thema | security & I P
Identiteit als voorwaar cyberspace De almaar toenemende inzet van internet binnen bedrijven zorgt voor een andere kijk op bedrijfsbeveiliging. Buiten de fysieke beveiliging moeten security managers nu ook, samen met de IT-manager, kijken naar de digitale beveiliging van bedrijven. Want hoe zorg je ervoor dat bedrijfskritische informatie beveiligd is tegen ongewenste indringers, fysiek of digitaal? ELISABETH DE LEEUW *
V
oorwaarde voor een veilige internetomgeving is dat de verantwoordelijkheid voor de veiligheid en beveiliging van de verschillende onderdelen duidelijk en eenduidig is geregeld. Opzettelijke verstoringen of overtredingen moeten herleidbaar zijn tot één verantwoordelijke (rechts)persoon. Dat kan alleen bereikt worden als de identificatie in het kader van access en logistics op een robuuste wijze wordt geregeld. Processen op internet zijn moeilijk te herleiden tot plaats, tijd en entiteit. Identificatie op internet verloopt op een andere manier dan identificatie in de fysieke wereld. De koppeling tussen identiteitsbeschrijving, identificatiemiddelen en de fysieke entiteit vereist extra aandacht. Niet alleen mensen, ook hardware, software en informatieeenheden moeten geïdentificeerd worden. In dit verband wordt daarom gesproken van te identificeren entiteiten in plaats van personen. Inzicht in de rol en werking van identiteitsmanagement op internet is van belang voor de security manager en de IT-manager bij de inrichting van het beveiligingsbeleid. Bovendien is dit inzicht nodig om snel problemen te kunnen herkennen en goed te kunnen reageren.
Bedreigingen en kansen Bedrijfsnetwerken moeten bestand zijn tegen een enorme toename aan digitale bedreigingen. Denk hierbij aan de verspreiding van virussen, trojans, bot-
26
nets, spam en fishing mails. Kwaadwillenden maken steeds meer gebruik van dit soort technologie om over internet toegang te krijgen tot, of schade aan te richten aan bedrijfsnetwerken. Vanwege het relatief anonieme karakter van het internetverkeer zijn de daders echter moeilijk te achterhalen. Internet kan ook een rol spelen bij de bestrijding van cybercrime. Door middel van surveillance en monitoring kunnen ongewenste incidenten worden opgespoord. Voor het op heterdaad betrappen van kwaadwillenden en voor het opbouwen van een sterke bewijslast zijn betrouwbare instrumenten voor identificatie nodig.
Primaire en secundaire identificatie Een eerste stap is primaire identificatie. Hierbij worden identiteitskenmerken vastgesteld en geregistreerd in een database en zonodig gecombineerd met een credential (bijvoorbeeld een paspoort, creditcard, PKI-certificaat). Bij de vaststelling van de identiteit wordt vertrouwd op informatie van de te identificeren entiteit of van derde partijen. De betrouwbaarheid daarvan is soms moeilijk vast te stellen. Op een later moment vinden een of meer secundaire identificaties plaats. De betrouwbaarheid hiervan is afhankelijk van de betrouwbaarheid van de primaire identificatie. De identiteit wordt daarbij vastgesteld op basis van een bewering omtrent de identiteit, in
de vorm van een uitspraak, bericht of credential. Daarbij wordt gecontroleerd of de fysieke of biometrische kenmerken uit de database of op een credential gelijk zijn aan de opgegeven kenmerken. Aanvullend kan om een wachtwoord of pincode worden gevraagd. Afhankelijk van de context van identificatie, vormen primaire en secundaire identificatie al dan niet afzonderlijke processen. Access Management en Logistiek In de context van access management en logistiek is de primaire identificatie in principe een eenmalige processtap. De secundaire identificatie gebeurt aan de hand van de eerder vastgestelde identiteit, op initiatief van de entiteit zelf, bijvoorbeeld als iemand zich aanmeldt bij een beveiligde website. Kenmerkend is dat identiteiten worden beschreven aan de hand van zowel fysieke, biografische als toegekende kenmerken. Fysieke kenmerken zijn bijvoorbeeld lengte, gewicht, vingerafdruk. Biografische kenmerken zijn bijvoorbeeld: geboortedatum en -plaats, levenspartner, kinderen. Toegekende kenmerken zijn bijvoorbeeld: naam, titel. De resulterende identiteitsbeschrijving is daardoor relatief betrouwbaar. Surveillance en Monitoring Voor controle op het naleven van regels en voorschriften en het opsoren van risico’s, zijn surveillance en monitoring nodig. Hierbij vallen primaire en secun-
Security Management nummer 12 december 2008
20698-11_SECM 1208.indd 26
14-11-2008 15:19:06
t h e m a | se c ur i t y & I P
de voor een veilige daire identificatie in principe samen in één processtap. Identificatie geschiedt ad hoc, naar aanleiding van bepaalde incidenten. De beschikbare identiteitsinformatie is contextafhankelijk en bestaat bijvoorbeeld uit IP-adressen of biometrische kenmerken camerabeelden). Deze informatie wordt vergeleken met eerder geregistreerde IP-adressen of beelden. Kenmerkend is dat identiteiten hierbij alleen worden beschreven aan de hand van fysieke kenmerken en niet aan de hand van biografische of toegekende kenmerken. Door de beperkte hoeveelheid en kwaliteit van de gegevens is de identiteitsbeschrijving vaak relatief onbetrouwbaar. Eenzelfde entiteit kan meerdere malen worden geïdentificeerd, wat kan leiden tot vastlegging van meerdere identiteiten. Daarom is het belangrijk om een eenmaal vastgestelde identiteit zo goed mogelijk te koppelen aan reeds bestaande identiteiten in het eigen domein en het domein van access en logistics.
Verificatieprocessen
Entiteit type Elektronische objecten
Data Software
Fysieke objecten
Netwerkapplicaties Beveiligingsapplicaties Goederen
Hardware Personen
Tabel 1 Type identifier Aangehecht (pseudo)ID Hardware embedded ID
Software embedded ID
Voorbeelden Barcode, private (crypto)key, cryptografisch bewerkte pseudo-identifiers (zie hieronder) Voertuig Identificatie Nummer (VIN) ofwel chassisnummer, International Maritime Organization Ship Identification number (IMO number), Media Acces Control adres (MAC-adres) Digital Object Identifier (DOI), Globallly Unique_Identifier (GUI), Universally Unique Identifier (UUID).
Tabel 2
Entiteiten en identifiers
Tijdens het proces van fysieke verificatie wordt de relatie tussen entiteit, identiteit en credential zo betrouwbaar mogelijk vastgesteld.. Drie varianten worden onderscheiden: 1. Directe verificatie: tussen entiteit en identiteitsdatabase. 2. Indirecte verificatie: tussen entiteit en credential. 3. Verificatie van credential: tussen credential en identiteitsdatabase.
Een transactie is het resultaat van een keten van processen waarbij mensen, hardware, software en informatie-eenheden betrokken zijn. Om de betrouwbaarheid van processen op internet te waarborgen moeten alle betrokken entiteiten geïdentificeerd worden. Bij een proces op internet zijn verschillende typen betrokken, die elk aan de hand van een eigen type identifiers kunnen worden onderscheiden.
In de volgende figuur is dit schematisch weergegeven.
Soort entiteiten Zie tabel 1.
directe verificatie van identiteit
entiteit
indirecte verificatie van identiteit
ID base verificatie van credential
ID credential
Voorbeelden E-mails, elektronische dossiers, databases Telebankapplicaties, e-mailapplicaties, FTP, VOIP HTTP(s) / SSL / TLS, SMTP, SNMP, SSH PC’s, ATM’s, POS-terminals, SIMkaarten, smartcards, credentials, netwerkkaarten, CCTV’s, RFID’s Bagage, forensisch bewijsmateriaal
Soort identifiers Het begrip identifier is gelaagd van karakter: een smartcard heeft een identifier maar dient zelf ook weer als identifier voor een andere entiteit. We onderscheiden true identifiers en pseudo identifiers. True identifiers Deze identifiers zijn uniek en onlosmakelijk verbonden aan een entiteit. Op
basis van een private key kan een identiteit met zekerheid worden vastgesteld (tabel 2). Pseudo identifiers Semi identifiers geven geen uitsluitsel over de identiteit van een entiteit. Aanvullende informatie is vereist om de identiteit met zekerheid te kunnen vaststellen. Door cryptografische bewerking met een private key kunnen semi identifiers worden omgezet in unieke kenmerken, onlosmakelijk verbonden aan de entiteit. We onderscheiden objectkenmerken en locatiekenmerken. Objectkenmerken Dit zijn fysieke kenmerken van het object. Deze zijn niet uniek (tabel 3). Locatiekenmerken Dit zijn locatiegegevens van het object. Deze zijn niet vast aan een entiteit verbonden (tabel 4). In de praktijk worden netwerkadressen vaak wel als true identifier gehanteerd:
Security Management nummer 12 december 2008
20698-11_SECM 1208.indd 27
››
27
14-11-2008 15:19:06
thema | security & I P
Type identifier Biometrisch kenmerk Fysiometrisch kenmerk
Voorbeelden Iris, gelaat, vingerafdruk, stemgeluid Lengte, gewicht, soortelijk gewicht, chemische samenstelling.
