Digitale security-transformatie

We praten al enkele jaren over digitale transformatie. Hoe onze maatschappij en economie steeds meer gebruikmaken van digitale processen die we dankzij het openbare internet vanaf werkelijk elke plek kunnen bereiken en gebruiken. Maar een belangrijk deel van het internet is openbaar (public) en dat levert net als elke openbare ruimte veiligheidsrisico’s op. Met onze verbinding naar het publieke internet halen we als het ware een stukje openbare weg in huis inclusief alle daar aanwezige onveilige achterbuurten.

Op de openbare weg is veel minder garantie voor veiligheid en privacy dan we dat in ons fysieke huis wel hebben. Ons huis wordt vanouds gerespecteerd als privacy-omgeving. De overheid heeft een huiszoekingsbevel nodig om jouw huis te mogen doorzoeken, terwijl op straat iedere burger bij verdenking door die overheid staande mag worden gehouden en gefouilleerd. Hoe veilig onze openbare weg ook is, de kans op onveiligheid is daar veel groter met minder gegarandeerde privacy en rechtsbescherming.

Openbare weg in huis
Dus ongemerkt halen we met internet een stukje vrije en nauwelijks bewaakte openbare weg ons huis binnen. En dat stukje wordt groter nu we naast een stand-alone computer, interne netwerken bouwen en allerhande IoT devices aansluiten op diezelfde openbare weg. Dus moeten we niet verbaasd opkijken als opeens allerlei onbekenden in ons genetwerkte digitale huis rondlopen. De meeste mensen beseffen te weinig dat we op die manier ons huis digitaal steeds verder open zetten voor iedereen die interesse heeft daar eens binnen te komen.

Behalve onze digitale vaardigheden is ook ons digitale bewustzijn nog te beperkt ontwikkeld en kunnen we (de onzichtbare) gevaren nauwelijks herkennen en bevatten. We leven in een luxe wereld dat we op de fysieke openbare weg een redelijke vorm van bescherming en sociale controle hebben weten te bouwen. Dat heeft veel tijd gekost, want in de Middeleeuwen was het buiten de bemuurde stad net zo onveilig als het nu op het openbare internet is. En zodra de stadspoort openging was van absolute bescherming natuurlijk al geen sprake meer.

De muren van Jericho
Jericho is een stad op de Westelijke Jordaanoever, niet ver van de rivier de Jordaan en ligt ongeveer 15 kilometer ten Noordwesten van de Dode zee. De stad ligt 260 meter onder zeeniveau en Jericho staat bekend als de oudste, continu bewoonde stad ter wereld. Het was ook bekend om zijn hoge en ondoordringbare muren.

Het Bijbelse verhaal over Jericho verhaalt dat zelfs die sterkste muren konden instorten als men de wil en kracht heeft om ergens binnen te komen. De naam van de stad was ook de inspiratie voor de naam van het Jericho Forum, een internationale denktank op het gebied van informatiebeveiliging, die zich buigt over nieuwe beveiligingsconcepten. Het forum is opgericht in 2004.

digitale security-transformatie

Het belangrijkste concept is dat informatie niet kan worden beveiligd door haar veilig af te schermen zoals een (digitale) muur of omheining maar dat de beveiliging op het niveau van informatie en data zelf moet plaatsvinden. Immers elke muur kan een keer omvallen. Men noemt dat ook wel ‘deperimeterisation’, waarbij perimeter omtrek of omheining betekent: dus omheiningloze beveiliging door je informatie elementen zélf te beschermen. Het afschermen van servers, netwerken, clouds en databases kan nooit voorkomen dat ooit wordt ingebroken en/of data of informatie kan worden vergaard.

Inherent veilig
Het voordeel van digitalisering zijn de open digitale verbindingen waardoor we eenvoudig en vrijelijk kunnen communiceren en handelen. Omdat muren bouwen dat moeilijk maakt en uiteindelijk niet echte veiligheid biedt, moeten we ons op de data zelf richten. We kennen dit natuurlijk vanuit encryptie of versleuteling, waardoor op een gestructureerde manier de boodschap voor derden onbegrijpelijk wordt gemaakt.

