Security (b)log: Werkvloer

Een prettige tinteling maakt zich van mij meester als ik merk dat collega’s, die zich niet zoals ik primair met informatiebeveiliging bezighouden, erg met beveiliging zijn begaan en hun best doen om te helpen bij het oplossen van een probleem waar ze in hun werk tegenaan zijn gelopen. In de afgelopen week mocht ik meerdere van deze tintelingen ervaren. Eentje daarvan wil ik met je delen.

Iedere medewerker heeft credentials om op systemen aan te loggen (‘geloofsbrief’ of ‘legitimatiebewijs’ zegt het woordenboek; ik bedoel user-id + wachtwoord). Maar er zijn ook computers die bij andere computers aanloggen en die hebben daarvoor ook credentials nodig. Maar wie beheert die credentials? Juist: mensen. En zoals we allemaal weten zijn nu juist mensen de zwakke schakel als het om wachtwoorden gaat.

Wachtwoorden beheren die niet van jezelf zijn betekent per definitie dat ze moeten worden opgeschreven. Zo’n briefje kun je in een kluis leggen, en dan schrijf je op de envelop wie er allemaal bij mag. Als je het beheer van de kluis goed hebt ingeregeld – functiescheiding, vier-ogenprincipe, fysieke toegang – dan is dat best wel een veilige werkwijze. Er kleven natuurlijk ook nadelen aan: je moet fysiek naar zo’n kluis toe, er moet fysieke identiteits-controle plaatsvinden en je hebt er een handjevol mensen voor nodig. Buiten kantoortijd zijn de te nemen hordes nog wat hoger. Dat maakt dat niet iedereen altijd even zorgvuldig de kluisprocedure volgt. En het grootste probleem is dan dat dat tamelijk onzichtbaar blijft. De kluisbeheerder ziet enveloppen komen en gaan, maar zoals de posterijen niet weten welke brieven je niet hebt verzonden of aan een koerier hebt meegegeven, zo weet de kluisbeheerder ook niet wat er zich buiten zijn welomschreven procedure afspeelt. En dat blijkt nogal wat te zijn.

Je kunt het ook elektronisch oplossen. En dan bedoel ik niet het beruchte bestand ‘wachtwoorden.xls’ – dat is echt niet veilig mensen. Ook niet als er een wachtwoord op dat bestand zit. Na verloop van tijd zijn er teveel mensen die dat wachtwoord kennen en zwerven er teveel kopieën van het bestand rond. Een veel betere oplossing is een elektronische password vault of wachtwoordkluis – op de consumentenmarkt vaak password manager genoemd. Misschien gebruik je er zelf eentje, bijvoorbeeld KeePass, Dashlane of LastPass. Die consumentenproducten zijn echter ook geschikt voor het beheer van niet-persoonsgebonden credentials in, laten we zeggen, een rekencentrum. Denk aan een uitpuilende database, niet ingericht zijn voor meerdere gebruikers en gebrek aan audit-mogelijkheden. Nee, je hebt een ander soort product nodig, eentje dat aan al dat soort bezwaren tegemoetkomt.

Maar in deze blog gaat het mij er niet om hoe we dit varkentje wassen. Waar het wel om gaat bij mijn tinteling is dat iemand zich los weet te maken uit de dagelijkse routine, afstand kan nemen van de manier waarop we dingen doen, en zich afvraagt of dat eigenlijk wel goed is. Ik heb, naar aanleiding van een incident, een actiepuntje liggen om te onderzoeken hoe een bepaald onderdeeltje van dat wachtwoordproces beter zou kunnen. In plaats van daar achter mijn bureau over na te denken en een fraaie policy te schrijven, zocht ik iemand op die er in zijn dagelijkse werk mee te maken heeft. Want zo iemand weet als geen ander waar de schoen precies wringt en welke oplossingen wel en niet kunnen werken. Doe je dat niet, dan kun je zomaar iets bedenken wat theoretisch helemaal klopt maar in de praktijk niet werkbaar is. Daar schiet niemand iets mee op, het zal eerder contraproductief werken.

Dus, vakbroeders, even in het algemeen: zoek de werkvloer op, leg er beide oren te luister, straal vertrouwen uit en hoor aan waar je de beveiliging van je organisatie écht een duwtje in de goede richting kunt geven. En ervaar de tinteling.