Met de toename van het bedrijfskritische karakter van on-line toepassingen neemt ook het belang van de beveiliging ervan toe. Het zijn niet meer alleen de e-commerceomgevingen die beschermd moeten worden tegen het uitlekken van privacygevoelige informatie. Tegenwoordig verlopen ook diensten als customer service, fullfillment, boekhouding en registratieprocessen via het Internet. Ook zijn markplaatsen op allerlei terreinen in opkomst en neemt de informatieverstrekking door overheden en gemeentelijke instellingen een grote vlucht. En daarmee ook de noodzaak de informatie te beveiligen.

Door Marcel Ravenshorst van BlueDome IAS B.V. (marcel@bluedome.net)

Alle bovengenoemde toepassingen bevatten gevoelige informatie over uw bedrijfsprocessen of verplichten u bij wet om een privacybeschermende behandeling. En daarbij gaat het echt niet alleen om uitgebreide vragenlijsten. Ook bij zoiets onschuldigs als het maken van een afspraak voor de opticien wordt al gevraagd om naast de NAW-gegevens ook een geboortedatum als verplicht veld in te vullen. Dat is volgens de wet een bijdrage aan het maken van een persoonsprofiel en het is dus belangrijk om dat goed te beveiligen. Alle soorten informatie die via het Internet verlopen zijn een bron voor criminele organisaties. De persoonsprofielen die hieruit samen te stellen zijn kunnen aanzienlijke bedragen opleveren in de doorverkoop aan derden. Het wordt ze helaas nog steeds vaak erg eenvoudig gemaakt om uit al deze bronnen gegevens te genereren. Bijvoorbeeld het niet goed beveiligen van invoervelden maakt het voor hackes mogelijk om informatie op de site te wijzigen. Een actuele methode daarvoor is ‘phising’. Als je teksten kunt wijzigen is het ook mogelijk een ‘besmette’ url te verwerken in de site van de aanbieder. Die url leidt naar een andere website zonder dat de bezoeker het door heeft, en vraagt daar allerlei aanvullende gegevens uit naam van de oorspronkelijke aanbieder. Hieraan zijn al vele bedrijven, waaronder zeer gerenommeerde ten prooi gevallen.

We moeten hier ook niet te ‘panisch’ in worden, maar bovenstaande getuigt wel van het feit dat we erg voorzichtig moeten zijn met de opslag en blootstelling van deze gegevens. De informatie (opslag en invoer) en de onderliggende systemen en databases dienen adequaat beveiligd te zijn en te blijven.

Bij de overwegingen van beveiliging spelen twee soorten thema’s een rol: de aarde van de beveiliging en de keuze hoe ermee om te gaan. Welke soorten beveiliging zijn er? Hoe bepaal ik mijn prioriteiten? En hoe ga ik hiermee om: zelf expertise in huis halen of uitbesteden? Aan wie? Waarop moet ik letten bij de keuze voor een externe partij?

Informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid
Dit alles is het onderwerp van informatiebeveiliging. Dit bestaat uit 3 onderdelen, te weten vertrouwelijkheid, integriteit en beschikbaarheid van informatie en informatiesystemen. Vertrouwelijkheid wil zeggen dat informatie beschermd moet worden tegen ongeautoriseerde publicatie. Met integriteit wordt bedoeld het bewaken van accuraatheid en volledigheid van informatie. Tenslotte dienen de gegevens beschikbaar te zijn voor de eindgebruiker.

Deze drie onderdelen stellen de nodige eisen aan de omgeving waarin de website draait. De beveiliging van de informatie bestaat uit 3 lagen:

• Fysieke beveiliging: hoe toegankelijk is het datacenter of de ruimte waarin de systemen staan. Kan een niet-geautoriseerd persoon fysiek bij de informatiesystemen?
  
• Netwerkbeveiliging: hoe toegankelijk is het netwerk waarin de informatiesystemen staan? Welke maatregelen worden genomen om de informatie af te schermen. Voorbeelden van maatregelen zijn Intrusion detection, dDOS preventie. Firewalls, patch management, NAT/PAT, logging, encryptie.
  
