Beveiliging van data - Het kasteel en de tank

De meeste bedrijven slaan hun data op in hun eigen rekencentra.

Om deze data te bereiken, moeten gebruikers worden geauthenticeerd op servers en door firewalls worden geleid. De dataopslag lijkt op de opslag in een kasteel. Kastelen hebben dikke en hoge muren en hebben een poort die bewaakt wordt door een poortwachter. De poortwachter zorgt dat alleen bekende mensen naar binnen komen.

Dit model van dataopslag werkte tot voorkort vrij goed. Firewalls zorgde dat de boze buitenwereld buiten bleef en alle mensen werkten vanuit het kantoor, binnen de muren. Twee ontwikkelingen hebben dit veranderd:

• Mensen willen ook buiten de kantoormuren kunnen werken. Niet alleen vanaf thuis, maar ook onderweg, in hotelkamers of op vliegvelden.
• Moderne security aanvallen komen niet meer van buitenaf (men probeert niet meer door de firewall naar binnen te komen), maar van binnenaf (door gebruik te maken van websites die gebruikers binnen opvragen).

Als mensen PC's, PDA's, laptops en smartphones gebruiken die niet door het bedrijf worden beheerd, is het erg lastig een betrouwbare authenticatie te krijgen. De IT afdeling bepaalt niet langer welke browser moet worden gebruikt, welke andere applicaties op de PC draaien en of de gebruiker een up-to-date virusscanner gebruikt (en of überhaupt een virusscanner wordt gebruikt). Bovendien, om werken op afstand mogelijk te maken, moet het netwerk geopend worden voor toegang vanaf het Internet.

Zelfs als mensen vanuit het kantoor werken, is de data niet zo beschermd meer als vroeger. Malicious websites kunnen keyloggers proberen te installeren of kunnen de harddisk van de gebruikers scannen op gevoelige informatie. Omdat gebruikers meestal openlijk verbindingen naar het Internet kunnen openen (meestal met een willekeurige TCP poort), deze kwaadaardige software kan data eenvoudig buiten het bedrijf smokkelen.

Dit is waarom steeds meer partijen onderzoeken of het mogelijk is de data zelf te beschermen, in plaats van de toegang tot de data.  

Dit lijkt op het plaatsen van al je data in een legertank. De tank kan vrijelijk rondrijden, maar de data binnenin is beschermd en kan niet bereikt worden. In IT termen: De data is encrypted en heeft een elektronische handtekening, zodat er niets aan gewijzigd kan worden en de data niet gelezen kan worden. Data blijft zo lang mogelijk versleuteld; op disk, tijdens transport en zelfs in het geheugen van de clients. Pas als de data echt nodig is, wordt het tijdelijk ontsleuteld.

Als dit wordt doorgevoerd, zijn geen firewalls meer nodig om data te beschermen. Het is zelfs niet meer nodig om data binnen de bedrijfsmuren te houden. Data kan worden gehost door specialistische bedrijven op het Internet. Bedrijfs PC's kunnen direct aan het Internet gekoppeld worden, net zoals de thuis PC's van de werknemers.

Analoog aan Jon Landau in 1974 toen hij Bruce Springsteen zag: I saw the future of security, and it is a Tank.

Hubbels

LogicaCMG heeft mij gevraagd een stukje te schrijven voor Hubbels.

Hubbels is een nieuw initiatief voor het beschijven van werkervaringen. LogicaCMG gebruikt het als medium voor werving van nieuwe werknemers.  

Zie hier mijn stukje. Ik zal proberen het regelmatig bij te werken.