Beveiliging van Remote Beheer Een Good Practice Guidance. Vrije Universiteit Amsterdam Post Graduate IT-audit opleiding

Transcriptie

1 Beveiliging van Remote Beheer Een Good Practice Guidance Vrije Universiteit Amsterdam Post Graduate IT-audit opleiding Auteur: Lars Hoogendijk Studentnummer: Begeleider VU: Jurgen van der Vlugt Begeleider BDO: Ruud Kerssens Status: definitief Datum: 14 september 2011

2 VOORWOORD PERSOONLIJKE REFLECTIE Deze afstudeerscriptie is het resultaat van een onderzoek naar informatiebeveiliging bij remote beheer ter afronding van de postdoctorale IT-auditopleiding aan de Vrije Universiteit Amsterdam. Het onderzoek strekte zich uit over een periode van ruim driekwart jaar. De gehele opleiding, inclusief het onderzoek, heb ik in deeltijd uitgevoerd naast mijn werkzaamheden als IT-auditor bij BDO. Hoewel de balans tussen werk en studie over het algemeen zeer goed was, heeft deze combinatie op momenten tijdens het onderzoek veel inspanning gevergd. Het voltooien van de scriptie zou niet zijn gelukt zonder de hulp van een aantal mensen die ik hieronder zal bedanken. Mede daarom is de scriptie niet in de ik- maar in de wij-vorm geschreven. Reflectie op afstudeertraject Het afstudeertraject is niet zonder obstakels verlopen. Bij de IT-auditopleiding is het gebruikelijk dat scripties in tweetallen worden geschreven. Ik ben dan ook samen met een medestudent aan het afstudeertraject begonnen. Helaas is dit partnerschap na enige tijd beëindigd, omdat de samenwerking onvoldoende van de grond kwam. Daarna ben ik alleen verdergegaan. Dit heeft tot vertraging geleid waardoor de eerste afstudeerronde in april / mei 2011 niet haalbaar bleek. In de loop van het onderzoek werd steeds meer duidelijk dat beveiliging van remote beheer een erg breed en technisch onderwerp is. Ik heb daarom gezocht naar een onderzoeksafbakening die niet teveel afbreuk deed aan de toegevoegde waarde van het onderzoek, maar wel zo beperkt was dat ik de tweede ronde van september / oktober 2011 wél zou kunnen halen. Uiteindelijk heb ik ervoor gekozen om het onderzoek te richten op remote server beheer en het realiseren van twee beveiligingsdoelstellingen daarbij. Een andere moeilijkheid was dat ik nauwelijks literatuur kon vinden waarin remote beheer en de beveiliging daarvan vanuit een wat breder perspectief werden belicht. Daarom heb ik een aantal interviews met IT-beheerders en beveiligingsexperts gehouden. Dit leverde echter nog te weinig informatie op om de oorspronkelijke onderzoeksdoelstelling te realiseren, namelijk het maken van een model waarmee een organisatie een typologie voor remote beheer en de beveiligingsmaatregelen binnen deze typologie zou kunnen kiezen. Ik kon wel een aantal typologieën en factoren rond de keuze voor typologieën afleiden, maar dit was nog te beperkt. Daarom heb ik besloten om de doelstelling wat te vereenvoudigen en een Good Practice Guidance (GPG) voor het beveiligen van remote beheer te ontwikkelen. Deze GPG bestaat uit een aantal beveiligingsprincipes voor remote beheer en een handreiking voor de toepassing hiervan. Binnen de beveiligingsprincipes zijn de gevonden typologieën opgenomen als implementatierichtlijnen om een bovenliggende beheersmaatregel of doelstelling te realiseren. Daarnaast is er binnen de handreiking een minder sterke relatie tussen input en output dan ik had voorzien voor het oorspronkelijk te ontwikkelen model.

3 Reflectie op eindresultaat en leereffect Ik ben van mening dat ik dankzij de onderzoeksafbakening en de vereenvoudiging van de doelstelling een eindresultaat heb bereikt dat organisaties verder op weg kan helpen met het beveiligen van remote beheer. In het laatste hoofdstuk van de scriptie doe ik nog wel een aantal aanbevelingen om de scope van de GPG uit te breiden en de kwaliteit ervan te verbeteren. Verder ben ik van mening dat er toegevoegde waarde ligt in mijn beschrijving van het begrip remote beheer (zie hoofdstuk 2). Bij mijn weten is dit begrip nog niet eerder zo systematisch uiteen gezet. Dit laatste is vooral een wetenschappelijke bijdrage. Dankzij de literatuurstudie heb ik met name mijn technische kennis op het gebied van computernetwerken en informatiebeveiliging vergroot. Verder heb ik erg veel geleerd van de interviews met de beveiligingsexperts en IT-beheerders. In de praktijk zal ik hier nog veel profijt van hebben. Het maakt mij als IT-auditor meer compleet. WOORD VAN DANK BDO IT Consultants B.V. heeft de IT-auditopleiding voor mij mogelijk gemaakt. Het voltooien van de scriptie zou echter niet zijn gelukt zonder de medewerking en steun van een aantal mensen. Zij verdienen het om genoemd te worden. In de eerste plaats wil ik de mensen bedanken die mij inhoudelijk vooruit hebben geholpen. Dit zijn mijn scriptiebegeleiders Jurgen van der Vlugt vanuit de VU en Ruud Kerssens vanuit BDO maar ook iedereen die ik heb mogen interviewen. Meer persoonlijk wil ik de mensen bedanken die mij op de moeilijke momenten mentaal hebben gesteund. Dit zijn mijn vriendin Mylène, mijn ouders en zusje en alle vrienden die op gezette tijden voor ontspanning hebben gezorgd.

