Hoofdstuk 7

Beveiliging

In de inleiding van dit boek hebben we in navolging van Al Gore het Internet een prototype van de digitale snelweg genoemd. Een belangrijke reden hiervoor is het 'open' karakter van het netwerk. Juist vanwege deze karakteristiek wordt het Internet door de pers vaak omschreven als een onveilig netwerk, waar hackers vrij spel hebben. Dit is echter een ongenuanceerde uitspraak. Beveiligingsexperts zijn het er over eens dat dingen mis kunnen gaan, maar voegen daar direct aan toe dat er ook vele mogelijkheden zijn om het Internet, en met name het gebruik ervan veiliger te maken. Men duidt dan niet alleen op technische zaken, maar ook op betere voorlichting, procedures en wet- en regelgeving. Dit zijn allemaal zaken die niet alleen iets met het Internet te maken hebben, maar meer in het algemeen met het gebruik van computers en netwerken. In 1991 was dan ook een van de hoofdconclusies uit het rapport 'Computers at Risk' van de National Research Council in de VS [NRC, 1991]: 'The nation needs computer techology that supports substantially increased safety, reliability, and, in particular, security'.
In dit hoofdstuk zal achtereenvolgens aandacht worden besteed aan de vraag welke aspecten een rol spelen bij beveiliging en wat er gedaan is of kan worden gedaan om netwerken, in het bijzonder het Internet, en het gebruik ervan veiliger te maken, onder andere op het vlak van wet- en regelgeving, procedures en techniek.

Beveiligingsaspecten

Een conclusie van een beveiligingsproject van SURFnet bv luidde: 'Het ontbreken van een beveiligingsplan maakt het moeilijk om een evenwichtig pakket van maatregelen samen te stellen op het gebied van het voorkomen van bedreigingen (preventief), het signaleren van bedreigingen (detectief), het er voor zorgen dat bij het optreden van een bedreiging de schade beperkt blijft (repressief) en het er voor zorgen dat indien een bedreiging zich manifesteert de schade zo snel mogelijk wordt hersteld (correctief)' [Zegwaart, Zwiggelaar, 1993].
Organisaties worden vaak door schade en schande wijs. Een beveiligingsbeleid en daarop gebaseerd concreet plan ontbreekt bij vele organisaties, terwijl er wel voorschriften zijn voor brandpreventie. Het bewustzijn dat beveiliging een essentieel onderdeel dient te zijn van computer- en netwerktoepassingen neemt de laatste jaren echter wel toe (Beveiliging bij datacommunicatie NGI [NGI, 1989], Beveiligingsbeleid en beveiligingsplan NGI [NGI, 1992]).
Binnen het Internet wordt al jaren gewerkt aan het ontwikkelen en introduceren van nieuwe hulpmiddelen [Branstad, 1993] en [Galvin, 1994]. Er zijn aanbevelingen gedaan over wat er in technische zin verbeterd dient te worden [Bellovin, 1989]), maar ook aan de organisatie er omheen en de rol van de gebruiker in het geheel [Hambridge, 1993], (rfc1087), (rfc1244) en (rfc1281).

Bij beveiliging van computers en netwerken spelen drie aspecten een cruciale rol:

• Exclusiviteit;
  komen de gegevens ook daadwerkelijk en uitsluitend terecht bij degene voor wie zij bedoeld zijn?
• Integriteit;
  zijn de gegevens correct en afkomstig van de juiste persoon? Zijn ze niet als gevolg van een menselijke fout, opzettelijk of niet, gewijzigd? Handelen de gebruikers correct?
• Beschikbaarheid;
  zijn de gegevens toegankelijk wanneer dat gewenst is (tijdigheid)?

Om een evenwichtig pakket van maatregelen samen te stellen is het van belang dat er eerst een goede inschatting gemaakt wordt van de kans dat er iets mis kan gaan en welke consequenties dit tot gevolg kan hebben, of anders gezegd, wat is het risico? De oplossing is het uit (laten) voeren van een bedreigings- of risico-analyse. In het kader 'Risico-analyse' wordt hier meer in detail op in gegaan.

