d informatiebeveiliging, van theorie naar praktijk

INFORMATIEBEVEILIGING,VAN THEORIE NAAR PRAKTIJKDoor: Frans H.B. Kersten, Managing Consultant bij deDivisie Management Consultency van GMCDit artikel behandelt kort één van de achtergronden van dehuidige aandacht voor informatiebeveiliging, het opstellenvan informatiebeveiligingsplannen en het implementeren van debeveiligingsmaatregelen. Risicoanalyse en risicomanagementen CRAMM zijn dan sleutelkreten. Vervolgens gaat de aandachtuit naar een aantal problemen zoals die in de praktijk ervarenzijn en hoe daarmee is omgegaan. Daarbij is met name geputuit de ervaringen bij het 1 (GE/NL)Corps.HISTORISCHE AANLEIDINGInformatiebeveiliging staat vanaf midden jaren tachtig van de vorigeeeuw op de politieke agenda. Aanleiding waren onder meerwetsontwerpen inzake privacybescherming en computercriminaliteit,alsmede kamervragen over het overheidsinformatie- enautomatiseringsbeleid. De grootste bijdrage aan deze aandachtleverde het rapport uit "Computerbeveiliging - Beveiliging vangegevens in geautomatiseerde systemen bij de ministeries" vande Algemene Rekenkamer uit 1988. Voornaamste conclusie wasdat er onvoldoende waarborg bestond dat grote risico's met betrekkingtot gegevens in geautomatiseerde systemen bij deministeries worden afgedekt. Aanvullende conclusie was dat decentrale regelgeving op dit gebied leemten bevatten, zoals geenaandacht voor de continuïteit van de bedrijfsvoering, en niet actueelwas, doordat niet was meegegaan met de ontwikkelingenin de ICT.VOORSCHRIFT INFORMATIEBEVEILIGING RIJKSDIENSTDeze aanvullende conclusie is opgepakt door het voor deze problematiekcoördinerende Ministerie van Binnenlandse Zaken.Dit heeft geresulteerd in het Voorschrift InformatiebeveiligingRijksdienst 1994 (VIR) dat sinds 1 januari 1995 van kracht is envoor 31 december 1997 ingevoerd had moeten zijn. Het VIR kentslechts 6 artikelen en kan als zeer pragmatisch worden aangemerkt.Eén van de artikelen verplicht ieder departement tot hethebben van een beleidsdocument Informatiebeveiliging. VoorDefensie is dit het document Defensie Beveiligingsbeleid (DBB) 1 .Het VIR verplicht ook het opstellen van informatiebeveiligingsplannenvoor ieder informatiesysteem en verantwoordelijkheidsgebied(bijv. een netwerk). Het doel hiervan is het waarborgenvan de betrouwbaarheid van het informatiesysteem ofverantwoordelijkheidsgebied en daarmee het waarborgen vande ondersteuning van de bedrijfsprocessen die van het informatiesysteemen/of verantwoordelijkheidsgebied afhankelijkzijn. Als basis voor een informatiebeveiligingsplan dient eenafhankelijkheid- en kwetsbaarheidanalyse te worden uitgevoerd.In het DBB is vastgelegd dat hiervoor de methode en het geautomatiseerdehulpmiddel CRAMM gebruikt moeten worden.CRAMM staat voor CCTA Risk Analysis and ManagementMethod.Binnen de Koninklijke Landmacht is het ExpertisecentrumInformatiebeveiliging Koninklijke Landmacht (ECI-KL) belast metde ondersteuning van de lijnmanagers (commandanten) bij hetopstellen van de informatiebeveiligingsplannen en het implementerenvan de daaruit volgende maatregelen (zie elders in ditnummer). Op grond van het VIR en het DBB blijft de lijnmanagerzelf verantwoordelijk voor het vaststellen en implementeren vande informatiebeveiligingsmaatregelen.INFORMATIEBEVEILIGINGSPROCESVoor het vormgeven van de ondersteuning door ECI-KL is eeninformatiebeveiligingsproces ingericht. Dit proces is onderverdeeldin vijf stappen en sluit nauw aan op de methode CRAMM(zie figuur 1).Tijdens fase 1 (afhankelijkheidsanalyse) worden de bedrijfsprocessenin beeld gebracht en wordt bepaald in hoeverre deze afhankelijkzijn van de geautomatiseerde ondersteuning. Vastgelegdwordt uit welke componenten (CRAMM spreekt van assets)deze ondersteuning bestaat en hoe deze gewaardeerd moetenworden. Uiteindelijk resulteert deze fase in de te stellen betrouwbaarheidseisenaan de geautomatiseerde ondersteuning,het informatiesysteem en de onderliggende technische infrastructuur.Dit gebeurt met behulp van de criteria beschikbaarheid,exclusiviteit en integriteit (vandaar de term BEI-eisen).Tijdens de kwetsbaarheidsanalyse (fase 2) wordt bepaald hoegevoelig het systeem is voor het optreden van dreigingen.CRAMM bevat hiertoe per dreiging een set van vragen met meerkeuzeantwoorden. Op basis van de gegeven antwoordenbepaalt CRAMM de kwetsbaarheid.Op basis van de afhankelijkheden en kwetsbaarheden berekentCRAMM vervolgens risicoprofielen. Deze worden gebruikt omin fase de benodigde informatiebeveiligingsmaatregelen tegenereren (zie figuur 2).Op deze maatregelen kan de lijnmanager vervolgens risicobeheersingtoepassen. Hij kan besluiten om bepaalde maatregelenniet te nemen omdat het risico door andere maatregelenwordt afgedekt. Ook kan hij besluiten het risico te accepteren.In de praktijk blijken zijn keuzemogelijkheden echter beperkt.Een belangrijk deel van de maatregelen correspondeert met debinnen Defensie vigerende regelgeving en zou alleen al om dieINTERCOM 2001-449

eden getroffen moeten zijn. Daarnaast kan het zijn dat het niettreffen van één of meer maatregelen voor de Beveiligingscoördinator(BC) of de Beveiligingsautoriteit (BA) reden is hetsysteem niet te accrediteren (zie fase 5), zodat het niet ingebruik mag worden genomen.Fase 4 betreft de feitelijke implementatie van de uit het beveiligingsplanvoortvloeiende maatregelen. Deze implementatie isgeen eenmalige actie. Veel maatregelen maken deel uit van dedagelijkse werkzaamheden en zullen bij voortduring uitgevoerd(moeten) worden. De lijnmanager moet dit bevorderen en er optoezien dat dit daadwerkelijk gebeurt.Fase 5 betreft dan de accreditatie. Van informatiesystemen dievoldoen aan de daartoe in de regelgeving 2 opgenomen criteriamoet eerst de toereikendheid van de implementatie worden onderzochten goedgekeurd alvorens het systeem operationeelwordt gemaakt. Dit onderzoek gebeurt door de Defensie Accountantsdienst(Defac), het al dan niet verlenen van de accreditatiedoor de BC, respectievelijk de BA.DE PRAKTIJKDE VOORBEREIDINGDe ondersteuning van ECI-KL zou oorspronkelijk beperkt blijventot het opstellen van de informatiebeveiligingsplannen, dus deuitvoering van de fasen 1 tot en met 3. Desondanks is in eenvroeg stadium nagedacht over de implementatie van de maatregelen.Het doel was om zoveel mogelijk aan te sluiten bij bestaandeprojecten en de door deze projecten te implementerenmaatregelen, om zo de informatiesysteemeigenaar zo min mogelijkte belasten. Als belangrijk uitgangspunt is dan ook gehanteerddat er binnen de KL via "LAN2000" met aanvulling vanhet project IBIN-KL (Informatiebeveiligingsinitiatief NetwerkenKL) één basis beveiligingsniveau voor de (gestandaardiseerde)ICT-infrastructuur zou worden geïmplementeerd 3 . Dit basis beveiligingsniveauis als zodanig in CRAMM uitgevoerd: alle analyseszijn als "verschillenanalyses" (CRAMM noemt dit What-ifanalyses) uitgevoerd. Vervolgens is verder nagedacht hoe deinformatiesysteemeigenaar verder ondersteund zou kunnenworden bij de implementatie. Hiervoor is in aanvulling op CRAMMeen maatregelendatabase onder MS-Access ontwikkeld.MS-Access was daarbij een compromis tussen enerzijds de behoefteaan onderhoudbaarheid, anderzijds laagdrempeligheidqua ontwikkeling.REGELGEVING, ROLLEN EN BOUWSTENENIn de maatregelendatabase heeft in eerste instantie vastleggingplaatsgevonden tussen de CRAMM-maatregelen en de binnenDefensie en de specifiek voor de KL vigerende regelgeving. Achtergrondwas dat veel maatregelen in de praktijk geïmplementeerdzouden moeten zijn en dan niet op grond van de associatiemet informatiebeveiliging, maar omdat de regelgeving dagelijksgehanteerd wordt. Het meest sprekende voorbeeld hiervanis MP 10-10 (Defensiepublicaties met regelgeving over veiligheid,beveiliging, etc). Voorts zijn toelichtingen opgenomen hoede veelal in abstracte termen verwoorde CRAMM-maatregelgeïnterpreteerd zou moeten worden. In een aantal gevallen isdan een meer uitgebreide omschrijving van de maatregel opgenomen.Voor de maatregelen op het gebied van wijzigingsbeheeris bijvoorbeeld een verwijzing opgenomen naar ITIL (InformationTechnology Infrastructure Library). Daarnaast isopgenomen hoe LAN2000 heeft aangegeven de maatregel tezullen implementeren.Tijdens de ontwikkeling van de eerste versie van de maatregelendatabaseen op grond van reacties naar aanleiding van hetuitvoeren van de CRAMM-analyses is bedacht dat de implementatievan de maatregelen bevorderd zou kunnen worden alsze meteen zouden kunnen worden toegewezen aan de functionarisdie de maatregel in de praktijk uitvoert of zou moeten uitvoerenals dit nog niet het geval is. Dit is in de database aangeduidmet "rollen". Uiteindelijk zijn 9 rollen onderkend, voor eenbelangrijk deel gebaseerd op de systematiek van prof. dr. ir. M.Looijen 4 . Dit is gebeurd in overleg met medewerkers van de (toenmalige)NATCO sectie "Informatievoorziening en Telematica".Hierbij ontstond soms een discussie aan welke rol de maatregeltoegewezen zou moeten worden en of dit in een aantalgevallen niet meer rollen zouden kunnen zijn. Uiteindelijk is gekozenom iedere maatregel maar aan één rol toe te wijzen.Medio 2000 was een belangrijk deel van de informatiebeveiligingsplannengereed. Geconstateerd werd echter dat de implementatiedoor de verantwoordelijke lijnmanagers niet ofnauwelijks van de grond kwam. Uiteindelijk is besloten om eersteen pilot te houden om te bezien of en op welke wijze ECI-KLook de ondersteuning van de implementatie zou kunnen verzorgen.Voorwaarde was wel dat dit zo effectief en efficiënt mogelijkzou moeten gebeuren. Deze pilot is in het voorjaar van2001 uitgevoerd. Eén van de bevindingen van de pilot was omde maatregelen niet alleen toe te wijzen aan rollen, maar ook inte delen in bouwstenen. Een bouwsteen representeert dan degenedie verantwoordelijk is voor de implementatie en uitvoeringvan de maatregelen. Een voorbeeld van een bouwsteen isbijvoorbeeld "beheer van de technische infrastructuur". In veelgevallen zal dit beheer zijn uitbesteed aan DTO. Het is echterook mogelijk dat de informatiesysteemeigenaar zelf de technischeinfrastructuur beheert, bijvoorbeeld als het systeem draaitop een niet-LAN2000 omgeving (zoals een systeem onder UNIXin plaats van WindowsNT). Veelal is er wel een relatie met rollente onderkennen. Zo vallen binnen deze bouwsteen "beheervan de technische infrastructuur" de rollen technisch netwerkbeheeren technisch systeembeheer.Nu vanaf medio 2001 daadwerkelijk ondersteuning wordt geleverdaan de implementatie, blijkt een verdere verfijning van hetbouwstenen nodig. Hieraan wordt thans gewerkt. Daarbij is geblekendat de problematiek ook bij de andere krijgsmachtdelenspeelt, zij het daar soms onder een andere naam (zoals het"Trechtermodel" bij de Koninklijke Marine). