Werkplekbeveiliging in de praktijk M.E.M. Spruit
Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken in het algemeen maar weinig aandacht besteed. Dit heeft toch gevolg dat werkplekken risico’s lopen, maar welke? En welke maatregelen zijn het meest geschikt om deze risico’s te minimaliseren?
De meeste organisaties zijn in belangrijke mate afhankelijk van hun informatievoorziening. Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening. Een doeltreffende beveiliging van de informatievoorziening, en dus ook van de werkplekken, is in hoge mate belangrijk voor organisaties. Toch wordt in de meeste organisaties aan de beveiliging van werkplekken weinig aandacht besteed. Geautomatiseerde werkplekken zijn vatbaar voor bedreigingen. Om de beveiliging van werkplekken goed in te kunnen vullen, moet er enerzijds inzicht bestaan in de bedreigingen die relevant zijn en anderzijds in de maatregelen die mogelijk zijn en de doeltreffendheid van deze maatregelen. Enkele jaren geleden is door de Technische Universiteit Delft een statistisch onderzoek gehouden naar de bedreigingen die zich gemanifesteerd hadden, de in de praktijk getroffen maatregelen en de effectiviteit van deze maatregelen met betrekking tot zowel de centrale als de gespreide informatietechnologie [1]. Uit dit onderzoek zijn praktijkgegevens beschikbaar met betrekking tot de bedreigingen en de beveiliging van werkplekken.
Werkplekken Er zijn werkplekken en werkplekken. Zo maakt het nogal uit of iemand thuis tezamen met huisgenoten op een notebook werkt, of in een goed gecontroleerde kantooromgeving op een stand-alone PC. We kunnen onderscheid maken naar de volgende soorten geautomatiseerde werkplekken: • Werkplek met stand-alone computer. Hierbij is de computer niet met een netwerk verbonden. • Werkplek met ‘lichte’ computer. Hierbij is de computer wel gekoppeld aan een netwerk. Alle belangrijke gegevensverwerking en -opslag vindt elders plaats, bijvoorbeeld op een server. • Werkplek met ‘zware’ computer. Ook hierbij is de computer gekoppeld aan een netwerk. Een belangrijk deel van de gegevensverwerking of -opslag vindt echter lokaal plaats. • Werkplek met mobiele computer. Hierbij is de computer draagbaar (notebook) en al dan niet gekoppeld aan een netwerk.
1
Ieder van deze vier soorten werkplekken kan zowel ‘op kantoor’ als ‘thuis’ geplaatst zijn. Hoewel de vatbaarheid voor bedreigingen hierdoor in principe niet verandert, zijn er bepaalde bedreigingen die in de thuissituatie prominenter zijn, zoals bijvoorbeeld virussen (geïntroduceerd door spelletjes en dergelijke). Op kantoor kan de werkplek bovendien profiteren van maatregelen die niet specifiek voor de werkplek getroffen zijn, maar deze wel een extra bescherming geven, zoals centrale toegangsbewaking, centrale backup, uitgebreide brandbeveiliging, personeelsselectie, functiescheiding, enzovoorts. In de thuissituatie worden in het algemeen minder van dergelijke maatregelen getroffen.
Bedreigingen Een geautomatiseerde werkplek is een eilandje van informatietechnologie, die al dan niet verbonden is met andere (centrale) middelen. Dit eilandje is in principe vatbaar voor alle bedreigingen waar andere informatietechnologie ook vatbaar voor is. In de praktijk komen op de werkplek slechts een beperkt aantal bedreigingen vaker voor dan gemiddeld één keer per tien jaar: • Bewuste of onbewuste fouten van gebruikers. • Gebruik van illegale programmatuur. • Privé-gebruik van apparatuur en/of programmatuur. • Storingen in apparatuur of programmatuur. • Storingen in de stroomvoorziening. • Virussen. • Diefstal van apparatuur. Een tweetal bedreigingen (gebruikersfouten en privé-gebruik) wordt binnen sommige organisaties wel, maar binnen andere niet als een bedreiging ervaren. Binnen sommige organisaties wordt privé-gebruik zelfs gestimuleerd. De mate waarin verschillende bedreigingen voorkomen, kan onder meer afhangen van de branche waarin de organisatie opereert. Virussen komen bijvoorbeeld bij het onderwijs beduidend vaker voor dan bij de industrie. Daarentegen treft stroomstoring alle organisaties, zonder onderscheid. De kans op storingen in apparatuur of programmatuur wordt niet zozeer bepaald door de branche, maar door de hoeveelheid apparatuur en programmatuur. De mate waarin dergelijke storingen een probleem vormen hangt daarentegen weer wel af van de branche. Zo zal een storing in de werkplek van een bank wellicht problematiser zijn dan bij een onderwijsinstelling. Met bepaalde weinig voorkomende bedreigingen dient toch rekening gehouden te worden, als de betreffende bedreigingen vanwege de uitzonderlijkheid van de organisatie vaker verwacht worden dan gemiddeld. Dit geldt bijvoorbeeld voor hacking: normaal gesproken komt hacking zelden voor, maar sommige organisaties hebben een relatief grote kans om doelwit te worden van hackers, zoals bijvoorbeeld bepaalde overheidsinstanties (BVD, Justitie, Sociale dienst, enz.).