4 INHOUDSOPGAVE 1 Introductie Context Onderzoeksdomein Onderzoeksmethodologie Leeswijzer Remote beheer Inleiding Wat is remote beheer? Elementen van remote beheer Definitie van remote beheer Conclusie Informatiebeveiliging Inleiding Het belang van informatiebeveiliging Beveiligingsrisico s Beveiligingsmaatregelen Conclusie Onderzoeksafbakening Inleiding Afbakening van remote beheer Afbakening van informatiebeveiliging Conclusie Meervoudige case study Inleiding Opzet meervoudige case study Resultaten meervoudige case study Conclusie De Good Practice Guidance Inleiding Scope en opzet van de GPG De handreiking Conclusie Conclusies en aanbevelingen Eindresultaten onderzoek Onderzoeksaanpak Aanbevelingen voor nader onderzoek Literatuurlijst Bijlage A: Referentiemodel netwerken van Tanenbaum Bijlage B: Vragenlijst interviews Bijlage C: De beveiligingsprincipes Bijlage D: Bedreigingen / maatregelen matrix... 54

5 1 INTRODUCTIE 1.1 CONTEXT Dit hoofdstuk is de inleiding tot deze scriptie. Eerst gaan we in op het fenomeen remote beheer en de noodzaak tot informatiebeveiliging. Daarna beschrijven we de probleemstelling en de afbakening van dit onderzoek. Vervolgens wordt de onderzoeksmethodologie uitgewerkt. Het hoofdstuk eindigt met een leeswijzer voor het vervolg van deze scriptie Remote beheer Remote beheer is het fenomeen waarbij organisaties (delen van) hun informatievoorziening op afstand beheren of laten beheren. De eerste situatie doet zich bijvoorbeeld voor wanneer een organisatie haar IT-infrastructuur housed in een extern datacentrum en het beheer vanuit de kantoorlocatie blijft uitvoeren. Het tweede geval, waarbij een service provider monitoring en beheer uitvoert, wordt ook wel Remote Infrastructure Management (RIM) genoemd. Het uitbesteden van RIM aan lagelonenlanden wint hard aan populariteit. India heeft een voortrekkersrol. Hier is de RIM-industrie in de periode van 2005 tot en met 2008 meer dan verdrievoudigd van $ 1 miljard tot $ 3,6 miljard. [NASS08] Waarom remote beheer? Uit een onderzoek onder meer dan 500 IT-professionals is gebleken dat remote beheer kosten verlaagt en de productiviteit van IT-personeel en IT-voorzieningen verbetert. Vooral de afname van het aantal bezoeken aan het rekencentrum en de toename van beschikbaarheid van IT-voorzieningen worden als belangrijke voordelen gezien. Daarnaast rapporteren veel respondenten ook een afname in hersteltijd als gevolg van remote beheer. [COMM05] De noodzaak tot informatiebeveiliging Beheerders hebben doorgaans hogere rechten tot de informatievoorziening dan reguliere gebruikers. De potentiële impact van ongeautoriseerde remote beheertoegang is daardoor relatief groot. Dat geldt ook voor incidenten waardoor beheerders delen van de informatievoorziening niet remote kunnen benaderen. Zij kunnen dan de storingen daarin, die potentieel veel gebruikers treffen, niet tijdig verhelpen. Dat geldt zeker wanneer het alternatief, fysieke toegang, niet snel mogelijk is vanwege een grote afstand tussen de beheerders en het rekencentrum. De relatief grote impact van incidenten brengt met zich mee dat de beveiligingseisen voor remote beheer meestal hoger zijn dan die voor regulier remote werken. Daarnaast heeft remote beheer een hoger intrinsiek risico dan beheer vanaf kantoor. Dit wordt veroorzaakt doordat remote beheer buiten de beheersbare bedrijfsomgeving plaats kan vinden. De organisatie heeft hierdoor een relatief beperkte invloed op de beveiliging van de werkplekken, zoals thuis of in openbare ruimtes, en de netwerken waarover beheerfunctionaliteit wordt ontsloten, zoals het Internet. Om ondanks het extra intrinsieke risico van remote beheer toch aan de hoge beveiligingseisen te voldoen, zullen extra of andersoortige maatregelen moeten worden getroffen dan bij beheer vanaf kantoor

6 1.2 ONDERZOEKSDOMEIN Doelstelling Informatiebeveiliging bij remote beheer is dus belangrijk. Toch is er nog weinig beschreven over hoe dit vanuit een wat breder perspectief gerealiseerd kan worden. Er is wel informatie te vinden over specifieke maatregelen zoals toepassingen voor remote login (SSH, telnet etc.), beheernetwerken [REED05] en remote power management [SULL04]. In [REED05] wordt remote beheer een ongedocumenteerde en ambachtelijke bezigheid genoemd. Dit impliceert dat de beveiliging van de remote beheer erg afhankelijk is van de kennis en ervaring van individuele beheerders. Daarom zouden een overzicht van de belangrijkste beveiligingsprincipes voor remote beheer en een handreiking voor de toepassing hiervan waardevol kunnen zijn voor het adequaat beveiligen van remote beheer. De beveiligingsprincipes kunnen evolueren door toepassing in de praktijk en uiteindelijk uitgroeien tot algemeen geaccepteerde best practices. Onze probleemstelling hebben wij van deze constatering afgeleid en als volgt geformuleerd. Ontwikkel beveiligingsprincipes voor remote beheer en een handreiking voor de toepassing hiervan als hulpmiddel voor organisaties om adequate informatiebeveiliging bij remote beheer te realiseren. Het geheel van de beveiligingsprincipes en de handreiking voor de toepassing hiervan noemen we de Good Practice Guidance (GPG) voor het beveiligen van remote beheer. Good practice impliceert: gebaseerd op de praktijk, maar (nog) niet algemeen geaccepteerd. Guidance staat voor richtinggevend in plaats van voorschrijvend. Het begrip GPG wordt ook door de International Federation of Accountants (IFAC) gebruikt en heeft daar een vergelijkbare betekenis. [IFAC08] Onderzoeksafbakening De twee kernbegrippen uit dit onderzoek zijn informatiebeveiliging en remote beheer. Beide begrippen zijn erg breed. Informatiebeveiliging is een vakgebied op zichzelf en remote beheer kan betrekking hebben op diverse beheertaken, werklocaties, componenten uit de informatievoorziening en methoden om deze te benaderen enzovoorts. In de volgende twee hoofdstukken worden respectievelijk informatiebeveiliging en remote beheer eerst breed neergezet. In het hoofdstuk daarna worden deze begrippen afgebakend tot wat hanteerbaar is binnen de beschikbare tijd voor dit onderzoek. Als gevolg hiervan zullen de ontwikkelde beveiligingsprincipes en de handreiking gericht zijn op deze afgebakende begrippen. 1.3 ONDERZOEKSMETHODOLOGIE Kwalitatief of kwantitatief Voor het oplossen van een probleemstelling kan kwalitatief of kwantitatief onderzoek worden uitgevoerd. Bij kwalitatief onderzoek ligt de nadruk op het begrijpen en doorgronden van een fenomeen. Dit type onderzoek is ideeën genererend, ofwel inductief, van aard. Bij kwantitatief onderzoek staan de geldigheid van gegevens en de daarop gebaseerde uitspraken centraal. Dit type onderzoek is meer gericht op het toetsen van ideeën, ofwel deductief van aard

