nieuws

Internet gebruikers lopen meer dan alleen een inbraakrisico

Archief

In dit artikel wordt een overzicht gegeven van de beveiligingsproblematiek waarmee u te maken krijgt bij het koppelen van een bedrijfsnetwerk aan het Internet. Deze problematiek omvat naast technische aspecten, zoals het installeren van een aparte beveiligingscomputer (een zogenaamde firewall) ook organisatorische aspecten zoals het opstellen van een beleid ten aanzien van het gebruik van Internet en het instrueren van gebruikers opdat op een verstandige wijze met de nieuwe mogelijkheden van de techniek wordt omgegaan.

door P.H. Samwel en N. Huizing
Internet is het snel groeiende wereldwijde netwerk van computers. Deze computers bevatten informatie die voor een belangrijk deel direct en vrij toegankelijk is voor iedereen. Via het Internet communiceren naar schatting meer dan veertig miljoen computergebruikers over de hele wereld. Het Internet is een soort vrijmarkt waar een grote diversiteit en hoeveelheid aan informatie wordt aangeboden door universiteiten, bedrijven en particulieren.
Beveiliging van Internet
Wie gebruik wil maken van het Internet dient zich te realiseren dat het nauwelijks beveiliging biedt tegen misbruik. Derhalve is een behoedzaam gebruik van het Internet op zijn plaats.
Deze relatieve onveiligheid wordt veroorzaakt door het volgende:
Het Internet wordt niet beheerd door een organisatie die aansprakelijk kan worden gesteld voor de continuïteit, integriteit of de vertrouwelijkheid van het berichtenverkeer.Op het Internet zijn personen actief die het inbreken in computernetwerken als een sport beschouwen. Deze mensen vallen buiten de reikwijdte van eventuele repressieve maatregelen (berisping, ontslag) van uw organisatie.Het Internet geeft medewerkers van uw bedrijf een eenvoudige weg om vertrouwelijke informatie (eventueel onbewust) naar de buitenwereld te sturen.Het benaderen van de Internet services geschiedt door Internet client-programmatuur (b.v. WWW browser, News reader, E-mail programma) op de eigen computer te plaatsen. Deze programmatuur wordt veelal via het Internet verkregen zonder dat functionaliteit hiervan geheel duidelijk is. Onbekende functionaliteiten, alsmede fouten in de client-programmatuur, kunnen belangrijke beveiligingslekken vormen.Het Internet bevat ook recreatieve diensten en informatie die kunnen leiden tot het verspillen van werktijd.Een deel van de beveiligingsrisico’s met betrekking tot het Internet is van technische aard. Deze kunnen veelal worden opgelost met technische maatregelen. Daarnaast zijn er echter ook risico’s die gerelateerd zijn aan specifieke Internet Services. Deze risico’s worden veelal verholpen met een combinatie van technische en organisatorische maatregelen.
Hierna wordt ingegaan op beveiligingsrisico’s en mogelijke beveiligingsmaatregelen verbonden aan het gebruik van de verschillende Internet services en risico’s en maatregelen met betrekking tot de verschillende koppelingsmethoden.
Internet services
De informatie-uitwisseling over het Internet geschiedt via verschillende methoden, services genaamd, elk met een eigen karakter. De meest gebruikte Internet toepassingen zijn:
E-mail;Usenet News;World Wide Web (WWW);Internet Relay Chat (IRC).In de verzekeringsbranche wordt E-mail en World Wide Web het meest gebruikt. E-mail wordt gebruikt om berichten te sturen naar collega’s, het World Wide Web wordt door veel verzekeringsbedrijven gebruikt om potentiële klanten te informeren over hun producten. Hierna wordt ingegaan op de risico’s die verbonden zijn aan de meest gebruikte services.
E-mail
