Verborgen gebreken in de ‘defence in depth’ theorie Iedere beveiligingsprofessional kent waarschijnlijk het schillenconcept. Dit staat bekend onder verschillende benamingen zoals defence in depth of layers of defence. Het uitgangspunt
is
dat
een
goede
bescherming
is
opgebouwd
uit
verschillende
beschermingslagen. Mocht een beschermingslaag doorbroken worden, dan is er daarna een volgende beschermingslaag aanwezig om het gevaar te keren. Hoewel het concept veel wordt toegepast, is de theoretische achtergrond ervan niet altijd bekend. Hierdoor kunnen er cruciale gebreken in de toepassing sluipen met een soort schijnveiligheid tot gevolg. Security in de praktijk In de praktijk wordt het schillenconcept veelal toegepast door locaties of gebouwen in te delen in verschillende zones met verschillende beveiligingsniveaus. Een voorbeeld van een dergelijke zonering komt uit de veel toegepaste Haagse Methodiek. Hierbij wordt gebruik gemaakt van de indeling: observatiegebied, beveiligd gebied, vitaal gebied. Iedere zone wordt afgescheiden van de voorgaande en apart beveiligd. Veelal zijn de overgangen tussen de zones voorzien van toegangscontrole en zijn de afzonderlijke zones apart schakelbare inbraakdetectie-zones. Het schillenconcept wordt in de praktijk breed toegepast. Het in dit artikel beschreven ‘verborgen gebrek’ blijkt vrijwel overal te bestaan en niet bekend te zijn. Dit blijkt uit een onderzoek naar de relatie tussen fysieke en informatiebeveiliging, waarin de effectiviteit van security maatregelen is onderzocht. Theoretische verkenning Beschermingsmaatregelen worden genomen om ongewenste gebeurtenissen te voorkomen. Het meest eenvoudige maatregelenmodel is het hazard-barrier-target-model (zie figuur 1). Dit model gaat uit van een potentieel gevaar (risico). Zonder maatregelen kan dit gevaar leiden tot een ongewenst gevolg. Om te voorkomen dat dit plaats kan vinden wordt een beschermingsmaatregel (barrier) genomen.
Figuur 1: Het hazard-barrier-target-model
In de praktijk zal een maatregel (barrière) echter nooit 100% bescherming garanderen. Een barrière zal altijd “gaten” bevatten waardoor een potentieel risico zich toch kan manifesteren. Vanuit deze gedachte worden er dan extra barrières ingericht. Aangezien iedere barrière mogelijke “gaten” bevat, bestaat de kans dat deze in elkaars verlengde liggen en ook meerdere barrières nog steeds niet afdoende bescherming bieden. Het zogenaamde “Zwitserse kaas-model” is hierop gebaseerd (zie figuur 2).
Figuur 2: Het “Zwitserse Kaas” model van James Reason Het is dus zaak om iedere barrière te beoordelen op mogelijke gaten en opvolgende barrières zo in te richten dat juist deze gaten worden gedicht. Het concept met beveiligingsschillen is gebaseerd op deze onderliggende theorie. Zonder kennis van de theorie bestaat echter de kans dat er bij het inrichten van opeenvolgende beveiligingsschillen geen rekening gehouden wordt met de onvolkomenheden van de gerealiseerde barrières. In de praktijk worden verschillende schillen vaak met dezelfde technologie en maatregelen uitgerust. Layers of protection analysis (LOPA) In het vakgebied (proces)safety werkt men ook met een schillenconcept om procesrisico’s te beperken. Het LOPA-model is ontwikkeld door the Center for Chemical Process Safety (CCPS). Dit instituut heeft zich sinds de jaren 60 van de vorige eeuw beziggehouden met procesveiligheid. Vanuit deze jarenlange expertise is in 2001 het LOPA-model ontstaan. Het toepassen van dit safety-model in het security vakgebied heeft geleid tot interessante nieuwe inzichten. Om risico’s te beperken worden binnen LOPA opeenvolgende barrières geplaatst die, zoals eerder beschreven, nooit 100% effectief zullen zijn. Binnen het LOPA-model wordt dit “de kans op falen bij gebruik” genoemd en uitgedrukt in een percentage. Het LOPA-model biedt goede
mogelijkheden om de effectiviteit van een individuele maatregel en een systeem van maatregelen vast te stellen. In dit artikel zal verder aandacht worden besteed aan de voorwaarden die vanuit LOPA aan een barrière worden gesteld. Independent Protection Layer Binnen LOPA wordt een independent protection layer (IPL) geïntroduceerd. Een maatregel of barrière biedt alleen effectieve bescherming en mag alleen IPL worden genoemd als hij aan een aantal voorwaarden voldoet. De three Ds: detect, decide, deflect. De meeste barrières kunnen ongewenste afwijkingen detecteren, kunnen vervolgens besluiten actie te nemen of niet en zijn in staat het gevaar af te wenden. We kunnen deze voorwaarden toepassen op een secuity maatregel als bijvoorbeeld fysieke elektronische toegangscontrole.