7 [BAAR09] Wij willen in eerste instantie inzicht in de problematiek van beveiliging van remote beheer om vervolgens zelf een GPG hiervoor te ontwikkelen. Kwalitatief onderzoek past hier, gezien haar eigenschappen, het beste bij Uitwerking onderzoeksopzet Baarda [BAAR09] onderscheidt drie typen kwalitatief onderzoek (t.w. beschrijvend, explorerend en toetsend) en drie onderzoeksopzetten (t.w. case study, survey en veldexperiment). Onze oorspronkelijke onderzoeksopzet bestaat uit twee fasen waarin al deze typen onderzoek en twee van de drie 1 onderzoeksopzetten worden toegepast. Dit is gevisualiseerd in de onderstaande figuur en wordt hierna verder uitgewerkt. Uiteindelijk is alleen fase 1 uitgevoerd. Dit maakte het mogelijk om de probleemstelling binnen de beschikbare tijd op te lossen. Fase 1 is in de onderstaande figuur groen gekleurd. = uitgevoerd = niet uitgevoerd Concept GPG hypothese Sessie met focusgroep (survey) Definitieve GPG Literatuurstudie Meervoudige case study Fase 1: beschrijvend en explorerend Fase 2: toetsend Figuur 1.1: onderzoeksopzet Fase 1 De eerste fase is beschrijvend en explorerend van aard en resulteert in een concept GPG voor beveiliging van remote beheer. Deze concept GPG is de hypothese die in de tweede fase van de onderzoeksopzet getoetst wordt. De concept GPG is het eindproduct van dit onderzoek, omdat wij de tweede fase niet hebben uitgevoerd. Aan de concept GPG liggen een literatuurstudie en een meervoudige case study ten grondslag. Op basis van het bestuderen van literatuur over vooral IT-beheer en informatiebeveiliging hebben wij ons een beeld gevormd van het fenomeen remote beheer en de beveiligingsissues die daarbij spelen. Deze kennis is gebruikt voor het uitwerken van de hoofdstukken 2 en 3, het afbakenen van het onderzoek en het opstellen van de vragenlijst voor de meervoudige case study. De literatuurstudie leverde onvoldoende informatie op om direct een GPG op te stellen. Daarom hebben wij eerst met enige diepgang onderzocht hoe beveiliging van remote beheer in de dagelijkse praktijk gerealiseerd wordt. De case study is hiervoor een geschikte onderzoeksopzet. Omdat één case onvoldoende basis 1 Het veldexperiment is niet geschikt, omdat hierbij de invloed van een geplande verandering op de toestand van een fenomeen centraal staat

8 biedt voor een breed toepasbare GPG, hebben wij in totaal vijf cases onderzocht. De opzet en resultaten van deze meervoudige case study zijn beschreven in hoofdstuk 5. De literatuurstudie en de meervoudige case study zijn overwegend inventariserend c.q. beschrijvend van aard. De resultaten hiervan zijn samengebracht en verder geanalyseerd in explorerend onderzoek. Dit heeft geleid tot een concept GPG voor remote beheer. Deze wordt beschreven in hoofdstuk Fase 2 In de tweede fase van de onderzoeksopzet wordt de concept GPG, ofwel de hypothese, getoetst. Deze fase leidt tot de definitieve GPG voor het beveiligen van remote beheer. Oorspronkelijk hadden wij voor ogen om de toetsing uit te voeren via een survey. Een survey maakt het mogelijk om specifieke aspecten van een fenomeen in de volle breedte te toetsen. Dat kan bijvoorbeeld door het voeren van een gesprek over dat fenomeen met verschillende personen. Deze personen vormen de focusgroep. Voor dit onderzoek kan de focusgroep bestaan uit experts op het gebied van ITbeheer en informatiebeveiliging. In een discussie kunnen zij hun mening geven over de kwaliteit van de GPG. Hiertoe moet het begrip kwaliteit eerst worden uitwerkt in een aantal deelaspecten, zoals juistheid, volledigheid en toepasbaarheid. Deze deelaspecten kunnen beurtelings aan de focusgroep worden voorgelegd. De survey levert niet alleen inzicht in de kwaliteit van de GPG maar kan ook worden gebruikt om deze verder te verbeteren. Het uitvoeren van fase 2 is als aanbeveling voor nader onderzoek in hoofdstuk 7 opgenomen. 1.4 LEESWIJZER De kern van deze scriptie bestaat uit 5 hoofdstukken (hoofdstuk 2 tot en met 6) en een conclusie (hoofdstuk 7). Hieronder geven wij een korte beschrijving van de inhoud van deze hoofdstukken. Dit dient als leeswijzer. Hoofdstuk 2: Remote beheer In dit hoofdstuk gaan we in op het begrip remote beheer. Op basis van een definitie van Wikipedia onderscheiden we vier elementen van remote beheer. Deze elementen werken we uit op basis van relevante literatuur. Dit leidt tot onze eigen algemene definitie van remote beheer. Hoofdstuk 3: Informatiebeveiliging In dit hoofdstuk beschrijven we welke rol informatie en informatiesystemen spelen binnen organisaties en waarom het belangrijk is om de betrouwbaarheid hiervan te beschermen. Daarnaast gaan we in op twee belangrijke concepten binnen de informatiebeveiliging: beveiligingsrisico s en beveiligingsmaatregelen. Hoofdstuk 4: Onderzoeksafbakening In dit hoofdstuk bakenen we de begrippen remote beheer en informatiebeveiliging af. Dit doen we op basis van de twee voorgaande hoofdstukken waarin deze begrippen breed zijn neergezet