Kader: Risico-analyse

De hier weergegeven aanpak is toegepast bij een beveiligingsproject van SURFnet 'Administratieve Automatisering en Beveiliging' [Zegwaart, Zwiggelaar, 1993]. De aanpak was gebaseerd op drie onderdelen: bedreigingsanalyse, functioneel ontwerp en contra-expertise.

Bedreigingsanalyse

• Inventariseren van bedreigingen, inclusief aard (bedreiging voor de exclusiviteit, integriteit en/of beschikbaarheid) en het type schade (financieel, juridisch of prestige/imago)
• Inschatten van de consequenties (omvang van risico's per bedreiging)
• Beslissen welke bedreigingen weggenomen dienen te worden.

Functioneel ontwerp

• Beschrijving maken van welke technische beveiligingsmechanismen ingezet worden
• Vaststellen welke procedures en juridische maatregelen er door wie genomen dienen te worden om bedreigingen weg te nemen.

Contra expertise

• Om de kwaliteit van analyse te beoordelen is het raadzaam een onafhankelijke partij in te schakelen. In het positieve geval levert dit namelijk een steviger fundament om de voorgestelde maatregelen ook daadwerkelijk te gaan introduceren. In het negatieve geval worden conclusies en aanbevelingen misschien verworpen, maar kunnen desinvesteringen worden voorkomen.

Na de contra expertise kan begonnen worden met het treffen van de voorgestelde maatregelen. Gezien de complexiteit van beveiliging is het raadzaam om voor het totale traject van analyse tot de operationele fase een periode van twee jaar te reserveren. In het boek Informatie beveiliging [Overbeek, 1992], worden praktisch tips gegeven hoe een dergelijke analyse kan worden uitgevoerd.

Einde kader

In het vervolg van dit hoofdstuk zal worden aangegeven hoe de exclusiviteit, integriteit en beschikbaarheid van gegevens en middelen kunnen worden gerealiseerd door gebruik te maken van wet- en regelgeving, procedures en techniek.

Wet- en regelgeving

Door wetgeving op het vlak van computers en netwerken kan een overheid aangeven waar de grenzen liggen van wat wel of niet toelaatbaar is en daarmee de burgers beschermen tegen misbruik van elektronisch opgeslagen gegevens. In Nederland is in 1989 de WPR, de Wet op de Persoonsregistratie, en recent in 1993 de Wet Computercriminaliteit van kracht.

De WPR is een maatregel die de exclusiviteit en integriteit van persoonsgegevens moet waarborgen. Het (elektronisch) beschikbaar stellen van persoonsgegevens wordt in de WPR 'persoonsregistratie' genoemd. De definitie daarvan is: 'een samenhangende verzamelingen van op verschillende personen betrekking hebbende persoonsgegevens die langs geautomatiseerde weg wordt gevoerd of met het oog op een doeltreffende raadpleging systematisch is aangelegd. Bij persoonsgegevens moet het altijd gaan om gegevens die herleidbaar zijn tot een individuele, natuurlijke persoon'. Met ingang van 1 juli 1989 is in de Wet op Persoonsregistratie een aantal verplichtingen vastgelegd waar 'houders' en 'bewerkers' van een persoonsregistratie zich aan dienen te houden, ongeacht de vorm waarin deze gegevens worden opgeslagen. Enkele belangrijke punten hieruit zijn:

• De houder draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van een persoonsregistratie tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Gelijke plicht rust op de bewerker voor het geheel of gedeelte van de apparatuur die hij onder zich heeft.
• Gegevens dienen rechtmatig verkregen te worden en mogen slechts gebruikt worden in overeenstemming met het doel waarvoor de registratie is aangelegd.
• Particulieren en bedrijven dienen een persoonsregistratie aan te melden bij de Registratiekamer. Voor de overheid (inclusief gezondheidszorg, onderwijs en maatschappelijke dienstverlening) geldt dat er een reglement moet worden opgesteld. Details hierover staan beschreven in artikel 19 van de wet op persoonsregistratie.
• Geregistreerden hebben het recht om te weten aan welke derden over een periode van 1 jaar voorafgaande aan het verzoek hen betreffende gegevens zijn verstrekt.
• De houder of bewerker kan civielrechtelijk aansprakelijk gesteld worden indien niet voldaan wordt aan de hiervoor aangegeven verplichtingen.

