Informatiebeveiliging Jeroen van Luin 30-11-2011 jeroen.van.luin@nationaalarchief.nl
Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
En nu begrijpelijk: 1. Geen toegang tot informatie waar men geen recht op heeft 2. Wel toegang tot informatie waar men wel recht op heeft 3. Informatie in een informatiesysteem is volledig en correct 4. Procedures hoe te handelen als punt 1, 2 of 3 misloopt 5. Detecteren of punt 1, 2 of 3 is misgelopen Zelfde definitie voor informatie op papier of digitaal
Waarom is geen toegang zo moeilijk? Gebrek aan ervaring bij gebruikers Afgedankte PC OvJ Tonino aan straatkant gezet Niet-versleutelde USB-stick laten liggen in huurauto Phishing: hengelen naar informatie P2P Netwerken (Kazaa, Napster, emule, Limewire) MIVD directeur zet teveel persoonlijke gegevens op Hyves Gebrek aan ervaring bij website-makers Database-injectie: extra opdracht meegeven aan database» Database-opdracht: Toon mij alles over oorlog ; Geef alle wachtwoorden Cross-site scripting» Website-bezoeker kan eigen programmacode laten uitvoeren door de webserver
Waarom is geen toegang zo moeilijk? (2) Veel kennis & kunde nodig bij ICT afdeling Makkelijk bereikbaar voor kwaadwillende experts Met één druk op de knop op grote schaal wereldwijd kunnen rammelen aan de deur Fouten in beveiliging worden snel ontdekt door kwaadwillenden Incidenten moeilijk te detecteren: bij digitale inbraak zijn er geen glasscherven bij digitale diefstal is het origineel niet weg maar gekopieerd
Continuïteitsgarantie Uitvoering voornamelijk bij ICT-afdeling Back-up en restore Strategie (Wat gaan we back-uppen? Hoe lang?) door (of in samenwerking met) gebruiker Testen (Werkt het? Hoe lang duurt back-up/restore?) Uitwijk Identieke kopie op externe locatie die in geval van bijv. stroomstoring of brand de digitale dienstverlening kan overnemen 6
Correctheid en volledigheid Casus: Ron Kowsoleea slachtoffer identiteitsfraude 1994: criminele oud-klasgenoot onder zijn naam in computersysteem van politie Hoofddorp Databases 25 politieregio s zijn gekoppeld en worden dagelijks gesynchroniseerd Wissen van foute data vereiste gelijktijdige actie in alle 25 databases 15 jaar lang onterecht als crimineel behandeld in binnen- en buitenland 7
Detectie en incidentprocedure Detectie van beveiligingsincidenten moeilijk (tot het te laat is) Toegeven van beveiligingsincident nog veel moeilijker Casus: Diginotar 8 echtheidscertificaten van websites worden digitaal ondertekend door vertrouwde instellingen (bijv. Diginotar) Inbraak in computersystemen Diginotar werd verzwegen Webbrowsers dachten ten onrechte maandenlang dat nagemaakte certificaten echt waren Had Diginotar direct toegegeven dat inbraak had plaatsgevonden was de schade veel kleiner geweest
Wat kun je zelf doen? Leer van andermans fouten Kwetsbaarheid & Afhankelijkheid-analyse Welke gegevens zijn kwetsbaar? Welke gegevens moeten echt online benaderbaar zijn? Casus uit Lektober: Vliegschool zet BKR registraties en strafbladgegevens van leerlingen in dezelfde database als website-inlog informatie. Gevolg van het gehackt worden was nu veel groter dan wanneer deze gegevens offline hadden gestaan Controleer periodiek beveiliging, update software regelmatig 9 Don t shoot the messenger: aanmoedigen van melden van beveiligingsproblemen ipv straffen en kop in het zand steken