9 Hoofdstuk 5: Meervoudige case study In dit hoofdstuk beschrijven wij de opzet en de resultaten van de meervoudige case study die wij hebben uitgevoerd. De resultaten hiervan liggen, tezamen met de literatuurstudie, aan de basis van de GPG. Hoofdstuk 6: De Good Practice Guidance In dit hoofdstuk presenteren wij de GPG. De GPG is gericht op de in hoofdstuk 4 afgebakende begrippen remote beheer en informatiebeveiliging. Het ontwikkelen van de GPG is de doelstelling van dit onderzoek. Hoofdstuk 7: Conclusies en aanbevelingen In dit hoofdstuk beschrijven wij de conclusies van ons onderzoek en doen wij een aantal aanbevelingen voor nader onderzoek

10 2 REMOTE BEHEER 2.1 INLEIDING In dit hoofdstuk gaan we in op het begrip remote beheer. Omdat er nog geen algemeen geaccepteerde definitie van remote beheer is, gebruiken wij in eerste instantie een definitie van Wikipedia. Uit deze definitie leiden wij vier elementen van remote beheer af. Deze elementen werken wij verder uit op basis van relevante literatuur. Aan het einde van dit hoofdstuk gebruiken wij de uitwerking van deze elementen om onze eigen algemene definitie van remote beheer te formuleren. 2.2 WAT IS REMOTE BEHEER? Uit onze literatuurstudie blijkt dat er geen algemeen geaccepteerde definitie van remote beheer is. De definities die er zijn, zijn vaak erg eng, dat wil zeggen alleen gericht op specifieke vormen van remote beheer (bijvoorbeeld remote support), en slecht onderbouwd. Eén van de weinige definities waarin remote beheer vanuit een breed perspectief wordt neergezet, is beschikbaar op Wikipedia [WIKI10]. Deze definitie luidt als volgt: Remote beheer is een methode om een computer te besturen vanaf een locatie op afstand. Definitie 2.1: Remote beheer volgens Wikipedia De definitie van Wikipedia bevat weliswaar elementen die voor remote beheer van belang zijn, maar is onnauwkeurig. Zo heeft remote beheer in beginsel niet uitsluitend betrekking op het besturen van een computer. Daarnaast is onduidelijk wat met methode en locatie op afstand wordt bedoeld. In de volgende paragraaf worden de vier in cursief gedrukte elementen uit de definitie eerst breed neergezet aan de hand van relevante literatuur. Vervolgens wordt ieder element, op grond van redenatie, afgebakend tot wat binnen het domein remote beheer valt. Dit wordt kort verwoord in een conclusie. Uit het samenvoegen van de conclusies per element volgt een nieuwe definitie van remote beheer die zowel algemeen als onderbouwd is. Deze wordt gepresenteerd in paragraaf ELEMENTEN VAN REMOTE BEHEER De informatievoorziening ( computer ) Volgens de definitie van Wikipedia wordt remote beheer uitgevoerd op een computer. Het begrip computer is niet nader gespecificeerd. Binnen de context van een organisatie spreekt men meestal niet van computers maar van de informatievoorziening [OVER00]

11 Componenten van de informatievoorziening Binnen de stippellijn van de onderstaande figuur zijn de componenten van de informatievoorziening weergegeven. Gebruikers Informatievoorziening Procedures Applicaties Gegevensinfrastructuur IT-infrastructuur Basisinfrastructuur Figuur 2.1: de informatievoorziening Iedere component uit de informatievoorziening bestaat uit een aantal objecten. Hierna wordt per component beschreven uit welke objecten deze is opgebouwd. [OVER00]. Een applicatie is de programmatuur waarin specifieke functionaliteit van een informatiesysteem is geprogrammeerd. Een applicatie omvat de toepassingsprogrammatuur (applicatieprogrammatuur) en bijbehorende gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en documentatie. Een gegevensinfrastructuur is het geheel van één of meer gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en documentatie, dat beschikbaar is voor één of meer informatiesystemen. Een IT-infrastructuur is het geheel van automatiseringsmiddelen voor het opslaan, bewerken, transporteren en representeren van gegevens ten behoeve van gegevensinfrastructuren en applicaties. De IT-infrastructuur bestaat uit de objecten apparatuur, basisprogrammatuur en communicatievoorzieningen, inclusief de daarop van toepassing zijnde procedures en documentatie. Het object basisinfrastructuur omvat ondermeer besturingssystemen, firmware en virtual machines. De basisinfrastructuur valt buiten het gestippelde kader van figuur 2.1, omdat deze volgens Overbeek [OVER00] geen deel uitmaakt van de informatievoorziening. Wel schept de basisinfrastructuur de noodzakelijke voorwaarden voor het functioneren ervan. De basisinfrastructuur omvat ondermeer gebouwen en ruimten, airconditioning en voorzieningen voor elektriciteit, water en telecommunicatie. Hoewel de basisinfrastructuur geen deel uitmaakt van de informatievoorziening kan deze wel een object zijn van ITbeheer. Wij nemen daarom ook de basisinfrastructuur in beschouwing Informatievoorziening en remote beheer Voor het uitvoeren van beheer heeft een beheerder fysieke of logische toegang tot de informatievoorziening nodig. Fysieke toegang vindt niet op afstand plaats, maar in de nabijheid van een object dat beheerd wordt. Daarom kan remote beheer per definitie alleen via logische toegang tot een object worden uitgevoerd. Hieronder is een overzicht opgenomen van objecten uit de informatievoorziening die respectievelijk wel en niet remote beheerd kunnen worden. Hierbij is als uitgangspunt gehanteerd dat software remote toegankelijk is en hardware niet, omdat alleen software logisch toegankelijk is