• Applicatie beveiliging: vertoont de webapplicatie zelf geen kwetsbaarheden (SQLinjections, Cross site scripting, trojan horses) en wat wordt hieraan gedaan om dit tegen te gaan (auditing, testplannen, release management, applicatie firewalls)?

Om uw website goed te beschermen tegen ongewenst bezoek van buitenaf, dient de hosting omgeving zowel fysiek als procesmatig aan een aantal voorwaarden te voldoen:

• Een juist netwerksegmentatie van kritische systeemelementen. Systemen met privacygevoelige (klant)gegevens zoals databases en CRM systemen, dienen gescheiden te worden van de systemen die direct via het Internet toegankelijk zijn, zoals webservers.
  
• Beveiliging tegen Trojan Horses op systeemniveau zorgt ervoor dat de bezoeker niet ‘besmet’ raakt.
  
• Gebruik van applicatie firewalls. Deze kunnen de eerste kwetsbaarheden als SQLinjections en cross site scripting al tegenhouden en worden continu gevoed met informatie over nieuwe kwetsbaarheden.
  
• In een Security Policy dient duidelijk gedefinieerd te zijn hoe wordt omgegaan met zaken als toegang, password management, event log settings, system auditing.
  
• Periodieke scanning zoals Intrusion detection, Vulnerability en virussen
  
• Gedocumenteerd en gecontroleerd change management. Hierbij dient ruime aandacht besteed te worden aan documentatie, systeemontwerp, testplannen en controle momenten
  
• Stricte scheiding van ontwikkel-, test-, acceptatie- en productieomgevingen
  
• Back-up procedures.

,Outsourcing: het kiezen van een hosting partner
Om bovenstaand in te richten en te onderhouden, is een breed pallet van expertise nodig. Zowel op netwerk-, systeem- als applicatieniveau. Gezien het benodigde niveau van expertise ligt de keuze voor outsourcing voor de hand. Toch ervaren veel bedrijven dit als een dilemma. Security is typisch iets waarover je de volledige controle wilt hebben, maar het is ook een terrein waar expertise erg kritisch is. Het missen van kennis op het gebied van (een specifiek onderdeel) van beveiliging is direct de zwakste schakel en een bedreiging voor het hele bedrijf. Bovendien geeft het laten hosten van webapplicaties veel bewegingsvrijheid, die als interne activiteit niet of nauwelijks op hetzelfde kosten- en kwaliteitsniveau te brengen is.

De eerste selectie die u maakt is om te zorgen dat u alleen met betrouwbare en serieuze partners aan tafel komt te zitten. Dat ziet u onder meer aan certificeringen die het bedrijf heeft, zoals ISO17799 en de eSure-standaard van Comsec Consulting, specialist op het gebied van informatiebeveiliging. Deze certificeringen gaan verder dan standaard ISO-certificaten. Ze zijn noodzakelijk, omdat de vereisten voor een Secure Hosting omgeving aanzienlijk verschillen van die van een normale hosting omgeving - die uiteraard ook veilig moet zijn. Een speciale security-gecertificeerde omgeving dient echter aan andere voorwaarden te voldoen, waarbij er een strikte scheiding is tussen informatiesystemen en test- cq productiesystemen. Ook wordt in een dergelijk segment minder gebruik gemaakt van ‘shared’ componenten als firewalls en loadbalancers. Veel effectiever is het inzetten van dedicaded componenten. Op die manier zijn de instellingen (ACL’s, poortinstellingen, loadbalancing-regels etc.) specifiek afgestemd op uw omgeving en dat maakt ze veel moeilijker te traceren en te misbruiken.

Het aanbod van de hosting partijen is enorm groot en lijkt op het eerste gezicht wellicht erg homogeen. Toch toont nader onderzoek grote onderlinge verschillen tussen de diverse aanbieders, juist op het gebied van beveiliging. De partijen die zich richten op volume (zoveel mogelijk klanten in de lucht houden) hebben per definitie minder focus op specifieke instellingen en de beveiliging van individuele klanten. De partijen die goed beveiligde omgevingen aanbieden doen dat op diverse netwerklagen. Bij de meeste aanbieders gaat het dan om de netwerkinfrastructuur- en de hardware / OS-laag. Slechts enkele partijen gaan een laag hoger, en nemen ook de beveiliging van de applicatielaag voor hun rekening. Dat betekent voor u dat u niet alleen de hosting van de servers kunt uitbesteden, maar ook geen applicatiebeheerder(s) meer nodig hebt.

