Logische toegangsbeveiliging

5.6.1 Functie

Net zoals een onderneming fysieke beveiliging instelt tegen het onbevoegd binnendringen van bedrijfsgebouwen en -terreinen, zal de onderneming zich ook willen wapenen tegen mogelijke indringers in de informatiesystemen. Een computerruimte kan worden afgesloten, maar wanneer de activiteiten van de onderneming voor een groot deel geautomatiseerd zijn -en zeker wanneer de onderneming gebruik maakt van een internetverbinding-, is een dergelijke beveiliging natuurlijk bij lange na niet toereikend. Er is in dat geval digitale beveiliging nodig, om te voorkomen dat personen toegang krijgen tot systemen en informatie, waar zij niet bevoegd toe zijn. Maatregelen op het gebied van logische toegangsbeveiliging helpen dit voorkomen.

Logische toegangsbeveiliging kan zowel voor gebruikers binnen de organisatie (werknemers) als voor gebruikers buiten de organisatie (klanten) noodzakelijk zijn. Dit uit zich door enerzijds werknemers binnen de organisatie slechts toegang te verlenen tot de systemen/applicaties waarvoor zij geautoriseerd zijn. En anderzijds door de informatie-systemen en de website te beschermen tegen ongeautoriseerde toegang van buitenaf, door de toegang voor externe gebruikers te beperken tot de mogelijkheden die noodzakelijk zijn voor het doen van transacties, het bekijken van de eigen gegevens of het gebruikmaken van aangeboden (hulp)diensten.

Het belangrijkste doel van logische toegangsbeveiliging is het afschermen van (informatie)systemen en applicaties tegen ongewenste indringers. Doordat applicaties niet zomaar toegankelijk worden gemaakt, wordt (vertrouwelijke) informatie, zoals klant- en transactiegegevens, tegen ongeautoriseerd lezen en wijzigen door onbevoegden beschermd. Hierdoor wordt voorkomen dat er inbreuk wordt gepleegd op de systemen en belangrijke data wordt gewijzigd, ook al hoeft dit niet altijd moedwillig te gebeuren. Dit kan zowel van buitenaf (via gebruikers op het internet) als door onbevoegde werknemers gebeuren. Alleen bevoegde personen krijgen toegang tot de hen toegezegde applicaties en gegevens. Er kunnen aan de inlogprofielen van bevoegde personen bepaalde gebruiksrechten worden toegekend of systemen en applicaties toegankelijk worden gemaakt middels het gebruik van wachtwoorden, die alleen bevoegde personen kennen. Logische toegangsbeveiliging is dus een hulpmaatregel om het effect van functiescheiding te vergroten. Door logische toegangsbeveiliging wordt het gevaar van ongeautoriseerd gewijzigde informatie grotendeels teruggedrongen en als gevolg hiervan de betrouwbaarheid van de informatie verhoogd. Onderneming en accountant kunnen hierdoor meer zekerheid aan de gepresenteerde informatie toekennen.

In het geval van de beveiliging van (vertrouwelijke) informatie wordt door logische toegangsbeveiliging gewaarborgd dat mutaties van gegevens slechts door daarvoor bevoegde personen worden uitgevoerd. Door de inloghistorie en mutatieoverzichten in een logbestand te bewaren kan de oorsprong van eventuele fouten relatief eenvoudig worden achterhaald. Om een acceptabel niveau van toegangsbeveiliging te bereiken, zijn de nodige maatregelen vereist. In figuur 1 is dit terug te zien, waar de IT general controls gericht zijn op de beheersing en beveiliging van de kritische processen en de transactiegegevens. Logische toegangsbeveiliging mag dan als onderdeel van de IT general controls zeker niet ontbreken. Via het wijzigingenbeheer wordt bewerkstelligd dat relevante maatregelen worden genomen en actueel blijven. Waar logische toegangsbeveiliging onmisbaar is bij het wijzigingenbeheer, is dit andersom dus eveneens het geval.

5.6.2 Beheersingsmaatregelen

De maatregelen die binnen de organisatie de bevoegdheden voor de toegang tot systemen en databases en het gebruik van applicaties regelen, worden de access controls genoemd. Deze access controls vallen in drie groepen te categoriseren (Overbeek, 2001):

• het specificeren van toegang; • het verlenen van toegang; • het bewaken van toegang.

Bij het specificeren van toegang worden de bevoegdheden omschreven die werknemers hebben met betrekking tot de toegang tot werkstations, applicaties en bestanden, afhankelijk van de functie die de werknemers bekleden. Per bestand kan onderscheid gemaakt worden in

bevoegdheden tot lezen, bewerken en uitvoeren van het bestand. De bevoegdheden worden in een autorisatietabel vastgelegd. Ook kan de onderneming op de website aan klanten een mogelijkheid bieden tot inloggen. Klanten kunnen hier bijvoorbeeld een profiel aanmaken, voorkeuren aangeven, producten bestellen en de orderstatus bekijken. Hierbij dienen aanmeldingen van nieuwe gebruikers en afmeldingen van bestaande gebruikers juist verwerkt te worden.

Op basis van de gespecificeerde toegang kan toegang worden verleend aan bevoegde personen. Daarbij zijn de aspecten identificatie, authenticatie en autorisatie van belang.

Identificatie houdt in dat de identiteit van de gebruiker wordt bepaald. Dit kan aan de hand van een inlogcode en door herkenning van het meegestuurde netwerkadres (bijvoorbeeld het IP-adres). Ondanks dat cryptografie van verzonden gegevens kan bijdragen aan de veiligheid van het dataverkeer, blijft het nog altijd mogelijk om wachtwoorden te achterhalen of netwerkadressen te vervalsen. Hierdoor blijft de noodzaak bestaan om de identiteit van de aanvrager te verifiëren.

