Het kasteel is lek

 

Afbeelding via Pixabay

Assume breach – ga er maar gerust van uit dat je systemen gecompromitteerd zijn, dus dat hackers zich toegang hebben weten te verschaffen tot jouw ICT-middelen zonder dat je het hebt opgemerkt. Het is natuurlijk geen fijn uitgangspunt. Het betekent zoveel als: mijn beveiliging zal falen en ik kan dat niet tegenhouden. Het klinkt alsof je het hoofd in de schoot legt, als een capitulatie. Zo is het echter niet bedoeld. Nee, de assume breach-gedachte wil je erop wijzen dat je tegenstanders zoveel kansen hebben om jouw kasteel binnen te dringen, dat het simpelweg ondoenlijk is om alle gaatjes altijd afdoende te beschermen.

Laat mij de kasteelmetafoor wat verder uitdiepen aan de hand van de aloude gelijkenis zoals we die in de informatiebeveiliging kennen, met de kasteelgracht, de ophaalbrug en de kroonjuwelen in de robuuste donjon. In die vergelijking wordt juist benadrukt hoe goed we het allemaal voor elkaar hebben met onze gelaagde beveiliging. Ik wil het er juist over hebben dat die laagjes allemaal hun zwakke punten kennen.

Laten we beginnen bij de slotgracht. Die is makkelijk: in de winter kun je er soms gewoon overheen lopen (ja jongelui, vroeger werd het in de winter zó koud dat ‘s lands wateren bevroren). Ik denk dat menige trotse, middeleeuwse kasteelheer lelijk op z’n neus keek toen bleek dat zijn geniale waterbarrière ook zonder bootjes eenvoudig kon worden genomen, als de vijand maar het juiste moment afwachtte. Voor het normaal oversteken van dat watertje hebben we de ophaalbrug. Wat gebeurt er als de kettingen of touwen, waarmee de brug wordt opgehaald, knappen? Dan valt het brugdek naar beneden en kan iedereen er overheen. Vanuit beveiligingsperspectief wil je niet dat als iets stuk is, de onveilige situatie de standaard wordt.

Maar gelukkig hebben we nog het valhek, dat de opening in de kasteelmuur afsluit. Als de kettingen daarvan knappen, dan valt het omlaag en is de toegang versperd. Tenminste, als het niet door de ongecontroleerde val scheef gaat en daardoor klem komt de zitten. Dan blijft het juist weer open en kan de vijand alsnog naar binnen.

Als laatste is daar nog de donjon, de kloeke woontoren van de kasteelheer. Die heeft dikke muren en smalle ramen. De dure spullen en de belangrijke mensen zullen wel bovenin hebben gezeten, het verst bij een indringer vandaan. Ik ben alleen bang dat ze geen kant op konden als de vijand een vuurtje ging stoken.

Het schillenmodel is gebaseerd op de hoop dat als de ene schil doorbroken is, de volgende schillen de aanvaller alsnog tegenhouden. Maar is het dan zo ondenkbaar dat alle schillen tegelijkertijd lek zijn? De slotgracht is bevroren, het valhek is vastgeroest en de vijand, die ongehinderd naar binnen marcheert, rookt de kasteelheer uit. Maar je vergeet de boogschutters! Tja, dat is dan een kwestie van aanvallen met een voldoende sterk en goed uitgerust leger.

Ga er dus maar van uit dat de aanvaller al binnen is, zegt de assume breach-mindset. Misschien staat hij nog niet bovenin de donjon, maar loopt hij wel al rond binnen de muren van je kasteel. Hij is vermomd en wacht op een goed moment om zijn slag te slaan. Wat doe je dan, als je denkt te weten dat de vijand in vermomming al binnen is? Dan vertrouw je niemand meer. In security-termen: zero trust. Je gaat ervan uit dat niemand te vertrouwen is en dat je dus iedere keer, dat iemand iets wil, je moet controleren of dat mag. Dus niet: “Ha Jan, kom binnen”, maar: “Ha Jan, even controleren of je er nog steeds in mag.”  Dat veronderstelt op zijn beurt weer dat helder is wát er allemaal mag: klopt het wel dat zóveel medewerkers toegang hebben tot dat belangrijke systeem? Of kun je dat aanvalsoppervlak verkleinen door een betere autorisatiestructuur? Hoe meer mensen iets kunnen, hoe meer mensen een aanvaller kan proberen te misleiden via bijvoorbeeld phishing. Een andere belangrijke maatregel in deze context is tweefactorauthenticatie: je zegt wel dat dit jouw user-id en wachtwoord is, maar dat alleen is niet goed genoeg om toegang te krijgen.

In het fysieke kasteel werkt nul vertrouwen maar tot op zekere hoogte. De kasteelheer zal uiteindelijk zijn lijfwachten en zijn kok moeten kunnen vertrouwen. Hij kan wel extra maatregelen treffen: de juwelen uit de vitrinekast halen en in een afgesloten kist opbergen bijvoorbeeld. Dan maak je het een aanvaller toch weer een stukje moeilijker. En dat is waar het in ons vak om draait.

 

En in de grote boze buitenwereld …

• torpedeert Flipper je iPhone en iPad.
• heeft het Team High Tech Crime van de politie een eigen podcast.
• frauderen criminele organisaties met zogenaamd niet aangekomen pakjes.
• zijn er aan de andere kant ook steeds meer malafide webshops.
• plaatsten diverse politieke partijen illegaal cookies.
• moeten topmanagers zich verdiepen in kunstmatige intelligentie.
• zijn in Bletchley Park belangrijke eerste stappen gezet richting veilig gebruik van kunstmatige intelligentie.
• is ‘ontkoppelen’ misschien wel het nieuwe toverwoord voor onze online privacy en veiligheid.
• is iedereen in de organisatie verantwoordelijk voor informatiebeveiliging.
• legt de Autoriteit Persoonsgegevens nog eens uit hoe gemakkelijk wachtwoorden te kraken zijn.
• uiten vijfhonderd wetenschappers hun bezorgdheid over artikel 45 van eIDAS.