Tabel 3 Type identifier Geolocatie coördinaten Netwerkadres
Voorbeelden GSM-connectie coördinaten, Wi-Fi-connectie coördinaten, GPS-coördinaten. IP-adres, MAC-adres van netwerkkaart
zien van een elektronische handtekening met behulp van private key van de entiteit.
Aandachtspunten Identificatie op internet zal altijd gepaard gaan met een zekere graad van onzekerheid. Dat heeft te maken met enkele principiële vraagstukken die niet eenvoudig zijn op te lossen.
Tabel 4 » Internetproviders zijn in het kader
van de Telecomwet verplicht om verkeersgegevens, dat wil zeggen tijdstippen en IP-adressen, te bewaren. Deze gegevens worden in het kader van opsporing en vervolging op een later moment gebruikt om de herkomst van e-mailberichten, zoekopdrachten of websites te achterhalen. » Bij IPv6 wordt het netwerkadres samengesteld uit het MAC-adres van de netwerkkaart (rechter 64 bits) en bits uitgezonden door routers (linker 64 bits). Ook het MAC-adres is, op de keper beschouwd, niet meer dan een locatiegegeven: het geeft uitsluitsel ten aanzien van de plaats waar een bepaalde netwerkkaart zich bevindt (namelijk bij het werkstation) en omgekeerd. Entiteiten versus identifiers Het type identifier is afhankelijk van het type entiteit. In onderstaande figuur enkele typen identifiers in relatie tot enkele typen entiteiten.
Labels Identifiers kunnen op een medium worden opgeslagen en worden gehecht aan een fysiek object. Barcodes, private keys, fysiometrische en biometrische gegevens kunnen worden afgedrukt op een document of worden opgeslagen
in een (RFID) chip. Deze worden als labels gehecht aan een object, waarmee de opgeslagen identifier aan het object wordt toegekend. Ook het begrip label heeft een gelaagd karakter: een microchip kan worden beschouwd als een label bevestigd op een smartcard; een smartcard kan beschouwd worden als een label van een gebruiker, enzovoort. Aanhechting Microchips en andere labels zijn niet onlosmakelijk verbonden met de fysieke entiteit. De kwaliteit van de aanhechting is van belang om de identiteitsvaststelling te borgen. Incorporatie: Chips kunnen aan mens en dier worden verbonden door onderhuidse implantatie; informatie kan worden afgedrukt, gebrand, lgeaserD of versmolten. Uitwendig: Documenten of microchips kunnen door middel van een nietje, lijm of stickers aan een entiteit worden verbonden. Dit is een zwakke methode van aanhechting. Informatiekundig: Visuele kenmerken of informatie worden op zowel entiteit als het label opgenomen. Voorwaarde is wel dat visuele controle hierop plaatsvindt. Cryptografisch: Om ongeautoriseerde wijzigingen te voorkomen kan de informatie worden versleuteld of voor-
True Identifiers
Embedded ID’s
Semi Identifiers
Fysieke kenmerken Locators
28
Private Key Hardware embedded Software embedded Biometrie Fysiometrie Geolocation Netwerk adres
Elektronisch
Fysiek object
Persoon
Type entiteit
Primaire identificatie Primaire identificatie is een single point of failure, de kwaliteit van alle daarop volgende identificaties hangt daarvan af. Men is afhankelijk van verklaringen of certificaten van derde partijen. Zeker als het om verklaringen uit het buitenland gaat, kan het moeilijk zijn de betrouwbaarheid en de juridische waarde te duiden. Betrouwbaarheid biometrie Biometrie is de methode bij uitstek om een userid op internet te koppelen aan een fysieke gebruiker. Maar de biometrische technologie is niet perfect en onkwetsbaar. Fouten in het biometrische proces kunnen worden geforceerd door spoofing en sabotage. False positives en -negatives ondergraven de integriteit en beschikbaarheid ervan. Biometrische kenmerken zijn aan verandering onderhevig. De kenmerken die opgeslagen worden in ID-bases en credentials moeten daarom regelmatig vervangen worden. Dit kan op gespannen voet staan met de levensduur van credentials. Instemming van de betrokken entiteit In de cyberspace is het moeilijk om vast te stellen of een persoon uit vrije wil identifiers ter beschikking stelt. Apparatuur kan gestolen worden, buren kunnen meeliften op een onbeveiligd draadloos netwerk (en dus op een IP-adres), biometrische kenmerken kunnen onder dwang worden afgestaan. Een voorbeeld van hoe het fout kan gaan is het verschijnsel ‘family voting’, waarbij verwanten de stem van een kiesgerechtigd familielid bepalen dan wel daarvan wederrechtelijk kennis nemen. Pseudo identifiers In een aantal gevallen zijn geen true identifiers beschikbaar en wordt ter
Security Management nummer 12 december 2008
20698-11_SECM 1208.indd 28
14-11-2008 15:19:07
t h e m a | se c ur i t y & I P
identificatie gebruikgemaakt van adres- en locatiegegevens. Het risico bestaat dat deze pseudo identifiers in de praktijk wel als true identifiers worden behandeld, op basis waarvan foutieve conclusies ten aanzien van de identiteit worden getrokken.