De WPR zegt dat beveiliging van persoonsregistraties op een 'adequaat niveau' moet worden geregeld, dat wil zeggen volgens de per tijdsvak heersende opvattingen over beveiliging. Met andere woorden: de technische en procedurele hulpmiddelen voor de beveiliging van persoonsregistraties moeten altijd voldoen aan de normen van de tijd.
De WPR komt onder andere kijken bij het opzetten van een Directory Service (bijvoorbeeld X.500; zie hoofdstuk 6), omdat daarmee persoonsgegevens voor de buitenwereld beschikbaar worden gesteld. Iedere 'houder' van een database in een gedistribueerde Directory Service dient deze aan te melden bij de registratiekamer. Zolang zo'n database alleen communicatiegegevens van personen bevat, zoals telefoonnummers en e-mailadressen, is de aanmelding een formaliteit en hoeft vaak geen reglement te worden opgesteld, maar als ook andere zaken beschikbaar zijn, zoals afdelingen waar mensen werkzaam zijn, functies en dergelijke, dan heeft de registatie meer voeten in de aarde.

De Wet Computercriminaliteit is een maatregel die exclusiviteit, integriteit en beschikbaarheid van gegevens beter moet waarborgen. Hoewel de wet bedoeld is om beter te kunnen optreden tegen computerfraude, spionage en sabotage, hoopt de overheid dat er een duidelijke preventieve werking vanuit gaan. Volgens de wet is alleen het binnendringen in een beveiligd computersysteem strafbaar te stellen. Een minimale beveiliging van het systeem is daarbij reeds voldoende, maar deze voorwaarde legt toch een grote verantwoordelijkheid bij de gebruikers en beheerders van systemen omdat zij moeten zorgen dat het systeem op geen enkele wijze 'open' staat. Een kraker van een systeem moet dus een bijzondere inspanning, hoe minimaal ook, plegen om binnen te komen.

Als het binnendringen van een systeem wordt gevolgd door één van de hierna volgende kwalijke handelingen, dan levert dit voor de dader een aanzienlijke vergroting van strafbaarheid op:

• als de dader gegevens of programma's kopieert die zich in het gekraakte computersysteem bevinden;
• als de dader ernstige schade teweegbrengt met betrekking tot de gegevens of programmatuur in het gekraakte computersysteem;
• bij het binnendringen van een computer door tussenkomst van huurlijnen of openbare netten: als de dader hetzij de mogelijkheden van het gekraakte computersysteem onrechtmatig ten eigen bate gebruikt door bijvoorbeeld rekenintensieve programma's te draaien of grote files op te slaan, hetzij met behulp van het gekraakte computersysteem de toegang verwerft tot computersystemen van derden. Dit laatste, het zogenaamde 'hoppen', is dus zelfs strafbaar - gegeven de reeds gepleegde computervredebreuk over de telecominfrastructuur - als de 'systemen van derden' niet eens beveiligd zijn!

Hulpmiddelen die justitie heeft bij het opsporen van computercriminaliteit zijn onder meer het mogen aftappen van telefoon- en dataverkeer en het recht om onderzoek in computersystemen te verrichten (in het kader van een huiszoeking). Het op kunnen sporen van computercriminaliteit blijkt in de praktijk echter geen eenvoudige zaak. De wetgeving op dit gebied moet dan ook gezien worden als een duidelijk maatschappelijk signaal over de normen waaraan een burger zich dient te houden.

Een goede beschrijving van de inhoud en gevolgen van de wet wordt beschreven in [Klaasse, Stikvoort, 1994].

Terug Vervolg Inhoud