Via E-mail kunnen electronische postberichten worden verstuurd naar andere Internet gebruikers. Deze postberichten worden via diverse knooppunten naar de geadresseerde gestuurd. Op al deze knooppunten bestaat het risico op het lezen van uw postbericht, zelfs zonder dat u of de geadresseerde dit kan detecteren. Ook is het mogelijk om post te versturen uit andermans naam. De herkomst van een electronisch poststuk is namelijk niet gegarandeerd al hoewel dat door de transportinformatie die aan het bericht wordt toegevoegd wel wordt gesuggereerd.
De risico’s rondom E-mail zijn met vormen van versleuteling wel te verhelpen. Het toepassen van deze versleuteling vergt echter wel extra handelingen van de verzender. Ook zullen niet alle potentiële ontvangers beschikken over software om de berichten te ontsleutelen. Met de communicatiepartner zullen dus afspraken moeten worden gemaakt over wanneer welke vorm van versleuteling zal worden toegepast. Binnen een bedrijf zal moeten worden vastgelegd welke berichten wel en niet via E-mail mogen worden verstuurd en welke vorm van beveiliging noodzakelijk is.
Usenet News
De Usenet News is een soort electronisch prikbord waarmee over diverse onderwerpen wordt gediscussieerd door middel van het plaatsen van berichten. Deze berichten kunnen na enige minuten door anderen worden gelezen en zij kunnen hier antwoord op geven. De antwoorden kunnen ook door alle mensen die op de betreffende groep geabonneerd zijn worden gelezen. Op het moment zijn er discussiegroepen voor meer dan 5000 onderwerpen. Bij een discussie geeft eenieder zijn of haar mening over het discussieonderwerp. Usenet News discussies staan dan ook bol van meningen van participanten die vervolgens elkaar op argumenten bestrijden. Indien u met een bedrijfsaansluiting deelneemt aan een Usenet Newsgroep kunt u door het drukken op een toets een mening van het bedrijf aan duizenden lezers ter beschikking stellen. Dit terwijl de meeste bedrijven via de conventionele media erg voorzichtig zijn met het doen van uitlatingen naar buiten. Ook kan dit een lijn zijn waarmee vertrouwelijke informatie uw bedrijf verlaat. Het is derhalve gewenst dat uitgaande discussie-berichten worden getoetst op kwaliteit en inhoud.
Door het gemak waarmee uitlatingen op Usenet News worden geplaatst blijken nogal wat onwaarheden op het News netwerk te staan. Ook de gebruiker die alleen consumeert moet derhalve op zijn hoede zijn bij het gebruik van de informatie die hier wordt aangeboden.
World Wide Web
Met het World Wide Web kunt u bladeren in een soort electronische tijdschriften met tekst en plaatjes. Deze teksten bevatten verwijzingen naar andere teksten waardoor u ongemerkt van de ene plaats op het Internet naar de andere plaats springt. Veel verzekeringsbedrijven brengen zo hun produkten aan de man.
Via de web browser kunnen ook plaatjes en software worden overgehaald Hierin schuilt gelijk een gevaar. Het is een extra ingang tot uw bedrijfsnetwerk voor virussen. Een combinatie van voorlichting, procedures en virusscan software kunnen het risico op virussen beperken.
Internet Relay Chat (IRC).
Internet Relay Chat is een electronische babbelbox waarmee direct met meerdere mensen gecommuniceerd kan worden. Op het moment dat u bij een IRC iets intoetst verschijnt dat direct bij de overige babbelboxgenoten op het scherm. De toegevoegde waarde van IRC voor de bedrijfsvoering van de meeste bedrijven is zeer beperkt. Dit terwijl het risico op tijdverspilling in werktijd groot is. Het is derhalve van belang strikte richtlijnen op te stellen voor het gebruik van IRC. Veelal is het aan te bevelen technische maatregelen te nemen om het gebruik van IRC te verhinderen.
Connectiemethoden
Er zijn verschillende methoden om een verbinding te leggen met het Internet. Deze methoden, met name de samenhang hiervan met het eigen bedrijfsnetwerk, is bepalend voor de risico’s die op dit vlak worden gelopen.