Het verificatieproces tracht de authenticiteit van de geïdentificeerde persoon te achterhalen. Dit gebeurt middels een verzoek aan de geïdentificeerde persoon om een bepaald kenmerk te sturen of informatie te verschaffen, zoals een elektronische handtekening, een wachtwoord of bepaalde specifieke informatie (iets wat deze persoon weet, heeft of is). Een effectief wachtwoord bestaat uit een combinatie van hoofd- en kleine letters, cijfers en speciale tekens en is minimaal acht tekens lang. Daarbij dient het wachtwoord regelmatig -minstens één keer per 13 weken- te worden vervangen. Een andere methode om de authenticiteit van iemand vast te stellen, is dat er naar specifieke informatie wordt gevraagd.

Wanneer personen geïdentificeerd zijn en de authenticiteit is vastgesteld, kent het autorisatieproces aan hen de rechten toe die volgens een toegangsprofiel (opgesteld op basis van de autorisatietabel) bij de geconstateerde inlogcombinatie behoren. Gebruikers kunnen nu toegang tot bepaalde bestanden of processen verkrijgen. Toegangsprofielen kunnen zowel per gebruiker als per groep gebruikers worden opgesteld. Werknemers kunnen per functiegroep bijvoorbeeld geen of beperkt toegang tot het internet verkrijgen en de mogelijkheid tot het installeren van -eigen- software op de werkstations belemmerd zien. Bevoegdheden worden op deze manier per functiegroep afgebakend. Principes die veel worden gebruikt (Code voor Informatiebeveiliging) zijn het ‘need to know’ principe (alleen toegang tot de informatie die de gebruiker nodig heeft) en het ‘need to use’ principe (alleen toegang tot de systemen/applicaties die de gebruiker nodig heeft). Een andere optie is het principe ‘alles is toegestaan, tenzij verboden’, waarbij de voordelen hiervan zorgvuldig moeten worden afgewogen tegen de extra risico’s. Een beter alternatief is dan ‘alles is verboden, tenzij uitdrukkelijk toegestaan’, dat correspondeert met de eerstgenoemde principes.

Access controls worden niet alleen bij interne gebruikers, maar ook bij externe gebruikers (zoals consumenten) ingesteld. Dit is het geval wanneer klanten kunnen inloggen op de website van de onderneming, bijvoorbeeld om transacties te doen of voor het raadplegen en/of wijzigen van de eigen gegevens. De externe gebruiker dient zich hiervoor te registreren en krijgt vervolgens een user ID toegewezen. Met behulp hiervan krijgt hij toegang tot gegevens die de onderneming hem toestaat in te zien, tot het moment dat zijn user ID vervalt.

Voor een e-commerceonderneming is het onderhouden van een veilige verbinding met het internet absoluut essentieel. De toegang tot de informatiesystemen en achterliggende (transactie)gegevens zal goed beveiligd moeten worden tegen inbreuken van buitenaf. Een geavanceerde vorm van beveiliging is het instellen van een firewall (zie figuur 4).

Figuur 4. De firewall

Een firewall controleert het in- en uitgaande dataverkeer aan de hand van bepaalde criteria. Wanneer datapackets niet voldoen aan bepaalde criteria wordt de doorgang verhinderd. Er zijn verschillende soorten firewalls, die elk een eigen niveau van beveiliging verzekeren. Een geavanceerde methodiek is de demilitarised zone. De website en de communicatieserver worden in dat geval afgescheiden van het bedrijfsnetwerk opgenomen achter een firewall (zie figuur 5) of tussen twee firewalls in.

Figuur 5. De demilitarised zone (DMZ)

Een aanval op de website of de server zal dan niet direct leiden tot verstoringen in het bedrijfsnetwerk, waardoor de ongestoorde werking van de kritische processen beter gewaarborgd blijft. Een firewall geeft geen volledige garantie dat kwaadaardig dataverkeer wordt onderschept, maar vormt wel een wezenlijk onderdeel van de totale netwerkbeveiliging. Het bewaken van toegang bestaat uit het opsporen van inbreuken op de toegangsregels en de registratie hiervan door logging van de handelingen van gebruikers. Er valt onderscheid te

daadwerkelijke inbreuk heeft het toegangsbeveiligingssysteem gefaald en dienen -naast het opmaken van mogelijke schade- de procedures van de toegangsbeheersing aangepast te worden. De registratie van potentiële inbreuken geeft de onderneming zicht op pogingen om in te breken in systemen of bestanden. Als gevolg hiervan kunnen extra maatregelen worden genomen om te voorkomen dat de pogingen tot inbraak uiteindelijk wel slagen.

Door logging wordt doorgaans zoveel informatie gegenereerd, dat het onmogelijk is om alles tijdig door te nemen. Het is dus zaak om afwijkingen snel op te kunnen sporen. Daarvoor bestaan verschillende technieken, zoals het Audit Risk Model en het Bayesiaans Risico-Analyse Model, die bij bestandsonderzoek gebruikt kunnen worden. Door inconsistentie van gebruikersgedragingen kan het echter voorkomen dat incidenten niet door het systeem worden opgemerkt, terwijl geldige handelingen als incident worden geregistreerd. De onderneming zal hier dus rekening mee moeten houden en de geconstateerde resultaten van logging kritisch beschouwen.