Alleen antivirussoftware onvoldoende om in control te blijven

De afgelopen Jaren groeit de hoeveelheid 'kwaadaardige software' sterk. Deze software, zoals spyware en computervirussen, kan ICT-systemen ernstig ontregelen en beschadigen. In maart van dit Jaar nog was bijvoorbeeld de polikliniek van het Spaarne Ziekenhuis in Hoofddorp genoodzaakt om afspraken af te zeggen nadat een virus het computersysteem van de kliniek was binnengedrongen.1 Ook in 2004 bij de aanval op de beschikbaarheid van websites van de Nederlandse overheid (www.overheid.nl en www.regering.nl) werd kwaadaardige software, geïnstalleerd op computers van onwetende gebruikers, gebruikt.2 De schade van dit soort aanvallen loopt wereldwijd in de miljarden, niet alleen door de kosten van computer- en netwerkherstel, maar ook als gevolg van productie-uitval, gemiste opdrachten en extra beveiliging tegen toekomstige aanvallen. De vraag is hoe organisaties zich er het beste tegen kunnen wapenen.

Er bestaan vier hoofdcategorieën kwaadaardige software: virussen, wormen, Trojaanse paarden en spyware (zie tabel). Hun onderlinge verschillen worden steeds vager. De makers willen met deze software (gevoelige) informatie in ICT-systemen stelen, versturen, veranderen, verwijderen en/of onbeschikbaar maken. De software kan bedrijfsprocessen in hoge mate verstoren. Daardoor kunnen bedrijven hun doelen niet halen en wordt de vertrouwensrelatie met klanten verstoord. Met als gevolg grote (financiële) schade, alsmede imago- en marktverlies. 

Tabel. Hoofdcategorieën kwaadaardige software.

Oorzaken
De sterke groei van de kwaadaardige software kent diverse oorzaken. Zo kunnen virussen, wormen. Trojaanse paarden en spyware zich steeds sneller verspreiden en vermenigvuldigen. Wereldwijd gaat het om enkele minuten, mede dankzij breedbandverbindingen. Ook zijn het gebruik van internet en het aantal aangeboden diensten enorm toegenomen. En de aanvalstechnologie is dermate vereenvoudigd dat zelfs onervaren gebruikers kwaadaardige software kunnen maken. Bovendien is het aantal toegepaste aanvalstechnieken toegenomen waardoor het steeds meer tijd kost om kwaadaardige software te ontdekken en grondig te analyseren. Verder wordt er steeds vaker samengewerkt tussen virusschrijvers en criminele organisaties.

Meerdere beveiligingslagen
De vraag is nu hoe organisaties zich het beste kunnen wapenen tegen deze toenemende agressie.

Inmiddels is duidelijk dat dit niet kan met één technologie of beveiligingssysteem. Organisaties moeten meerdere verdedigingslagen maken, zowel op de grens van het eigen netwerk als intern. Deze lagen kunnen een aanval vertragen totdat er een oplossing beschikbaar komt. Daarbij moeten organisaties onderscheid maken tussen verschillende ICT-omgevingen, zoals webomgevingen, e-mailsystemen, databasesystemen en fileservers. Deze opzet wordt wel het 'defense-in-depth'-model genoemd.
Maar de gelaagdheid moet niet alleen in de techniek zitten. Ook beleid, procedures en bewustzijn, vooral bij eindgebruikers, spelen een belangrijke rol. Zo kan het model ook beschermen tegen andere vormen van bedreiging, zoals kwaadaardige medewerkers en hackers.

