is dat principes persoonlijk en bedrijfsgebonden moeten zijn. Zo zouden wij voor een bank (de financiële transactie moet integer en verifieerbaar zijn), een retailorganisatie (de logistieke transactie moet integer en verifieerbaar zijn) of de AIVD (de verzamelde informatie moet integer en verifieerbaar zijn) een andere set met principes bedenken, die de bedrijfsrisico’s reflecteren. De achterliggende gedachte is dat het makkelijker is om een 10-tal principes regelmatig te evalueren dan een set met honderden normen. Vooral dit evalueren en continu heroverwegen van de risico’s aan de hand van nieuwe dreigingen is wat effectief blijkt in de praktijk. Het is bovendien makkelijk aan mensen uit te leggen en legt de verantwoordelijkheid terug bij de risico-eigenaar, die mensen om zich heen kan verzamelen om het risico te identificeren en potentiele maatregelen kan benoemen. Tenslotte moeten we ook af van het idee dat alles veilig is te maken. Een mooi voorbeeld kwam van een generaal die ik enige tijd geleden sprak en die mij vertelde dat hij gedurende een oefenmissie een document niet kon openen dat hij nodig had voor de missie, omdat de beveiligingsnormen dat niet toestonden. Uiteindelijk stuurde hij het vertrouwelijke document maar door naar zijn hotmail account, zodat hij de informatie kon lezen. Het bleek essentiële informatie voor het slagen van de oefenmissie. Dit voorbeeld, dat ik enigszins heb geanonimiseerd, geeft aan wat veel gebruikers doen als de beveiligingsnormen te strikt zijn. Ze gaan daar naar toe waar ze er wel mee kunnen werken.
Referenties: https://nl.wikipedia.org/wiki/Bs_7799 https://nl.wikipedia.org/wiki/ISO/IEC_27001 http://www.nist.gov/
4. Security diensten De vraag is wat betekent dit nu voor de huidige inrichting van security. Om te beginnen zullen bedrijven en overheden, voor zover zij die niet al in gang hebben gezet, hun securitydiensten integraal moeten bekijken. Niet meer elke leverancier verantwoordelijk maken voor zijn of haar deel van de beveiliging, maar een ketengerichte benadering. Hiermee wordt voorkomen dat elke leverancier op zichzelf de zwakste schakel in de keten is.
20151201 Operatie geslaag patient overleden.docx
1 december 2015
7/9
Copyright: Dit artikel is intellectueel eigendom van QA Services BV en valt onder het auteursrecht. Zonder toestemming van QA Services BV mag niets uit dit artikel gekopieerd worden. Wel mag het artikel integraal verspreid worden onder vermelding van de bedrijfsnaam van QA Services.
Specifiek
Generiek
Vervolgens maken we onderscheid tussen een aantal generieke diensten en specifieke IT security diensten. Generieke diensten zijn zaken die voor allerlei organisaties toepasbaar zijn. Daarnaast zien we een aantal specifieke diensten die juist meer sector gebonden zijn en voor de sector een specifieke invulling krijgen. Denk bv. aan het certificatenbeheer bij een bank in het kader van telebankieren. Dienst
Korte omschrijving
Intrusion Detection and Prevention
Voorkomen dat er mensen of systemen binnenkomen
User Oversight
Zetten van toegangsrechten, toezicht op gebruikers, voorkomen social engineering en context & log reviewing
Resilience
Voorkomen dat systemen uitvallen en wapenen tegen cyberaanvallen (DDOS, hacking)
Transactie Based Security
Voorkomen dat transacties gedurende transport worden gewijzigd (block chain technology), certificaat beheer en uitgifte
Systeem Accountability
Toezicht op gebruik, gebruikers en applicaties. zetten van rechten, etc
Encryption.
Versleuteling middels (NCSC) gecertificeerde technologie
Testing
Penetratietesten, insider trading, etc
Detection
Digitaal sporenonderzoek
Op basis van onze ervaring schatten we de verdeling van deze activiteiten voor een transactie-verwerkende organisatie als volgt in:
Transactie Based Security 5%
Systeem Accountability 26%
Resilience 15%
Overig 8%
User Oversight 26%
Testing 4%
Intrusion Detection and Prevention 20%
20151201 Operatie geslaag patient overleden.docx
Detection 2%
Encryption 2%
1 december 2015
8/9
Copyright: Dit artikel is intellectueel eigendom van QA Services BV en valt onder het auteursrecht. Zonder toestemming van QA Services BV mag niets uit dit artikel gekopieerd worden. Wel mag het artikel integraal verspreid worden onder vermelding van de bedrijfsnaam van QA Services.
5. Conclusie In een wereld die steeds meer draait om beveiliging en waar organisaties worden overstelpt met normenkaders, beveilgingsonderzoeken, auditors en ‘second opinions’ is de constatering dat organisaties er niet veiliger op geworden zijn. Virussen dringen nog steeds binnen, banken worden nog steeds met DDOS aanvallen bestookt, Social Engineering is aan de orde van de dag en CEO fraude is bij menig boekhouder het eerste waar hij aan denkt als de CEO hem toevallig belt. Kortom meer dreigingen dan ooit. En dan hebben we het nog niet over het niveau zoals Snowden dat beschrijft. De conclusie is dan ook dat beveiliging anders moet worden ingericht. Niet langer proberen om beveiliging eenmalig in te richten en de sleutel vervolgens ver weg leggen, maar continu afwegen van risico’s. Daartoe moeten de kaders veranderen. Niemand kan op maandbasis (laat staan dagelijks) de risico’s toetsen ten opzichte van de actualiteit met een normenkader met gemiddeld 750 maatregelen. Kortom het moet simpeler en transparanter. Het antwoord op deze vraag is in onze visie principle based security. Vergelijkbaar met de bijbel maak je voor een organisatie een 10 tal principes, waarbij je aangeeft wat de overweging van dit principe is. Een gebruiker kan deze 10 principes makkelijk toetsten ten opzichte van zijn dagelijkse praktijk. Bedrijven die dit al langer doen blijken als gevolg hiervan beter beveiligd dan bedrijven die slaafs een normenkader (bv. ISO 27001) volgen. QA Services is een adviesbureau gespecialiseerd in complexe IT vraagstukken. Op basis van onze ervaringen plaatsen wij het vraagstuk in de business context en realiseren we daadwerkelijke veranderingen. Onder andere op het gebied van IT security voeren wij Audits uit, maken beleidsstukken en helpen deze implementeren.
Copyright: Dit artikel is intellectueel eigendom van QA Services BV en valt onder het auteursrecht. Zonder toestemming van QA Services BV mag niets uit dit artikel gekopieerd worden. Wel mag het artikel integraal verspreid worden onder vermelding van de bedrijfsnaam van QA Services.
20151201 Operatie geslaag patient overleden.docx
1 december 2015
9/9
Copyright: Dit artikel is intellectueel eigendom van QA Services BV en valt onder het auteursrecht. Zonder toestemming van QA Services BV mag niets uit dit artikel gekopieerd worden. Wel mag het artikel integraal verspreid worden onder vermelding van de bedrijfsnaam van QA Services.
