De gebruiker; van zwakste naar sterkste schakel

Onze automatisering is best veilig, maar het grootste risico is het gedrag van de gebruiker. Onze veiligheidskleppen moeten voldoen aan de hoogste eisen, er mag niets gebeuren.

Vroeger was de beveiliging beter

Op een domme terminal kon een blind paard nog geen schade aanbrengen. De autorisatie, die bij de rol van de gebruiker hoorde, was bekend. De plaats, het tijdstip en het bureau van de gebruiker was bekend. Het risico dat het gebruik door iemand anders op een andere plek of tijdstip plaatsvond was klein. De gebruiker was technisch ingekaderd. Het mainframe draaide vrijwel altijd, de apparatuur was vertrouwd en vertelde alles door. Two o’clock and all is well!

Zo werkt de hedendaagse praktijk

Eenmaal volwassen geworden is de moderne werknomade empowered, heeft een superslim device zelfstandig geroot, of de jailbreak gemaskeerd en werkt overal en altijd met een verbinding met de hoogste snelheid. Deze verbinding zou zomaar gehackt kunnen zijn. De dagelijkse RatRace van hogere targets en een slappe economie verkleint zijn risicobewustzijn, daar waar het snel en goedkoop is, daar wil hij zijn. Businessmanagers kopen in de cloud een informatiefunctie en zolang er geen enkele relatie is met de centrale ICT is er niets aan de hand. Het wordt pas lastig als er toch een koppelingetje nodig is met het bedrijfssysteem. De ronkende factsheets van leveranciers laten de beslissers geloven dat het allemaal heel simpel is. De gebruikers hebben geen zin in al die wachtwoorden, ze willen Single-Sign-On in de cloud.

Risicobeperking met cloud, hoe doe je dat dan?

Vanuit ons bekende denkpatroon willen we het acceptabele risico bepalen en inschatten. De inschatting is niet statisch maar afhankelijk van de omgevingsfactoren. Met een managed device op een tijdstip in het normale service window met multi factor authenticatie (token, certificaat, GPS positie) levert de hoogst mogelijke autorisatie. Met een geroot device en alleen een paswoord ’s nachts vanuit China mag je nog net de mail lezen. Risc Based Access Control is de norm.

Het vertrouwen dat gebruikers stelden in de goed afgeschermde ICT, is niet meer terecht nu we voornamelijk gebruikmaken van onveilige verbindingen met onveilige apparatuur. De gebruiker mag wel wat achterdochtiger worden. Het dataverkeer dat van buiten, on-premise of bij de cloudleverancier binnenkomt wordt traditioneel door de wasstraat met firewalls, DDOS protecties, SSL offloadings, reverse proxys en viruscontroles binnengelaten. Omdat het mogelijk is dat de gebruiker toch niet is wie hij zegt te zijn, moet zijn gedrag over de verschillende clouddiensten heen gemonitord en vergeleken worden, met de voor hem specifieke referentiepatronen. Hiermee kunnen dan afwijkingen worden gesignaleerd. Single Sign On helpt hierbij doordat op deze wijze elk gedrag direct aan een specifieke gebruiker te relateren en te registreren is.

Maar wat nu als de gebruiker zich keurig gedraagt, uit niets blijkt dat er iets afwijkend is en het gebruikelijke gedrag nogal divers is? Hoe weet ik dan zeker dat de bedrijfsgegevens integer blijven en niet bijvoorbeeld door een vermomde struikrover wordt meegenomen? Sociale controle op het internet is en blijft lastig. De toegangspoortjes van het bedrijfsnetwerk vertellen ons of het gebruik van het device qua tijd en plaats overeenkomt met waar de gebruiker is. Door direct de gebruiker te confronteren bij afwijkingen kan de beveiliging toetsen of alles nog in orde is.

Gebruikers niet meer als gevaarlijk studieobject maar aan het stuur van de beveiliging

De basis tussen werkgever en werknemer is altijd een vertrouwensrelatie. Waarom mag de gebruiker dan zelf niet zijn gemeten gedrag controleren? Directe terugkoppeling van afwijkingen in je eigen gedrag wil je toch ook wel weten? We hebben nu een token of SMS code nodig om te kunnen werken. Waarom krijg je geen bericht als er uit jouw naam onverwacht gebruik wordt gemaakt van diensten? Je weet zelf het beste waar je bent en wat je nu aan het doen bent, toch?

Creatieve architecturen gebaseerd op sociale controle

Leveranciers van beveiligingsproducten spelen vooral in op de behoefte aan centrale controle zoals Risk, Management en Compliance. Aanvallers vanaf buiten gaan echter creatief langs de bedachte patronen. In het normale buitenleven wordt met betrekking tot onze veiligheid aanspraak gedaan op burgerparticipatie. Dit soort creatieve gedachten kunnen ons ook tot geheel andere inzichten leiden, waardoor onze veiligheid zich anders zal ontwikkelen. De gebruiker is de frontlinie van onze bescherming. Waarom rusten we hem niet beter uit?

In plaats van de geijkte geadviseerde richtingen, een met de voeten op tafel volledig ‘wat als we het nou eens anders zien’ sessie, levert een compleet ander scenario op voor de security architectuur. Ongelezen handboeken, over hoe het zou moeten werken, vervangen door participatie. Een eindejaarsbonus voor de eerste gebruiker, die de geënsceneerde inbraak ontdekt. Anders, omdat het kan maar misschien wel omdat het moet.


Riccardo Oosterbaan is Domeinarchitect, Identity & Access Management & Security.

Dit artikel was op 19 oktober 2013 te lezen bij Cqure en is met toestemming op ISP Today gepubliceerd.

Over Riccardo Oosterbaan

Laatste artikelen