12 Tabel 2.1: Overzicht van objecten die wel/niet remote beheerbaar zijn Uit het overzicht blijkt dat toepassingsprogrammatuur, gegevensverzamelingen en de basisprogrammatuur van de IT- en basisinfrastructuur remote beheerbaar zijn. Ten aanzien van de component IT-infrastructuur wordt wel onderscheid gemaakt in drie vormen van remote beheer. Als verschillende soorten objecten uit de ITinfrastructuur van een organisatie remote beheerd worden, spreekt men van remote netwerk beheer [SULL04]. Dit omvat servers, routers, switches, werkstations en andere managed devices. Als uitsluitend servers of uitstuitend werkstations remote beheerd worden spreekt men respectievelijk van remote server beheer [REED05] [PRAN08] en remote desktop beheer [WONG08] [KIST04]. Het laatste wordt ook wel remote support genoemd Conclusie Objecten Componenten Wel remote beheerbaar Niet remote beheerbaar Applicatie Gegevens-infrastructuur Toepassingsprogrammatuur en gegevensverzamelingen (zie hieronder) Gegevensverzamelingen IT-infrastructuur Basisprogrammatuur Apparatuur en fysieke communicatievoorzieningen Basis-infrastructuur Basisprogrammatuur* Gebouwen en ruimten, airconditioning en elektriciteit, telecommunicatie- en watervoorziening. * basisprogrammatuur wordt niet expliciet door Overbeek benoemd, maar maakt wel onderdeel uit van een deel van de objecten uit de basisinfrastructuur (bijv. noodstroomvoorziening of gebouwbeheersysteem). Remote beheer kan worden uitgevoerd op toepassingsprogrammatuur, gegevensverzamelingen en op de basisprogrammatuur van de IT- en basisinfrastructuur. Conclusie 2.1: componenten van de informatievoorziening ( computer ) IT-beheer ( besturen ) In de definitie van Wikipedia wordt gesproken over het besturen van een computer. Hoewel niet precies is aangegeven welke activiteiten onder besturen vallen, kan dit worden gezien als een onderdeel van het domein IT-beheer. Het IT-beheer is gericht op het instandhouden van de betrouwbaarheid 2 van de informatievoorziening [LOOI04] IT-beheereenheden en -taken Het IT-beheer bestaat uit een verzameling zeer diverse IT-beheertaken. In paragraaf geven we hiervan een aantal voorbeelden. Looijen brengt de IT-beheertaken onder in drie IT-beheereenheden te weten het functioneel beheer (FB), het applicatiebeheer (AB) en het technisch beheer (TB). Het functioneel beheer vervult een intermediairfunctie tussen de gebruikers en de andere twee beheereenheden. Het is verantwoordelijk voor het definiëren en in stand houden van de benodigde functionaliteit van de informatievoorziening, zodat deze optimaal blijft aansluiten op de bedrijfsprocessen. De gebruikersorganisatie is eindverantwoordelijk voor het functioneel beheer en 2 Het begrip betrouwbaarheid wordt verder uitgewerkt in het volgende hoofdstuk

13 fungeert meestal als eigenaar van informatiesystemen en als opdrachtgever voor het technisch beheer en applicatiebeheer. Het applicatiebeheer is verantwoordelijk voor de instandhouding en aanpassing van de applicatieprogrammatuur en gegevensbanken. Het omvat het geheel van activiteiten dat ertoe dient om applicaties te laten voldoen aan de eisen en behoeften van de eigenaren ervan, gedurende de gehele levensduur van de bedrijfsprocessen die door de applicaties worden ondersteund. Zodra wijzigingen moeten worden aangebracht voor onderhoud dan is applicatiebeheer verantwoordelijk voor het uitvoeren van de wijzigingen en het testen daarvan. Technisch beheer betreft de beschikbaarstelling en instandhouding van de infrastructuur waarop ondermeer applicaties draaien. Technisch beheer bewaakt overeengekomen dienstenniveaus, speelt in op afwijkingen en voert wijzigingen door als gevolg van gebruikerswensen en technologische ontwikkelingen. Onder technisch beheer valt de zorg voor de totale technische infrastructuur. Hieronder vallen ondermeer de hardware, inclusief de netwerk- en werkplekinfrastructuur, de systeemprogrammatuur en de ontwikkelhulpmiddelen Niveaus van IT-beheertaken Looijen [LOOI04] onderscheidt drie niveaus waarop IT-beheertaken binnen een beheereenheid worden uitgevoerd: strategisch, tactisch en operationeel. Op het strategisch niveau wordt het beleid bepaald. Dit bestaat uit directieven over de inhoud van de beheereenheid, de plaats in de organisatie en relaties met andere beheereenheden. Op het tactisch niveau vindt de vertaling van het beleid plaats. Het tactisch niveau is verantwoordelijk voor de technische en personele middelen op het operationele niveau en de algemene bedrijfsondersteuning. De praktische uitvoering van het beheer vindt plaats op het operationele niveau Relatie tussen IT-beheer en informatievoorziening IT-beheer richt zich op zowel de afzonderlijke componenten van de informatievoorziening als de samenhang daartussen. Dat neemt niet weg dat er een sterke relatie is tussen de drie IT-beheereenheden en de afzonderlijke componenten uit de informatievoorziening. Dit is gevisualiseerd door de pijlen in figuur 2.2. Het functioneel beheer en het applicatiebeheer hebben sterke relaties met de component applicaties uit de informatievoorziening. Meer specifiek richt het functioneel beheer zich op de informatie-infrastructuur. Dit is de infrastructuur die de functionaliteit van een informatiesysteem vertegenwoordigd. Deze infrastructuur bevindt schematisch bovenop de applicatie-infrastructuur. Het technisch beheer heeft een sterke relatie met de componenten gegevensinfrastructuur, IT-infrastructuur en basisinfrastructuur. [LOOI04] Gebruikers Informatievoorziening Procedures Applicaties Gegevensinfrastructuur IT-infrastructuur functioneel beheer & applicatiebeheer technisch beheer Basisinfrastructuur Figuur 2.2: de informatievoorziening en het IT-beheer

