Home Security Sinterklaas, of: kent u de vreemdeling die aanklopt?

Sinterklaas, of: kent u de vreemdeling die aanklopt?

325

Iedereen weet: de verantwoordelijkheid voor IT-beveiliging ligt voornamelijk bij de gebruikers. Als zij zich verstandig gedragen, komt het gros van de bedreigingen niet binnen. Cybercriminelen zijn daar inmiddels ook achter. Steeds vaker vermommen zij zich als schijnbaar bekende, vertrouwde gebruikers. Het is daarom belangrijk om gebruikers niet alleen te herkennen aan gegevens, maar ook aan gedrag.

Nu Sinterklaas (bijna) in het land is, gaan de gedachten weer uit naar vreemdelingen die aan de deur kloppen. Nu zult u Sinterklaas waarschijnlijk wel binnen laten, want die komt meestal op uitnodiging. Maar stel dat u het bezoek niet verwachtte, maar dat die Sinterklaas zegt dat hij door een collega of familielid is gestuurd? Laat u hem dan binnen? Het is te hopen dat dit niet tot een familiedrama leidt.

Het is, gezien de politieke correctheid, nog even de vraag, maar misschien komt Sinterklaas niet alleen. Hebt u zijn metgezellen ook allemaal uitgenodigd? Misschien glipt er een Pietje mee naar binnen die eigenlijk niet bij het gezelschap hoort en die uw huis leegrooft terwijl u pakjesavond viert.

Sinterklaas met identiteitsbewijs

Een Sinterklaas heeft tegenwoordig een identiteitsbewijs of andere referenties bij zich, zodat u hem bij twijfel kunt identificeren. Maar wat zegt dat nu eigenlijk? U weet natuurlijk niet zeker of de man onder de baard dezelfde is als de man die met naam en pasfoto op een pasje staat. Stel dat u het hele Sinterklaas-gezelschap besteld had en u hebt de referenties gecontroleerd, maar het staat opeens om 2 uur ’s nachts voor de deur. Doet u dan open? Of bekruipt u toch een onbehagelijk gevoel dat er iets niet in de haak is?

Ik wil uw Sinterklaasavond niet verpesten door u angst aan te jagen, maar als het om toegang tot uw vertrouwelijke en gevoelige bedrijfsgegevens gaat, gelden dezelfde vragen. Alleen is het nog moeilijker om deze te beantwoorden want er klopt niet één vreemdeling, maar honderden gebruikers aan de deur van uw netwerk. De gemakkelijke oplossing is om iedereen toegang te weigeren, of in elk geval aan de deur streng te controleren. Maar erg praktisch is dat niet, zeker nu de grenzen van het netwerk zo goed als verdwenen zijn. Het gebruik van externe diensten, sociale logins, de toename van mobiele apparaten en de populariteit van de cloud, betekent dat bedrijven zich meer en meer moeten blijven focussen op het beheer, de authenticiteit en controle van al deze identiteiten.

Want hoe weet u dat degene die zich als geautoriseerde gebruiker aanmeldt ook werkelijk is wie hij zegt te zijn? Het feit dat zij een gebruikersnaam en wachtwoord hebben, zegt niet zoveel meer. Het lijkt kinderlijk eenvoudig voor onbevoegden om daar aan te komen. Bijvoorbeeld door te hacken, zoals in augustus gebeurde. Toen werden 5.600 Nederlandse websites gehackt, waardoor 1,3 miljoen e-mailadressen en -wachtwoorden uitlekten. Soms zorgt een domme fout voor het openbaar maken van gebruikersgegevens, zoals een medewerker bij het Zilveren Kruis overkwam.

Dubbele authenticatie, de combinatie van een wachtwoord en een token of chipkaart, werd lang gezien als sterke authenticatie. Maar door skimmen en diefstal kunnen ook de extra beveiligingsmaatregelen in de handen van cybercriminelen komen.

De context waarin de gebruiker toegang zoekt tot de systemen is minstens zo belangrijk. Het gaat dus niet alleen om wat zij weten en wat zij hebben, maar ook om waar zij zijn en, bijvoorbeeld, hoe laat zij hun autorisatie gebruiken. Dan blijken opeens veel gebruikers een hoog risicoprofiel te hebben. Zij benaderen applicaties bijvoorbeeld vanaf meerdere toegangspunten in het netwerk, van buiten de firewall of midden in de nacht. In al deze omstandigheden moeten de alarmbellen rinkelen.

Natuurlijk moeten mensen toegang hebben tot de juiste gegevens op het juiste moment. Zonder inbreuk te maken op beveiliging en vertrouwelijkheid. Daar is een risicogebaseerde aanpak nodig. Zoals John Delk van NetIQ het onlangs  formuleerde in een interview met het Australische Chief Security Officer (CSO) Magazine: “identity is the key to security”. Heeft de juiste gebruiker de juiste toegang tot de juiste informatie, en uitsluitend daartoe? Het antwoord op die vraag is een goede indicatie van hoe krachtig de beveiliging is. IT-afdelingen kunnen helpen door de gegevens die zij verzamelen te gebruiken en te vergelijken met gedragsanalyses. Zo kunnen zij gebruikers met een hoog risico identificeren. Dan kunnen zij met een gerust hart zingen: “Sinterklaasje kom maar binnen met je …”

Bram Haasnoot, RealOpenIT

1 REACTIE

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in