Penetratietest 
'Defense-in-depth' begint bij het topmanagement. Dat moet bepalen hoe ver het de beveiliging tegen kwaadaardige software wil doorvoeren. Het moet de risico's en de kosten afwegen tegen de baten. Vervolgens legt het management dit vast in zijn beleid, met een beveiligingsplan als afgeleide.
De volgende stap is het zorgvuldig uitdragen van dit beleid. Dat kan onder meer met bewustwordingsbijeenkomsten over het belang van informatiebeveiliging. Regelmatige communicatie over dit onderwerp via intranet, interne mail of zelfs op posters kan eveneens helpen om mensen ervan te doordringen dat ze zorgvuldig met informatie moeten omgaan. Uiteraard moet het management ook handelen naar het beleid, bijvoorbeeld als blijkt dat mensen zich niet aan procedures houden. Zij moeten daarop aangesproken worden. Audits kunnen helpen om te bepalen wat de stand van zaken van de informatie-beveiliging is. Het management kan ook onverwacht poolshoogte nemen op de werkplek. Realiseren mensen zich bijvoorbeeld dat ze wachtwoorden voor zichzelf moeten houden en niet op een geeltje op het computerscherm moeten hangen of met collega's moeten uitwisselen?
Ten slotte kunnen organisaties een aanval ensceneren in de vorm van een penetratietest. Daarbij probeert een ingehuurde hacker, intern op het netwerk of met een externe verbinding, in de systemen binnen te dringen. De organisatie test vervolgens of de verdediging afdoende is.

Investeringen
Met de huidige beschikbare technologieën is het theoretisch mogelijk om een zeer geavanceerde architectuur te ontwerpen waarbij alle mogelijke kwetsbaarheden worden onderkend en opgeheven. Daarvoor is - nogmaals - wél commitment nodig van het topmanagement. Immers, de maatregelen hebben veel impact op de beheersorganisatie en vergen de nodige investeringen. Een gemotiveerde afweging tussen de beveiligingsmogelijkheden en de (financiële) gevolgen ervan is dan ook noodzakelijk. Om die afweging te kunnen maken moet een volledig beeld bestaan van de aanwezige infrastructuur en de bijbehorende risico's. Wanneer deze duidelijk zijn, kunnen de verschillende verdedigingslagen worden georganiseerd.

Analyses wijzen uit dat de meeste incidenten waarschijnlijk voorkomen hadden kunnen worden door het treffen van relatief eenvoudige maatregelen. Naast de genoemde gelaagde verdediging zijn dat onder meer: 

• het preventief detecteren van kwetsbaarheden;
• een solide proces voor het aanbrengen van door leveranciers uitgebrachte softwarepatches;   
• het creëren van bewustzijn bij management, ICT- beheer en eindgebruikers;
• een proces voor de back-up van data. 

Cruciale rol voor de controller
Dat de controller een cruciale rol speelt in de (financiële) afweging van het management, spreekt voor zich. Het probleem is echter dat een 'defense-in-depth'-model financieel niet eenvoudig te onderbouwen is via bijvoorbeeld een kosten-batenanalyse, omdat de mogelijke risico's en hun ernst niet altijd meetbaar zijn. Bovendien brengt het model kosten met zich mee doordat de efficiency van bedrijfsprocessen kan afnemen. Daarom moeten ook de kosten worden meegenomen die zijn gemaakt bij incidenten rond de informatiebeveiliging.
Om te bepalen of de beoogde investering reëel is, kan gebruik worden gemaakt van onderzoeken waarin ICT-investeringen per branche worden vergeleken, zoals de jaarlijkse Global Information Security Survey van CIO Magazine en CSO Magazine in samenwerking met PricewaterhouseCoopers.3 Dit onderzoek omvat niet alleen technische maatregelen, maar strekt zich bijvoorbeeld ook uit tot het noodzakelijke beleid, bewustmaking en het uitvoeren van audits.

Te rade gaan bij ICT
Om zich een scherper beeld te vormen van de risico's en de noodzakelijke maatregelen, kan de controller ook te rade gaan bij de ICT-organisatie.
ICT'ers zien immers als eerste dat er wat mis is - en wat er mis is. Ze kunnen een overzicht geven van de incidenten die ze zien gebeuren, bijvoorbeeld met hackers die proberen binnen te dringen. En ze kunnen aangeven of de verdediging afdoende is. Bovendien weten ze hoeveel en welke medewerkers de beveiligingsprocedures overtreden. Daarop kan dan actie worden ondernomen.
Het verstandigste is natuurlijk om al deze informatie gestructureerd en periodiek te verzamelen en op te nemen in de P&C-cyclus. Idealiter bestaat er tussen de ICT-deelorganisatie en haar gebruikers een overeenkomst die het serviceniveau vastlegt. De ICT-organisatie rapporteert regelmatig aan het gebruikersmanagement of en hoe zij daaraan voldoet. Dat gebeurt onder meer met cijfers over de beschikbaarheid van de computers. Zo zou je in de rapportage ook het aantal incidenten op kunnen nemen dat er de afgelopen maand is geweest op beveiligingsgebied. Of het aantal overtredingen en andere onderwerpen die een indruk geven van de beveiliging.