14 IT-beheertaken en remote beheer IT-beheertaken op strategisch en tactisch niveau zijn overkoepelend en scheppen randvoorwaarden voor de uitvoering van het operationeel beheer in het algemeen, ongeacht of dat lokaal of remote plaatsvindt. De managementtaken op deze niveaus kunnen weliswaar voor een deel op afstand en eventueel met behulp van toepassingsprogrammatuur worden uitgevoerd, maar daarvoor wordt reguliere functionaliteit gebruikt en zijn geen beheerrechten nodig. Daarom wordt het op afstand uitvoeren van ITbeheertaken op strategisch en tactisch niveau beschouwd als remote werken in het algemeen en niet als remote beheer. De daadwerkelijke uitvoering van het beheer geschiedt op operationeel niveau. Operationele beheertaken worden via fysieke of logische toegang tot de informatievoorziening uitgevoerd. Een beheerder kan alleen fysieke toegang tot een object van de informatievoorziening krijgen als hij zich in de nabijheid daarvan bevindt. Daarom zijn operationele beheertaken waarvoor fysieke toegang noodzakelijk is, per definitie niet geschikt om remote te worden uitgevoerd. Voorbeelden van taken die fysieke toegang vereisen zijn het vervangen van hardware en het verwisselen van back-up tapes. Operationele beheertaken waarvoor logische toegang nodig is, zijn in beginsel wel geschikt om remote te worden uitgevoerd. Hiervoor zijn meestal bijzondere privileges binnen programmatuur nodig. Voorbeelden van deze beheertaken zijn: o Opstarten en bewaken van de (batch)verwerking (TB) o Wijzigen van system settings (TB) o Installeren en verwijderen van programmatuur (TB) o Beheren van applicatieparameters (FB) o Beheren van autorisatie van gegevensgebruik (FB) o Onderhouden van gegevensbankstructuren (FB) o Programmeren en testen van programmatuur (FB) In figuur 2.3 is de relatie tussen IT-beheer, IT-beheereenheden en ITbeheertaken gevisualiseerd. De grijze markering geeft aan welk deel 3 van het ITbeheerdomein in beginsel binnen de reikwijdte van het begrip remote beheer valt. Het vierkant en de ovalen die respectievelijk het IT-beheerdomein en de ITbeheereenheden uitbeelden, zijn deels grijs om aan te geven dat slechts een deel van de taken tot remote beheer kan worden gerekend. De taken zelf zijn onder te verdelen in de drie niveaus in de piramides rechts. De lagen strategisch en tactisch zijn geheel wit, omdat deze buiten het domein remote beheer vallen. De laag operationeel is voor een deel grijs om aan te geven dat veel IT-beheertaken op dit niveau via logische toegang kunnen worden uitgevoerd en daarmee binnen het domein remote beheer vallen. 3 De grijze markeringen geven niet de echte verhoudingen tussen remote en niet remote uitvoerbare beheertaken weer, maar laten slechts zien dat er een onderscheid is

15 IT-beheereenheden IT-beheertaken functioneel beheer IT-beheer applicatie beheer technisch beheer = binnen reikwijdte remote beheer = bestaat uit Figuur 2.3: IT-beheerdomein en remote beheer Conclusie Remote beheer omvat operationele IT-beheertaken uit het technisch beheer (TB), functioneel beheer (FB) en applicatiebeheer (AB) waarvoor geen fysieke maar logische toegang tot de informatievoorziening nodig is. Conclusie 2.2: IT-beheer ( besturen ) Beheerlocaties ( locatie op afstand ) De definitie van Wikipedia geeft aan dat remote beheer vanaf een locatie op afstand plaatsvindt. Dit kan in beginsel iedere locatie zijn buiten de ruimte waarin de IT- of basisinfrastructuur, waarop de te beheren basisprogrammatuur, gegevensverzamelingen of toepassingsprogrammatuur draait, zich bevindt Werklocaties van de beheerder De remote werklocatie van de beheerder kan vast of wisselend zijn. In literatuur over remote werken wordt vaak het volgende onderscheid gemaakt: thuis, satellietkantoor en mobiel [HADD05] [KURL99]. In de praktijk kunnen combinaties van verschillende locaties en tussenvormen voorkomen. Thuis: De beheerder werkt vanuit zijn huis en heeft daar eventueel een ingerichte werkplek. Satellietkantoor: De beheerder werkt vanuit een locatie die handig is voor werkgevers of klanten. Het satellietkantoor kan werknemers van één organisatie huisvesten maar ook een locatie zijn die door meerdere organisaties gedeeld wordt

