Infosecurity 2002 Nog een lange weg
Het klinkt reeds als een cliché maar 11 september 2001 is blijkbaar als een bom ingeslagen in het security bewustzijn bij heel wat bedrijven. Toch is de weg nog lang.
Het besef groeit dat een firewall op zijn eentje niet volstaat voor een volwaardige security aanpak… maar tegelijkertijd lopen belangstellenden het gevaar doorheen de vele bomen het bos niet meer te zien.Hoe complex het hele security gebeuren wel is geworden, bleek op de recente presspreview van Infosecurity Europe 2002. Op een paar dagen tijd behandelde men uiteenlopende themas van security voor PDAs tot hoe een verdediging in de diepte opbouwen…DraadloosBijzonder snel gestegen op het lijstje van aandachtpunten zijn de PDAs en de security problemen met draadloze netwerken. Het betreft twee toepassingen die vaak zonder planning of beleid in bedrijven opdoken en nu pas hun negatieve kanten tonen. Zo moeten bedrijven met spoed in hun security beleid plaats inruimen voor PDAs, in het bijzonder inzake welke systemen toegelaten zijn en hoe deze worden ondersteund, welke data mogen worden opgeslagen en hoe die worden beschermd tegen een eventueel verlies van de PDA. Dat laatste kan immers kwade gevolgen hebben voor de bedrijfsleiding ten gevolge van de Europese privacywetgeving. Bedrijven als Pointsec en Certicom mikken op deze markten.Wat draadloze netwerken betreft, brachten heel wat tijdschriften – waaronder Data News en ons zusterblad Corporate.net – het verhaal hoe het dataverkeer makkelijk kan worden afgetapt (zowel door een gebrekkige want vlot kraakbare beveiliging als door een nonchalante installatie). Er wordt nu hard aan gewerkt en ondertussen zorgen bedrijven er beter voor geen bedrijfskritieke toepassingen in een dergelijk netwerk te draaien.Ik ben wie ik benBreder nog van opzet is het hele security gebeuren rond e-commerce en alle andere vormen van transacties over het Internet. Naast een veilig dataverkeer wordt hier in toenemende mate aandacht besteed aan authenticatiemechanismen. Of nog, hoe kan je zeker zijn dat de persoon die de transactie aanging ook echt degene is voor wie hij of zij zich uitgeeft. Rond dat laatste punt bruist het van activiteit met biometrische toepassingen (onder meer van Keyware, Identix en anderen) maar ook alle middelen die een digitale identiteit en digitale handtekening hard kunnen maken (smartcards etc). Op de perspreview bracht onder meer het Spaanse bedrijf Safelayer Secure Communications een overzicht van een reeks projecten rond elektronische overheid. Ook wordt er gewerkt aan bijkomende mogelijkheden voor betaling over het Web, met onder meer de ontwikkeling en overgang naar krediet/bankkaarten die naast de magneetstrip ook een ingebouwde chip conform de EMV-standaard (Europay, Mastercard, Visa) bevatten.Een groeiende rol bij dit alles wordt gespeeld door de EEMA, het Europese forum voor electronic business (www.eema.org). Deze organisatie adviseert onder meer de Europese overheid en speelde een belangrijke rol bij de uitwerking van het Electronic Signatures Directive. De EEMA-presentatie over het Europese elektronische handtekening directief werd overigens gebracht door Prof. Jos Dumortier, verbonden aan de KU Leuven.Kijk op contentDe vloedgolf van virussen en andere malware (MALicious softWARE, alias kwaadaardige soft) maakt heel wat bedrijven gevoelig voor een controle van de inhoud (content) van het binnen – en buitengaande e-mailverkeer. Dat resulteert vandaag in software voor zowel viruscontrole als gecentraliseerde controle op de inhoud van de e-mails zelf. Dat laatste wordt ingegeven door het gevaar voor informatielekken in bedrijven of de verspreiding (cq het binnenhalen) van materiaal dat het bedrijf een veroordeling kan kosten (porno, racistisch materiaal etc). Afhankelijk van de werking van de soft moeten bedrijven toch wel de vigerende lokale wetgeving inzake privacy van de werknemers in acht nemen.In de inhoudscontrole-categorie kunnen we ook de software van een bedrijf als Websense plaatsen. Op basis van een masterdatabase kan deze soft de toegang tot specifieke websites blokkeren en/of slechts voor beperkte perioden ter beschikking stellen van werknemers.Algemeen security beleidNaast de hot topics mag een bedrijf evenwel de aandacht voor een algemeen en stevig opgevolgd security beleid doorheen het hele bedrijf niet laten verslappen. Oude gevaren als malafide werknemers en nieuwe gevaren van buitenaf, gekoppeld aan de noodzaak om