Deze informatie en de kostenanalyse, ook al betreft het een eerste ruwe schatting, kan de controller meenemen in de planning- en controlcyclus. In de toekomst kan dan het beleid - of de gestelde eisen -regelmatig, gestructureerd en beargumenteerd worden bijgesteld.

Tot slot: de baten

Ook de baten van informatiebeveiliging zijn lastig concreet en kwantificeerbaar te maken. In het Informatiebeveiliging Jaarboek 2000/20014 worden er drie genoemd:
1. het ondersteunen van het productieproces met een betrouwbare informatievoorziening;
3. het voorkómen van imago- of marktverlies, het behalen van concurrentievoordeel en het bereiken van het organisatiedoel; 
4. het voldoen aan wet- en regelgeving. 

Vooral het tweede van bovengenoemde punten is de laatste tijd in het nieuws. De grote datadiefstal bij creditcardverwerker CardSystems Solutions,5 waarbij kwaadwillenden de systemen kraakten en de gegevens van mogelijk veertig miljoen klanten stalen, toont aan dat een slechte beveiliging een zorgvuldig opgebouwde relatie en het imago van betrouwbare gegevensverwerker razendsnel te gronde kan richten.
Ook het privacyaspect wordt de afgelopen jaren steeds sterker benadrukt. In Nederland gebeurt dat door de komst van de Wet Bescherming Persoonsgegevens. Hierdoor verwachten verschillende groepen belanghebbenden (burgers, patiënten, uitkeringsgerechtigden, enzovoort) zeker van overheidsorganisaties dat gegevens vertrouwelijk worden behandeld. De baten zijn als het ware reeds verdisconteerd en vormen een impliciet kwaliteitsaspect. Dat ook bij publieke instellingen in Nederland soms nog onvoldoende aandacht is voor beveiligingsmaatregelen, werd recentelijk aangetoond.6 Ingehuurde beveiligingsdeskundigen wisten 1,2 miljoen elektronische patiëntendossiers te achterhalen door 'in te breken' bij twee Nederlandse ziekenhuizen.
Met de verdergaande digitalisering van informatiestromen en de sterke groei van kwaadaardige software, zal de noodzaak om maatregelen te nemen zoals hier beschreven de komende jaren steeds groter worden. Het verdient dan ook absoluut aanbeveling, voor management én eindgebruikers, om de gevaren en de noodzaak van beveiliging goed te onderkennen voordat de eigen organisatie wordt geconfronteerd met kostbare incidenten. 

P.C.J. Nieuwenhuizen RE RA en S.C. Huyveneers RE CISSP zijn beiden werkzaam bij PricewaterhouseCoopers Advisory. Zij zijn gespecialiseerd op het gebied van Informatiebeveiliging, waarbij de publieke sector een belangrijk aandachtsgebied vormt. 

Noten
1 Spaarne geplaagd door computervirus, Spaarne Ziekenhuis (2005), http://www.spaarneziekenhuis.nl/nieuws/index.php?art=2005/050401_01.
2 Overheid.nl en regering.nl weer bereikbaar, Regering.nl (2004), http://www.regering.nl/actueel/0-42-1_42-49305.jsp.
3 CIO Magazine (2004), http://www2.cio.com/research/surveyreport.cfm?id=75.
4 Informatiebeveiliging Jaarboek 2000/2001, Ten Hagen & Stam Uitgevers (2001).
5 Security breach could hit 40 million payment cards, Reuters (2005).
6 Hack levert ruim een miljoen patiëntgegevens op, Webwereld (2005), http://www.webwereld.nl/articles/37098.