Anno 2012 is de economie sterk afhankelijk van het goed en veilig functioneren van de online sector. Iedere leverancier begrijpt het belang van gegevensbescherming en het borgen van de betrouwbaarheid van hun diensten. Afnemers zoeken steeds vaker zekerheid alleen in zee te gaan met gecertificeerde leveranciers, bijvoorbeeld die voldoen aan de ISO27001-normering. Afgelopen jaar heeft een aantal spraakmakende incidenten de internetwereld met de neus op de feiten gedrukt. Er zijn belangrijke lessen te leren. Een van die lessen is dat een ISO27001-certificering alleen blijkbaar geen garantie biedt dat een online systeem voldoende is beschermd. Bij sommige leveranciers ontbraken maatregelen waarvoor iedere rechtgeaarde security-expert het schaamrood op de kaken zou krijgen. Vreemd, gezien het feit dat wel de bekende plexiglasschildjes met ISO-certificaten bij de receptie hingen. Dit lijkt me toch een teken dat de beveiliging goed is geregeld.
Serviceproviders en auditors moeten iets met dat gegeven. Deze ‘wildgroei’ ondermijnt het principe van certificeringen en audits. Als we niet in staat zijn om deze problemen te adresseren, stelt een certificering niets voor en verliezen afnemers het vertrouwen. Er zijn drie fundamentele problemen met de huidige aanpak. Ten eerste passen de gebruikelijke normen en certificaten niet goed bij de online wereld. Ze stammen uit het offline tijdperk waar een enkele ICT-afdeling verantwoordelijk was voor een systeem. In de online wereld is er vrijwel altijd sprake van een keten van leveranciers en van generieke subdiensten zoals co-locatie, infrastructuur, netwerk en platform. Niet de sites of applicaties, maar de managementsystemen van toeleveranciers worden echter onderworpen aan audits. Daardoor zijn certificeringen en statements vrijwel nooit dekkend voor sites en applicaties.
Het komt voor dat een datacenter over een ISO27001-certificaat beschikt met als inhoud de fysieke beveiliging, terwijl de partij die verantwoordelijk is voor de site claimt dat hun site ISO27001- gecertificeerd is. De eindklant of eindverantwoordelijke voor de site moet zelf maar controleren of er in de gehele keten voldoende is geregeld. Dit terwijl het nou juist de bedoeling van certificeringen is om afnemers die zekerheid te geven.
Beginnersfout
Ten tweede geven normen zoals ISO27001 geen enkele zekerheid dat de getroffen maatregelen voldoende zijn om de risico’s in de hele stack af te dekken. Dat komt omdat er geen verplichting is om specifieke risico’s te benoemen of specifieke controls te hanteren. Een recent voorbeeld is
DigiNotar. Deze organisatie beschikte over een ISO-certificaat terwijl er geen beschermingsmaatregelen waren tegen zware aanvallen vanaf het internet. Bijna een beginnersfout, want de kans is honderd procent dat een open operatorlogin wordt blootgesteld aan brute force.
Generieke bril
Ten derde is het zo dat er grote verschillen bestaan tussen auditors in de beoordeling van de effectiviteit en kwaliteit van de maatregelen. Dat komt omdat de auditor bij het beoordelen van de maatregelen van één leverancier in de keten een generieke bril op moet zetten. Hij heeft geen zicht op alle ketens, met vaak verschillende eisen, waar de leverancier deel van uitmaakt. Zo kan een bepaalde control er op het eerste oog prima uitzien, maar toch tekortschieten voor een specifieke toepassing. Daarbij komt dat bij de gebruikelijke ISO-normen de auditor alleen controleert of datgene wat opgeschreven is daadwerkelijk wordt gedaan. Gekscherend wordt er dan ook wel gezegd dat het mogelijk is om ISO-gecertificeerde betonnen zwemvesten te maken.
Op de schop
Al met al is het voor de eindgebruiker of de eindverantwoordelijke niet inzichtelijk of een specifieke applicatie afdoende wordt beschermd. De huidige aanpak van certificeringen moet dus op de schop.
Allereerst moeten leveranciers in de keten afspraken maken over de opbouw van online diensten, zodat we per type dienstverlening bijbehorende en passende controls kunnen hanteren. De ‘Cloud reference architecture’ van het NIST (National Institute of Standards and Technologies) geeft dit houvast en wordt gelukkig al door veel partijen genoemd en gebruikt. Dan moeten we ervoor zorgen dat de controls in de lagen op elkaar aansluiten, zodat dekking ontstaat voor gehele online stacks.
Uitstekende aanzet
Het is ook zaak om afspraken te maken over de specifieke risico’s en controls die horen bij online applicaties. Een aantal van die risico’s geldt altijd en overal. De bijbehorende controls zouden dan ook in geen enkel control framework mogen ontbreken. Ook hier zijn gelukkig goede ontwikkelingen gaande. De richtlijnen voor beveiliging van webapplicaties van het NCSC (National Cyber Security Centrum) geven een uitstekende aanzet voor SaaS en in beperkte mate voor PaaS en IaaS. De controls van het kenniscentrum voor informatiebeveiliging PVIB en de CSA geven meer houvast. Naast de online sector moet de auditor eveneens meer oog krijgen voor de genoemde gebreken. De auditor zou niet zomaar uit mogen gaan van de risicoanalyse van de leverancier, maar moet controleren of de gangbare risico’s die horen bij online diensten zijn afgedekt met controls. Verder zou hij geen verklaring mogen afgeven als controls van de leveranciers van de achterliggende lagen ontbreken.
Last but not least zou iedereen zich moeten realiseren dat de gangbare auditpraktijk (alleen vastleggen dat een maatregel bestaat) weinig waarde heeft voor informatiebeveiliging. Een goede audit test ook de effectiviteit van beheersmaatregelen. Met minder zouden afnemers geen genoegen meer moeten nemen.
Michiel Steltman is directeur van de DHPA (Dutch Hosting Provider Association). Met 25 jaar ervaring in de IT-sector waarvan 13 jaar als CTO van Siennax/SaaSplaza draait hij al jaren mee in het wereldje van cloud en online beveiliging.
Reageer
Preview