Daarnaast kunnen we gebruikmaken van inherent veilige computerprotocollen en computersystemen. Inherente veiligheid ontstaat als een proces wordt ontworpen en gemaakt dat gebaseerd is op het vermijden, elimineren of reduceren van gevaren in plaats van het beschermen daartegen. In mijn blog vorige week introduceerde ik dit principe met de introductie van failsafe denken: bij een onregelmatigheid valt het systeem automatisch terug in een veilige toestand.

Authenticatie
Last but not least is natuurlijk authenticatie belangrijk. En dan authenticatie op gegevensniveau of anders gezegd op het data-plane: het deel van het netwerk dat het dataverkeer van gebruikers verzorgd. Zonder authenticatie gebeurt er absoluut niets in het omheiningloze data-netwerk. Als de identiteit van een persoon, systeem of apparaat niet ondubbelzinnig kan worden vastgesteld, is er geen basis voor de ideeën van het Jericho Forum.

Het is zelfs één van de elf geboden die het Forum heeft opgesteld: Gij zult uw authenticatie, autorisatie en verantwoordelijkheid zo vormgeven dat ze ook ver buiten uw eigen terreinen kunnen worden herkend en uitgewisseld. Het Forum doet een pleidooi voor open standaarden die organisaties in staat stellen informatie over authenticatie en autorisatie ‘peer-to-peer’ uit te wisselen, zonder tussenkomst van een derde partij.

Met multifactor authenticatie kan de betrouwbaarheid nog extra worden vergroot. De aanvaller dient nu niet alleen het kennisnetwerk te kraken, maar ook het token te bezitten en de pincode daarvan te kennen. Ook blockchain kan op dit gebied natuurlijk veel verbeteringen bieden door het elimineren van derde partijen.

Volledige beveiliging bestaat niet
Beveiligen is drempels opwerpen, een inherent veilig proces ontwerpen en bouwen en tenslotte strikte discipline. Maar net zoals je je huis extreem kunt beschermen met passieve en actieve systemen, iemand die persé wil binnendringen zal ‘ooit’ zijn kans krijgen. Dat geldt ook voor onze digitale huizen. Bij goede beveiliging hoort de erkenning dat volledige beveiliging niet bestaat en dat iedereen die dat belooft een façade verkoopt in plaats van serieuze bescherming aanbiedt.

Zowel techniek als de mens blijven altijd (nieuwe) zwakke schakels opleveren die tot ongelukken kunnen leiden. Daarom is het continu blijven werken aan bewustzijn, onderwijs, oefening en aandacht wellicht de derde belangrijke beveiligingsstrategie. Beseffen dat door onze digitale transformatie onze eigendommen, informatie en kennis zich steeds vaker op de ‘openbare’ weg bevinden waar veiligheid en bescherming niet gegarandeerd zijn.

Digitale wilde westen
In mijn eerdere blog ‘A mans Phone is his Castle’ vertel ik hoe de academische wereld druk bezig is om onze wetgeving ook gereed te maken voor de digitale transformatie die we begonnen zijn. Voor onze fysieke wereld bestaan er al eeuwen goede wetten over huisvredebreuk en het briefgeheim. Echter voor digitale brieven en huizen is dat nog onvoldoende geregeld. We hebben met elkaar nog heel veel te doen om het digitale ‘wilde westen’ dat helaas op te veel plaatsen bestaat, echt veilig te maken.

About the Author: Hans Timmerman

Hans Timmerman (1953) is als CTO binnen Dell EMC Nederland verantwoordelijk voor de ontwikkeling en verdieping van zowel Dell EMC's lokale business en technology development als voor de bestaande strategische allianties en partnerships. Een groot deel van zijn carrière was Hans werkzaam in de Nederlandse vliegtuigindustrie. Daarna bekleedde hij bij verschillende IT-bedrijven management- en directiefuncties.