maandag, juni 19, 2006

De Muren van Jericho

Als je als bedrijf wilt weten wat er gebeurt als er geen corporate firewalls meer zijn, volstaat enige bijbelvastheid. Toen in de oudheid de muren rond Jericho instortten werden vrouwen en kinderen aan het zwaard geregen en werd al het goud en zilver verplaatst naar de schatkamers van de agressor. Probeer dat maar eens uit te leggen aan de aandeelhouders tijdens de presentatie van de jaarcijfers.

Anno 2006 zijn we er meer gespitst op dan ooit om veilig te zijn achter onze virtuele muren. Virussen, hackers en de landelijke pers staan te trappelen om eens flink huis te houden in onze systemen. En anders is er nog wel de wet- en regelgever die strakkere eisen dan ooit stelt aan de beveiligingsmaatregelen.

De vraag is of de muren ooit dik genoeg zullen zijn. In onze tijd is letterlijk alles met alles verbonden en als er geen netwerkverbinding is dan zijn er nog altijd USB-sticks en verwisselbare harde schijven. Informatie lekt aan alle kanten en er zijn niet genoeg Hans Brinkers om alle gaten in de dijk te dichten.

Wat nog belangrijker is, is dat we ons zelf moeten afvragen of we dat wel willen, al die schijnzekerheid achter een haag van dichtgekwakte netwerkpoorten en procedures. Met de opkomst van webservices lonkt een wereld vol collaborative businessmodellen . Daarin is het zaak fijnmazige informatie als het moet realtime door een keten van samenwerkenden bedrijfsvoeringen te pompen. Reactiesnelheid en transparantie zijn daarbij de toverwoorden. En die verhouden zich slecht tot de obstakels die worden opgericht door een te strak aangesnoerde beveiliging.

Het lijkt een paradox, openheid en transparantie aan de ene kant en afdoende beveiligd zijn aan de andere kant. Toch zijn er groeperingen die geloven dat het kan. Met helemaal voorop misschien wel het Jericho Forum, een werkgroep binnen het standaardisatieconsortium The Open Group die zich bezig houdt met het thema van beveiliging zonder muren. Eén van de eerste wapenfeiten die het Jericho Forum op zijn naam zette was het introduceren van de term ‘de-perimeterisation’: een woord waarmee je het de komende zomer op tuinfeesten met IT’ers aardig kunt uithouden.

De-perimeterisation beschrijft wat je kunt doen om de informatie van de organisatie te beveiligen terwijl tegelijkertijd de buitenste omheining (de ‘perimeter’) wordt weggehaald. Het doet het zeer grondige werk van het forum tekort, maar als we de managementsamenvatting van Jericho Style Security for Dummies zouden moeten schrijven, dan zouden we het hebben over een mix van integrale encryptie, protocollen en hardwareverbindingen die impliciet veilig zijn en – vooral – authenticatie op het niveau van individuele gegevenselementen. Laat iedereen maar overal proberen aan te komen, dat is eigenlijk het motto. Als je tot in de BIOS van de PC ingebakken voorzieningen hebt om de identiteit van iemand vast te stellen, dan hoef je pas op het werkelijk allerlaatste moment te beslissen of zo iemand ook werkelijk toegang heeft tot de informatie die wordt gevraagd.

Goedbeschouwd scheelt zo’n pas schieten als je het wit van hun ogen ziet strategie heel wat werk én geld. Je vertrouwt uitsluitend op de allerlaatste verdedigingsring. Je geeft dan geen tonnen meer uit aan gepantserde beveiligingsauto’s maar zet in plaats daarvan een klein deel van het bedrag in op een onkraakbare geldtrommel.

Een leuke metafoor die te denken geeft over wat het zou betekenen voor onze IT-oplossingen van morgen. Als we de beveiliging zo dicht mogelijk bij de waardevolle spullen zelf – de gegevenselementen – moeten aanbrengen, brengt ons dat eigenlijk terug op een kern die we soms wel eens lijken te vergeten: de goede oude database. Je kunt nog zulke geweldig verantwoorde dingen doen met webservices of objecten, ergens is er altijd wel een omweg of een zwak punt te vinden die iemand rechtstreeks bij de gegevens brengt. En dan kan de beveiliging maar beter spijkerhard zijn. Misschien is het ernstig ontrendy om een pleidooi te doen voor meer aandacht voor de database en – o gruwel - stored procedures. Maar aan de andere kant, de goden moet je nooit verzoeken. Kunnen ze in Jericho van meepraten.

Uit: Software Release Magazine, Nummer 4 2006.

2 opmerkingen:

sjaak laan zei
Deze reactie is verwijderd door de auteur.
sjaak laan zei

Ik heb zojuist op mijn eigen site een vergelijkbaar verhaal gezet:
http://www.sjaaklaan.nl
Ik maak hier de vergelijking tussen een kasteel en een tank.