16 Mobiel: De beheerder heeft geen vaste werkplek en is regelmatig onderweg. De werklocaties van een mobiele werker kunnen erg variëren. Voorbeelden zijn het vliegveld, een hotel, een station of een internetcafé Conclusie Remote beheer wordt uitgevoerd vanaf locaties buiten de ruimte waarin de ITof basisinfrastructuur zich fysiek bevindt. Conclusie 2.3: beheerlocaties ( locatie op afstand ) Methode voor remote beheer ( methode ) In basis zijn er drie methoden om programmatuur op de IT- en basisinfrastructuur te beheren: (1) via een console dat rechtstreeks op de infrastructuur is aangesloten, (2) via een peer-to-peer link zoals een KVMswitch 4 of (3) via een computernetwerk 5. Beheer via de eerste twee methoden vindt lokaal plaats en beschouwen wij daarom niet als remote beheer. Remote beheer vindt dus plaats via een computernetwerk. Dit is schematisch weergegeven in figuur 2.4. werkstation object(en) uit informatievoorziening Figuur 2.4: methode voor remote beheer De rechthoek rechts in het figuur illustreert een remote beheerbaar object uit de informatievoorziening. In paragraaf is aangegeven dat hieronder vallen de basisprogrammatuur, gegevensverzamelingen of toepassingsprogrammatuur. De wolk illustreert het computernetwerk. Dit kan bijvoorbeeld een private netwerk zijn, zoals een kantoornetwerk, of een public netwerk zoals het Internet. De rechthoek links in het plaatje symboliseert het werkstation van de beheerder. Dit is een vaste of mobiele computer die is voorzien van software voor het uitvoeren van beheertaken. Een desktop is een voorbeeld van een vaste computer. Laptops, tablets en smartphones zijn voorbeelden van mobiele computers. De stippellijn geeft aan dat het werkstation in verbinding staat met het remote beheerbare object. Via deze verbinding vindt datacommunicatie plaats Conclusie Remote beheer wordt uitgevoerd met behulp van een werkstation dat via een computernetwerk in verbinding staat met een remote beheerbaar object van de informatievoorziening. Conclusie 2.4: Methoden voor remote beheer ( methode ) 4 Een KVM-switch is een apparaat om meerdere computers via een enkele toetsenbord, monitor en muis te bedienden. De KVM-switch is hiertoe met kabels aangesloten op de KVM-poorten van de computers (peer-to-peer). 5 In bijlage 1 wordt a.d.h.v. het referentiemodel van Tanenbaum uitgelegd wat een computernetwerk is

17 2.4 DEFINITIE VAN REMOTE BEHEER Alle conclusies delen de inzichten dat remote beheer: a. wordt uitgevoerd op één of meer objecten van de informatievoorziening en b. logische toegang daartoe vereist Verder leiden de conclusies afzonderlijk tot de inzichten dat remote beheer: c. operationele IT-beheertaken betreft uit alle drie de beheerdomeinen (TB, FB en AB); d. plaatsvindt vanaf locaties buiten de ruimte waarin de IT- en basisinfrastructuur zich fysiek bevindt; e. wordt uitgevoerd met behulp van een werkstation dat via een computernetwerk in verbinding staat met de te beheren objecten van de informatievoorziening. Deze inzichten zijn als volgt samengevoegd en verwoord in één algemene definitie van remote beheer: Remote beheer is het uitvoeren van operationele IT-beheertaken (c) met behulp van een werkstation dat via een computernetwerk in verbinding staat met toepassingsprogrammatuur, gegevensverzamelingen of basisprogrammatuur (a / b) (e) vanaf een locatie buiten de ruimte waarin de IT- of basisinfrastructuur zich fysiek bevindt (d). Definitie 2.2: Algemene definitie van remote beheer In de definitie zijn referenties opgenomen naar de inzichten (a t/m e). Te zien is dat alle inzichten terugkomen in de definitie. 2.5 CONCLUSIE Aan het begin van dit hoofdstuk hebben wij een algemene definitie van remote beheer van Wikipedia geïntroduceerd. Wij concludeerden dat de definitie van Wikipedia wat onnauwkeurig was. Op basis van deze definitie konden wij wel vier elementen van remote beheer onderscheiden, te weten IT-beheer ( besturen ), informatievoorziening ( computer ), beheerlocaties ( locatie op afstand ) en methoden voor remote beheer ( methode ). Deze elementen hebben wij verder uitgewerkt. Per element hebben wij beredeneerd wat wel en niet binnen het domein van remote beheer valt. Dit leidde tot een conclusie per element. Op basis van deze conclusies hebben wij een algemene definitie van remote beheer geformuleerd. Deze is hierboven weergegeven

18 3 INFORMATIEBEVEILIGING 3.1 INLEIDING Informatiebeveiliging is gericht op het beschermen van de betrouwbaarheid van informatiesystemen en de informatie die daarin besloten ligt. In dit hoofdstuk komen een aantal belangrijke concepten uit het vakgebied informatiebeveiliging aan de orde. Eerst ontleden wij het begrip betrouwbaarheid in deelaspecten. Vervolgens beschrijven wij wat beveiligingsrisico s en maatregelen zijn. Deze kunnen respectievelijk de betrouwbaarheid schaden en beschermen. 3.2 HET BELANG VAN INFORMATIEBEVEILIGING Voor veel organisaties zijn informatiesystemen, en de informatie die daarin besloten ligt, belangrijke bedrijfsmiddelen. Voor deze organisaties is betrouwbare informatie essentieel voor het behalen van concurrentievoordeel en winstgevendheid, compliance met wet- en regelgeving en de reputatie. Betrouwbare informatie is echter geen vanzelfsprekendheid. Dat komt doordat informatiesystemen bloot staan aan vele risico s. Deze nemen bovendien steeds toe doordat bedrijfsinformatie meer en meer buiten de muren van organisaties ontsloten wordt. Daarom moet informatie, net als andere bedrijfsmiddelen, worden beschermd. Het beschermen van de betrouwbaarheid van informatie en informatiesystemen is het domein van het vakgebied informatiebeveiliging. Het begrip betrouwbaarheid wordt in de literatuur [OVER00] [ISO05] [RENO09] doorgaans ontleed in de deelaspecten beschikbaarheid, vertrouwelijkheid en integriteit. Controleerbaarheid wordt wisselend als afzonderlijk deelaspect onderscheiden of geschaard onder integriteit. Wij gaan uit van het laatste en definiëren de drie betrouwbaarheidsaspecten als volgt [RENO09]: Beschikbaarheid: de waarborg, dat vanuit hun functie geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen (waaronder informatiesystemen). Integriteit: het waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan. Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor diegenen, die hiertoe zijn geautoriseerd. 3.3 BEVEILIGINGSRISICO S De informatievoorziening van een organisatie staat bloot aan diverse bedreigingen. Een bedreiging is een proces of gebeurtenis met in potentie een verstorende invloed op de betrouwbaarheid van een object van de informatievoorziening. De bron van bedreigingen kan menselijk of niet-menselijk zijn. Menselijke bedreigingen worden veroorzaakt door onopzettelijk foutief handelen of door misbruik en criminaliteit. Aan niet-menselijke bedreigingen liggen invloeden van buitenaf (natuurrampen) of storingen in apparatuur of programmatuur ten grondslag. Een beveiligingsincident ontstaat wanneer een bedreiging één of meer kwetsbaarheden van een object uitbuit. Kwetsbaarheden zijn aanwezig als karakteristieken van een object het mogelijk maken dat bedreigingen er een