2
Als bepaalde weinig voorkomende bedreigingen (bijvoorbeeld sabotage) een ernstige schadepost voor de organisatie kunnen veroorzaken, dan dient ook met deze bedreigingen rekening gehouden te worden. Dergelijke bedreigingen kunnen opgespoord worden door middel van risicoanalyse [2]. In een adequaat beveiligingsprogramma is dan ook altijd een vorm van risicoanalyse opgenomen. De verschillende soorten werkplekken zijn in verschillende mate vatbaar voor de verschillende bedreigingen (zie Tabel 1). Een mobiele werkplek is gemiddeld vatbaarder voor bedreigingen dan een vaste werkplek. Bedreiging
Standalone
‘Licht’
‘Zwaar’
Mobiel
Gebruikersfouten
ooo
ooo
ooo
ooo
Illegale programmatuur
oo
o
oo
ooo
Privé-gebruik
ooo
o
ooo
ooo
Storingen app./progr.
oo
o
oo
ooo
Stroomstoringen
ooo
ooo
ooo
o
Virussen
o
oo
ooo
ooo
Diefstal
o
o
o
ooo
Vatbaarheid: o = laag, oo = middelmatig, ooo = hoog
Tabel 1 Vatbaarheid van de verschillende soorten werkplekken voor bedreigingen.
Maatregelen In de praktijk wordt het kiezen van maatregelen vooral gebaseerd op de bekendheid van bedreigingen (brand, hacking, enz.) en niet zozeer op de resultaten van een risicoanalyse. Bovendien spelen ook gewoonte (‘iedereen’ heeft password-beveiliging) en verplichting door derden (bijv. brandweer) een belangrijke rol. Naast de preventieve maatregelen wordt backup vaak als repressieve maatregel getroffen. De effectiviteit van backup op de werkplek (gemiddeld 76%) is lager dan verwacht mocht worden. Dit wordt veroorzaakt doordat de backup-discipline op de werkplek nogal eens te wensen overlaat. De meest voorkomende bedreiging, namelijk gebruikersfouten (inclusief gebruik van illegale programmatuur en privé-gebruik), wordt bij het kiezen van beveiligingsmaatregelen vaak onderschat. Overigens is deze bedreiging niet specifiek voor de werkplek. Fouten maken is menselijk en alle mensen, dus ook gebruikers, maken meer dan eens bewust of onbewust fouten. Vanwege de complexiteit van menselijk handelen, en de variëteit van fouten die gemaakt kan worden, is beveiliging tegen menselijke fouten een complexe zaak [3]. Beveiligen tegen menselijke fouten dient bij voorkeur niet toegespitst te worden op de werkplekken, maar organisatiebreed aangepakt te worden. 3
Desalniettemin dient tenminste één maatregel in ieder geval op de werkplek getroffen te worden, namelijk toegangsbeveiliging. Behalve aan fysieke toegangsbeveiliging dient hierbij ook gedacht te worden aan logische toegangsbeveiliging door middel van bijvoorbeeld een login/password-systeem. Welke bedreigingen verder relevant zijn, hangt af van het soort organisatie en de soort werkplek. De relevante risico’s kunnen bepaald worden door middel van risicoanalyse. De volgende maatregelen zijn in het algemeen nodig: • Maatregelen tegen brand. Hoewel brand weinig voorkomt, vereist de brandweer normaal gesproken dat maatregelen tegen brand getroffen worden. Hierbij kan gedacht worden aan brandalarm, brandblussers, enzovoorts. De effectiviteit van het merendeel van deze maatregelen is echter bedroevend laag. Indien gegevensverwerking en -opslag lokaal plaatsvindt, dan is meer heil te verwachten van backup van locale media. • Maatregelen tegen storing in apparatuur en programmatuur. Ook hiervoor geldt dat backup belangrijk is voor werkplekken waar gegevensverwerking en -opslag lokaal plaatsvindt. Omdat er veelal meerdere uitwisselbare werkplekken zijn, is redundantie in apparatuur eigenlijk vanzelf geregeld voor werkplekken. Deze redundantie helpt in het algemeen echter niet tegen storingen in de programmatuur, daar de verschillende werkplekken meestal dezelfde