Geïsoleerde verbinding
Bij een geïsoleerde verbinding wordt het bedrijfsnetwerk niet gekoppeld aan het Internet.
Doordat de Internet gebruiker werkt op een stand-alone PC die op geen enkele wijze aan het bedrijfsnetwerk is gekoppeld, kunnen hackers (computer-inbrekers) de Internet verbinding niet misbruiken om zich toegang te verschaffen tot het bedrijfsnetwerk. Het risico blijft beperkt tot de gegevens die zich op het Internet werkstation bevinden.
Het grote risico dat in deze vorm van verbinding schuilt is dat de argeloze gebruiker de stand-alone PC toch aan het bedrijfsnetwerk koppelt, bijvoorbeeld om gebruik te maken van de netwerk printer. Daarmee wordt de geïsoleerde situatie opgeheven waarmee het risico op ongeautoriseerde toegang tot het bedrijfsnetwerk weer actueel wordt. Het is derhalve cruciaal dat richtlijnen worden opgesteld voor het gebruik van deze geïsoleerde Internet werkstations.
Indirecte verbinding
Bij een indirecte verbinding wordt de verbinding tot stand gebracht met beperkte functionaliteit. Een dergelijke verbinding wordt veel gebruikt bij bedrijven die alleen een koppeling willen voor het uitwisselen van electronische post.
Doordat de verbinding een beperking oplegt aan de services die toegestaan zijn, worden ook de risico’s beperkt tot de risico’s behorende bij de toegestane services. Doordat hackers gebruik maken van services die verder gaan dan alleen electronische post kan een dergelijke verbinding een barrière vormen tegen aanvallen van hackers. De risico’s die blijven bestaan worden bij deze verbindingsvorm bepaald door de services die via de indirecte verbinding worden doorgelaten.
Directe verbinding
Via de geïsoleerde verbinding heeft u de beschikking over de volledige Internet functionaliteit. Deze functionaliteit is echter alleen toegankelijk vanaf het geïsoleerde werkstation. Indien meerdere gebruikers vanaf hun werkplek toegang tot het Internet wensen, zult u de Internet aansluiting moeten opnemen in het bedrijfsnetwerk. Er is dan een verbinding tussen het bedrijfsnetwerk die kan worden gebruikt om informatie op het Internet te raadplegen. Deze verbinding kan echter ook worden misbruikt om vanaf het Internet toegang te krijgen tot het bedrijfsnetwerk. Om dit te verhinderen wordt veelal overgegaan tot het plaatsen van een speciale beveiligingscomputer, firewall genaamd, tussen het bedrijfsnetwerk en het Internet.
De firewall zorgt ervoor dat ongeautoriseerde verbindingen vanaf het Internet niet worden doorgelaten aan het interne netwerk. Ook kan de firewall verhinderen dat medewerkers tijd verspillen met Internet Relay Chat door die dienst te blokkeren.
Hierbij is het van belang dat de inrichting van de firewall een juiste weergave is van wat u wel en niet wenst toe te staan op het Internet.
Conclusie
Voordat u een aansluiting aan het Internet realiseert dienen keuzen te worden gemaakt. Deze keuzen zijn bepalend voor de soort verbinding en de beveiligingsmaatregelen die noodzakelijk zijn.
Voor het realiseren van een veilige Internet verbinding zal het volgende traject moeten worden doorlopen:
Ir. P.H. Samwel RE (paulsam@ad.mey.nl) N. Huizing RE RA (nicoh@ut.mey.nl) De auteurs van dit artikel zijn werkzaam bij Moret Ernst & Young EDP Audit, tel. 020-5497222 (Amsterdam) resp. tel. 030-2588588 (Utrecht). *********************** TEKST VOOR ILLUSTRATIE: *********************** Welke services zijn gewenst? Wat zijn de risico’s behorende bij deze services? Welke connectiemethode nemen we? Wat zijn de risico’s verbonden aan deze connectie? Internet-beleid en beveiligingsnormen Richtlijnen voor gebruik en beheer Uitwerking technische beveiliging

Reageer op dit artikel