Samenvatting » Cyberidentiteiten dienen gebonden te worden aan fysieke kenmerken en kenmerken van tijd en plaats van de entiteit.
» Stel een duidelijk Identiteit Assurance Level vast, in overeenstemming met de risk appetite van toepassingsgebied, organisatie en betrokken partijen.
» Het primaire identificatieproces is een single point of failure. Neem voldoende
Surveillance en Monitoring Identiteitsvaststelling en verificatie van identiteiten in het domein van surveillance en monitoring zijn relatief zwak, zeker als gebruik wordt gemaakt van pseudo identifiers. Dat geldt ook wanneer (relatief hoogwaardige) identiteitskenmerken uit het domein van access controll en logistics worden toegevoegd aan een (relatief laagwaardige) identiteit uit het eigen domein.De kans bestaat dat in de praktijk te veel vertrouwen wordt gesteld in deze afgeleide identiteit. Identiteitsmanagement is nooit af Identiteiten zijn aan verandering onderhevig en identiteitsmanagement staat bloot aan steeds weer nieuwe en complexere aanvallen. Processen en procedures dienen voortdurend aangepast te worden om een gelijk niveau
maatregelen om de kwaliteit van dit proces te waarborgen.
» Maak een strikt onderscheid tussen identiteitsmanagement enerzijds en toepassingsdomeinen anderzijds.
» De kwaliteit van het interne identiteitsmanagement heeft een replicator effect op de kwaliteit van het identiteitsmanagement in het toepassingsdomein en verdient daarom bijzondere aandacht. » Voor een betrouwbare identificatie op basis van labels is een robuuste hechting van labels vereist. » Identiteitsmanagement is nooit af en nooit perfect. Dit mogen we niet uit het oog verliezen, om een vals gevoel van veiligheid te voorkomen.
van betrouwbaarheid te kunnen realiseren. Om een vals gevoel van veiligheid, en daarmee een nog grotere onveiligheid te voorkomen, is het daarbij van belang principiële onzekerheden niet uit het oog te verliezen.
Tot slot Security en ICT-management kunnen samen, door consequente toepassing
van inzichten en regels op het gebied van fysieke verificatie, zorg dragen voor robuuste identificatieprocessen en daarmee bijdragen tot een veiliger ver‹‹ keer op internet. * Elisabeth de Leeuw is Management Consultant Risk Compliance & Assurance bij Ordina (elisabeth.de.leeuw@ ordina.nl)
(Advertentie)
Manage security integraal
MASTER OF SECURITY SCIENCE & MANAGEMENT Wie al enige tijd werkzaam is op het gebied van security, weet dat optimale beveiliging en veiligheid pas tot stand kunnen komen, wanneer zij op strategisch niveau goed worden gemanaged. Delft TopTech’s Master of Security Science & Management biedt een integrale benadering van security management. De opleiding combineert wetenschappelijke methoden en security oplossingsconcepten met management en bedrijfsvoering. Het is daarmee dé opleiding voor security managers die hun kennis van beveiligen en veiligheid op een hoger niveau willen brengen en hun carrière willen verbeteren. Start najaar 2009. Alvast de sfeer proeven? Kom naar de workshop in februari 2009! Voor meer informatie over de masteropleiding en extra workshops bel Annemarie Houkes 015 278 16 31 of kijk op www.delft-toptech.nl/security
015 278 80 19
20698-11_SECM 1208.indd 29
•
[email protected]
•
www.delft-toptech.nl
14-11-2008 15:19:07