Security is op dit vlak absoluut maatwerk. Er bestaat niet zoiets als “standaard secure hosting”.Het is altijd een zorgvuldige afweging tussen flexibiliteit, risico en kosten. Ook dient de beveiliging afgestemd te worden op de specifieke bedrijfssituatie en het bedrijfskritische niveau van de applicatie. Bovendien is het een zeer intensief samenspel tussen ontwikkelaars, beheerders en opdrachtgever. Om geen onduidelijkheden - en dus gaten in de beveiliging! - te krijgen dient er een goede afstemming tussen deze drie partijen te zijn. Het beste is als alle betrokken partijen gezamenlijk een Security Policy definiëren, waarin exact staat wat de verwachtingen en verantwoordelijkheden zijn van elke partij en hoe de procedure is bij wijzigingen aan de website.

Voor het vastleggen van een dergelijke policy is het verstandig vooraf een status quo te bepalen. Een goede hosting partner raadt bedrijven dan ook altijd aan om eerst een initiële applicatie- en netwerkscan te laten uitvoeren. Daarbij onderwerpt de hosting partner uw netwerk aan een zeer kritische check, liefst gespecialiseerd voor iedere afzonderlijke laag (netwerk- en softwarelaag en de applicatie zelf). Dat levert inzicht in de status van uw netwerk op meest voorkomende valkuilen. Dat biedt nog geen garantie, maar het geeft wel inzicht in de kwetsbaarheden en de mogelijke risico’s. de volgende stap is het opstellen van een stappenplan om de beveiliging van de website of -applicatie te verbeteren en toe te werken naar een Security Policy.

Het opstellen van een Security Policy dwingt u tot bepalen en vastleggen van een groot aantal uiteenlopende ‘issues’ die met beveiliging te maken hebben. Voorbeelden van de thema’s zijn specifieke gegevens rond de beveiliging van de organisatie, het personeel, het netwerk, het systeem en de hosting daarvan, de applicaties en de data. Ook uw dienst(en) en/of product(en) komen aan bod, net als de beleidsafspraken over business continuity binnen het bedrijf. Daarnaast kunt u desgewenst de eventuele specifieke maatregelen die u neemt ter bescherming van uw klanten opnemen. Voor sommige bedrijven is het zelfs aan te bevelen om een individuele Security Policy voor al hun klanten op te stellen. Werkt u met SLA’s, dan kan de beveiliging daarvan een onderdeel zijn.

Overigens werkt dat twee kanten op. Voor uw beveiliging kan het belangrijk zijn dat uw klanten zich conformeren aan bepaalde procedures. Ook deze kunt u opnemen in het SLA. Denk daarbij bijvoorbeeld aan afspraken over wachtwoorden en autorisatie. In feite is een Security Policy een uitgebreide checklist (150 items is zeker geen uitzondering). Op zich is die checklist niet bijzonder ingewikkeld. De ervaring leert dat de meeste tijd en inspanning om de Security Policy tot stand te brengen zit in het nadenken over en bepalen van de houding van het bedrijf ten opzichte van de diverse items. Ook de interne afstemming kan moeite kosten. Het is belangrijk om alle betrokkenen (degene die verantwoordelijk is voor beveiliging en de voltallig directie) op één lijn te krijgen over deze zaken, en over het disciplinaire proces. Welke maatregelen neemt het bedrijf bij schending van de policy? Wat zijn de consequenties voor de bevoegdheden van mensen die de policy schenden?

Met een Security Policy hebt u als organisatie een document dat weergeeft hoe is nagedacht over de items die komen kijken bij beveiliging, en de afspraken daarover. Een goede hosting provider adviseert u zeker er een op te stellen. Al is het maar om de verantwoordelijkheden duidelijk vast te stellen en de machinerie van de driehoek opdrachtgever – beheerder – applicatiebouwer zo geolied mogelijk te laten verlopen. Tenslotte is onduidelijkheid daarover een grijs gebied. En elk grijs gebied is nu eenmaal een potentiële kwetsbaarheid.