19 negatieve invloed op kunnen uitoefenen. Zo is apparatuur gevoelig voor fysiek geweld en programmatuur voor digitaal geweld. Het beveiligingsrisico is een functie van de potentiële schade als gevolg van een beveiligingsincident en de kans dat het incident optreedt (kans maal schade). Schade kan direct of indirect zijn. Met name indirecte schade, ofwel gevolgschade, is moeilijk kwantificeerbaar. Risico s kunnen daardoor meestal niet precies worden berekend maar alleen globaal worden geschat. Daarom zijn risicoanalyses vaak subjectief van aard. [ISF97] [OVER00] [HOOG06] 3.4 BEVEILIGINGSMAATREGELEN Beveiligingsmaatregelen verkleinen de kans op beveiligingsincidenten en verminderen de impact ervan. Dit doen zij ondermeer door de objecten van de informatievoorziening minder kwetsbaar te maken. Beveiligingsmaatregelen kenmerken zich door (1) hun aard, (2) hun werkingssfeer en (3) hun plaats in de beveiligingscyclus. In de beveiligingskubus van Bautz (zie figuur 3.1) komen deze kenmerken samen. Ze zijn uitgezet in respectievelijk de x-, y- en z-as. Figuur 3.1: De beveiligingskubus van Bautz Bij een goed beveiligde informatievoorziening zijn voor ieder vakje van de beveiligingskubus voldoende, dat wil zeggen niet teveel en niet te weinig, maatregelen getroffen die elkaar niet tegenwerken maar juist versterken. Het stelsel van maatregelen is dan samenhangend en evenwichtig. Risicoanalyse helpt om tot een samenhangend en evenwichtig stelsel van maatregelen te komen

20 3.4.1 Plaats in de beveiligingscyclus De incidentcyclus [OVER00] beschrijft de stappen die plaatsvinden rondom het manifesteren van een beveiligingsincident. Deze stappen zijn achtereenvolgens: een bedreiging (iets dat zou kunnen gebeuren), een verstoring (het manifesteren van een bedreiging), schade (de impact van een beveiligingsincident) en herstel (het verminderen van de schade). Bedreiging Preventie Correctie Herstel Verstoring Detectie Schade Repressie Figuur 3.2: De incident- en beveiligingscyclus De beveiligingscyclus [OVER00] loopt parallel aan de incidentcyclus en doorloopt de fasen preventie, detectie, repressie en correctie. Analoog hieraan kunnen de beveiligingsmaatregelen als volgt worden ingedeeld: Preventieve maatregelen. Deze maatregelen hebben tot doel om te voorkomen dat bedreigingen tot een verstoring leiden. Daarom worden deze ook wel eerstelijnsmaatregelen genoemd. Voorbeelden zijn brandwerende deuren en authenticatie. Detectieve maatregelen. Deze maatregelen detecteren een verstoring en zijn alleen effectief in combinatie met andere, meestal repressieve, maatregelen. Voorbeelden zijn rookdetectors en intrusion detection. Repressieve maatregelen. Deze maatregelen hebben tot doel de negatieve invloed van een verstoring te minimaliseren en worden daarom tweedelijnsmaatregelen genoemd. Voorbeelden zijn het implementeren van uitwijkvoorzieningen en verzekeren. Correctieve maatregelen. Deze maatregelen richten zich op het herstellen van objecten die bij een incident beschadigd zijn. Dit zijn eigenlijk geen beveiligingsmaatregelen maar onderhoudsmaatregelen De aard van de maatregelen Naast de indeling op basis van de beveiligingscyclus, kunnen maatregelen ingedeeld worden naar hun aard ofwel naar de wijze waarop ze gerealiseerd worden. [OVER00] Organisatorische maatregelen. Deze maatregelen hebben betrekking op de organisatie als geheel. Hieronder vallen beveiligingsbeleid, richtlijnen en procedures. Logische maatregelen. Deze maatregelen zijn geprogrammeerd in programmatuur. Voorbeelden zijn logging en versleuteling. Fysieke maatregelen. Deze maatregelen zijn gebaseerd op apparatuur of andere materiële zaken. Voorbeelden zijn brandblussers en sloten. In figuur 3.3 is de aard van de maatregelen in verband gebracht met de componenten van de informatievoorziening [OVER00]. De mapping is niet 1-op- 1 maar geeft de sterkste relaties weer. Zo hebben logische maatregelen niet alleen betrekking op applicaties en gegevensinfrastructuur maar ook op programmatuurdelen van de IT-infrastructuur en basisinfrastructuur