Bij
het
aanbieden
van
een
toegangspas
kan
een
elektronisch
toegangscontrolesysteem deze detecteren. Vervolgens kan het systeem besluiten een toegang te openen of gesloten te laten op basis van vooraf ingestelde autorisaties. Tot slot is elektronische toegangscontrole in staat een mogelijk gevaar te weren door een toegang gesloten te laten. De three enoughs: big enough? fast enough? strong enough? Uiteraard dient een barrière te zijn ingericht voor de beoogde doelstelling. In het voorbeeld van elektronische toegangscontrole kan dit bijvoorbeeld betekenen dat de toegang voldoende robuust is uitgevoerd om ongewenste bezoekers te weren. The “Big I” Volgens de voorwaarden van het LOPA-model dient een beschermingsmaatregel onafhankelijk te zijn. Van deze voorwaarde zijn we ons in het vakgebied security niet of nauwelijks bewust. Deze volledige onafhankelijkheid geldt zowel ten opzichte van het mogelijke risico als ook ten opzichte van
andere
beschermingsmaatregelen.
Dit
betekent
dat
de
juiste
werking
van
een
beschermingsmaatregel niet beïnvloed mag worden door het risico waartegen hij moet beschermen en dat hij volledig onafhankelijk moet zijn van andere beschermingsmaatregelen. Met name deze laatste onafhankelijkheid is binnen het security vakgebied meestal afwezig. In het voorbeeld van elektronische
toegangscontrole
betekent
dit
dat
een
onvolkomenheid
binnen
de
eerste
toegangscontroleschil niet mag leiden tot een onvolkomenheid in de tweede schil. Hier zit nu het grootste verborgen gebrek in de toepassing van het schillenconcept in het security vakgebied. Het inrichten van verschillende security schillen gebeurt vrijwel altijd met gebruik van één technisch en organisatorisch systeem (zie figuur 3).
Figuur 3: Resultaten onderzoek onder security professionals Uit onderzoek blijkt dat vrijwel alle onderzochte organisaties meerdere opvolgende fysieke toegangscontroleschillen hebben gerealiseerd. Deze zijn echter vrijwel zonder uitzondering opgebouwd op basis van één technisch systeem. Ook vindt het beheer van toegangsautorisaties van de verschillende beveiligingsschillen veelal plaats door dezelfde afdeling of personen in een organisatie. Hierin schuilen grote risico’s voor organisaties die ten onrechte denken dat ze door het inrichten van de verschillende fysieke beveiligingsschillen hun zaakjes op orde hebben. Als nu bijvoorbeeld dit ene technische systeem dat de toegang regelt van alle beveiligingsschillen niet of niet juist functioneert of gemanipuleerd wordt, dan werken alle schillen niet juist. Hierbij kan gedacht worden aan het saboteren van het systeem of het hacken van de database. Ook
de
organisatorische
risico’s
zijn
groot
als
alle
toegangsrechten
door
dezelfde
organisatieonderdelen of zelfs personen worden toegekend. Een beheerder kan bewust, onbewust of onder dwang toegangsrechten toekennen voor alle schillen. Dit heeft consequenties voor de opzet van fysieke beveiligingsschillen. Er zal (meer) aandacht moeten worden besteed aan technische onafhankelijkheid van bijvoorbeeld toegangscontroleschillen en functiescheiding in het beheer. In termen van het LOPA-model is er dus binnen het security vakgebied vrijwel nooit sprake van volledig onafhankelijke beveiligingsschillen. Vanuit de LOPA-theorie wordt dan gesteld dat er geen sprake is van verschillende schillen maar slechts van één beveiligingsschil. Beoordeeld
vanuit
het
Zwitserse
kaas-model
kan
gesteld
worden
dat
zonder
volledige
onafhankelijkheid alle beveiligingsschillen de zelfde onvolkomenheden bevatten. Met andere woorden: de gaten in de kaas liggen in elkaars verlengde en de opeenvolgende barrières voegen geen extra veiligheid toe.
Gevaren van geïntegreerde systemen
Binnen het security vakgebied worden vaak verschillende, complementaire technologieën gebruikt om organisaties te beschermen. Beveiligingszones worden beschermd met elektronische inbraakdetectie, toegangscontrole en camerabewaking. Steeds vaker worden deze systemen met elkaar gecombineerd. Dit kan veel voordelen bieden. Deze combinatie of integratie kan echter ook extra risico’s met zich meebrengen doordat de systemen niet meer technisch onafhankelijk zijn en veelal organisatorisch onder hetzelfde beheer vallen. De huidige beveiligingssystemen zijn zonder uitzondering in meer of mindere mate gebaseerd op ITsystemen. Daarmee zijn ze kwetsbaar voor cyberaanvallen en hackers. Een aanval op het toegangscontrolesysteem als geheel brengt daarmee alle beveiligingsschillen gelijktijdig in gevaar. Nieuwe kijk op defence in depth Zoals in dit artikel beschreven is er binnen het security-vakgebied geen of te weinig aandacht voor de onafhankelijkheid van beveiligingsschillen. Het uitgevoerde onderzoek toont dit ook aan. Hoewel het technisch en organisatorisch integreren van beveiliging, gebruiksgemak en efficiency voordelen oplevert, verdienen de nieuwe risico’s die door het combineren ontstaan aandacht. Er zijn situaties denkbaar, bijvoorbeeld bij de meest risicovolle organisatieonderdelen, waarbij het aanbrengen van technische en organisatorische scheidingen van beveiliging zinvol kan zijn. De hogere mate van beveiliging die dit oplevert kan wel eens meer waard zijn dan mogelijke negatieve gevolgen voor de efficiency. Ook het gebruik van verschillende technologieën en zelfs verschillende fabricaten kunnen de beveiliging verhogen. Binnen de IT-security is het bijvoorbeeld gebruikelijk om meer dan één virusscanner toe te passen van verschillende leveranciers. Een virus dat mogelijk niet door een eerste fabrikant wordt opgemerkt kan wellicht door een ander wel worden geblokkeerd. Het is zinvol een soortgelijke benadering te overwegen bij fysieke beveiligingssystemen. Let op dat de gaten in de kaas niet in één lijn liggen en zorg voor onafhankelijke maatregelen. Johan de Wit MSSM, Solution Manager Enterprise Security, Siemens Nederland. Dit is het vierde en laatste artikel dat geschreven is op basis van uitgevoerd onderzoek ter verkrijging van de Master in Security Science & Management aan Delft Toptech (TU Delft). Het volledige onderzoeksrapport kan gedownload worden via www.siemens.nl/informatiebeveiliging. Commentaar, reacties en vragen kunt u sturen naar
[email protected].
Gewijzigde veldcode