programmatuur hebben (met dezelfde fouten). Aangezien mobiele apparatuur extra gevoelig is voor storingen (onder andere door vallen en stoten), loont het de moeite om hiervoor extra maatregelen te treffen (bijv. het beschikbaar houden van reservecomponenten). • Maatregelen tegen stroomstoring. Stroomstoringen treden gemiddeld ongeveer tien keer per jaar per locatie op. Het merendeel hiervan (95%) duurt echter zeer kort (< 0.2 sec). Indien de apparatuur niet direct van slag raakt door het wegvallen van de spanning, dan hoeven wellicht geen maatregelen getroffen te worden. Als dat wel het geval is, of als de continuïteit van de werkplek van essentieel belang is, dan kan een noodstroomvoorziening (UPS) ingezet worden. • Maatregelen tegen virus. Op de meeste werkplekken is locale antivirusprogrammatuur nodig. Als deze programmatuur up-to-date gehouden wordt, dan is het een zeer effectief wapen tegen virussen. De succesfactor voor antivirusprogrammatuur is het consistente gebruik ervan. In de praktijk blijkt dat veelal een probleem te zijn. In netwerksituaties kan centrale antivirus-programmatuur ingezet worden. Het voordeel hiervan is dat consistent gebruik dan beter geregeld kan worden. • Maatregelen tegen diefstal. Vaste werkplekken kunnen relatief eenvoudig tegen diefstal van apparatuur beveiligd worden met behulp van kabels, sloten, bewakers, en dergelijke. Dit geldt in mindere mate voor diefstal van kleine onderdelen van apparatuur, zoals bijvoorbeeld dure chips. Mobiele apparatuur, zoals een notebook, is moeilijk tegen diefstal te beveiligen. Het loont de moeite om hiervoor maatregelen te treffen die de schade bij diefstal beperken. Een belangrijke regel hierbij is dat medewerkers niet met meer spullen op stap gaan dan ze nodig hebben. Bovendien kan encryptie ingezet worden om vertrouwelijke programmatuur en bestanden tegen nieuwsgierige blikken te beschermen.
4
Backup is als repressieve beveiligingsmaatregel werkzaam tegen meerdere bedreigingen. Het dient als het ware als een soort extra vangnet tegen bedreigingen. De effectiviteit van backup wordt sterk beïnvloed door de backup-frequentie. Als voor de bestanden waarvoor backup nodig is, deze ook daadwerkelijk regelmatig (bijv. dagelijks, of na mutatie) en consistent gemaakt wordt, dan is de effectiviteit van backup zeer hoog (> 90%). In andere gevallen neemt de effectiviteit snel af. Voorts is de plaats waar de backup-media opgeslagen worden van belang. Erg effectief is een opslag dichtbij, waarbij de backup-frequentie relatief hoog is, en daarnaast een opslag elders op een veilige locatie, waarbij de backup-frequentie iets lager is.
Tenslotte In dit artikel is ingegaan op de bedreigingen die specifiek betrekking hebben op het geautomatiseerde deel van de werkplek. Voor de werkplek zijn echter ook de bedreigingen relevant die betrekking hebben op de rest van de werkplek: bureau, kasten, papieren documenten, telefoon, enzovoorts. Een adequate werkplekbeveiliging neemt ook deze bedreigingen in beschouwing. Voorts staat de beveiliging van werkplekken niet op zichzelf. Werkplekken ondersteunen mensen die deel uitmaken van bedrijfsprocessen. Voor de continuïteit van een organisatie dient het hele conglomeraat van bedrijfsprocessen beveiligd te worden tegen de relevante bedreigingen. Werkplekbeveiliging is daar slechts een onderdeel van. Referenties [1] M.E.M. Spruit en M. Looijen, IT security in Dutch practice, Computers & Security, 15-2, 157, 1996. [2] Themanummer Risicomanagement, Informatiebeveiliging Praktijkjournaal 2/3, 1998. [3] Themanummer Bewustzijn, Informatiebeveiliging Praktijkjournaal 1, 1998.
5