de bedrijfssystemen maximaal beschikbaar te houden bij eventuele problemen (business continuity) en het ondersteunen van de bedrijfsprocessen, maken het de CIO/ICT-manager – of beter nog – de gespecialiseerde chief security officer/security manager niet makkelijker. Het vergt dan ook geen kristallen bol om te voorspellen dat in de nabije toekomst leveranciers van managed security services (zoals het Belgische Ubizen) zich in een groeiende belangstelling zullen kunnen verheugen.InfosecurityIn de voorbije jaren heeft Reed Exhibitions zijn Infosecurity vakbeurs uitgebouwd tot een wereldwijde franchise die vorig jaar goed was voor zeven events en in totaal ca. 22.000 bezoekers. Het Infosecurity Europe event in London – in 2002 al aan de zevende editie toe – blijft evenwel het boegbeeld van de groep. Zo wordt dit jaar verhuisd naar een grotere zaal in Olympia en voorziet men ook seminaries die op CEOs mikken. Voorts heeft men in het event afzonderlijke ruimte gereserveerd voor het biometrie-gebeuren, terwijl tegelijk met Infosecurity ook de Smartsolvexpo (inzake smartcard-gesteunde oplossingen) wordt georganizeerd.Nieuw is ook een USA-paviljoen met naar verluidt bedrijven die de oversteek naar Europa overwegen. Het eigen continent illustreert zelf ook de internationalisering van de security industrie, met bedrijven uit Scandinavi, Rusland, Spanje etc,… evenals een rits bedrijven met wortels in Belgi, waaronder Ubizen, Keyware, Vasco, Cryptomathic en Utimaco.Toegegeven, niet alle bedrijven en/of producten op Infosecurity Europe worden al in Belgi of Luxemburg vertegenwoordigd. Het event biedt belangstellenden evenwel de wellicht beste gelegenheid om zich een totaalbeeld van security in al zijn aspecten – van opleiding langs producten tot services – te vormen.Infosecurity Europe gaat door van 23 tot 25 april in de Grand Hall van Olympia, London. Wie dit event moet missen, kan op 10 11 oktober terecht in Utrecht voor Infosecurity Nederland of op 4 5 december in Parijs voor Le Salon de la Scurit Informatique.Meer inlichtingen over Infosecurity Europe in London [http//www.infosec.co.uk].Its humans, stupidOngeacht alle producten en technologie blijft security in eerste en laatste instantie een kwestie van mensen! Het zijn mensen die proberen de werkmiddelen van een bedrijf optimaal te beschermen, het zijn mensen die door onachtzaamheid of onwetendheid problemen veroorzaken… en het zijn mensen die als hackers of als kwaadwillige werknemers opzettelijk schade proberen te berokkenen. Het is dan ook interessant dat in toenemende mate de elektronische misdadigers zelf het voorwerp van studies uitmaken.Daaruit blijkt overigens meteen dat er niet zoiets als d hacker of d malafide werknemer bestaat. Integendeel… een snel opgesteld lijstje omvat al snel een zes- zevental groepen, te beginnen met scriptkiddies of opschepperige snotneuzen. In stijgende lijn van gevaar zijn er vervolgens de nieuwsgierigen en gelegenheidsdelinquenten, personen die de bevestiging van hun eigen kunnen zoeken (inclusief de oorspronkelijke hackers), crusaders en fanatici, crackers (hackers die inbreken met het opzet schade aan te richten) tot inbrekers die geen sporen nalaten en eigenlijk uitzijn op diefstal van informatie (als gewone dieven, respectievelijk in opdracht van concurrenten of van al dan niet militaire overheden). Over hun motieven (inclusief jeugd, opleiding, nationaliteit…), hoe ze te werk gaan, hoe ze eventueel samenwerken of niet, wat hen kan van het slechte pad kan afbrengen,… het zijn evenzoveel aspecten die nog verder moeten worden uitgezocht.De menselijke factorTijdens de presspreview van Infosecurity bleek in ieder geval dat security bedrijven in toenemende mate rekening houden met de aard van elektronische booswichten bij het formuleren van security oplossingen. Producten en technologie alleen volstaan in het geheel niet – elk valabel security initiatief moet een belangrijke plaats inruimen voor de menselijke factor.Een interessant inzicht bood de presentatie van Andrea Shellard (Harrier Zeuros), die in haar A sting in the tail een reeks vergelijkingen maakte tussen hackers en insecten als wespen… en hoe je er wat tegen doet. En dat blijkt telkens weer in eerste instantie een kwestie van sensibilisering – ook vandaag nog – en opleiding. En een besef doorheen alle geledingen van het bedrijf dat security geen last en kost is maar een enabler en een kostenbesparende must.
Fout opgemerkt of meer nieuws? Meld het hier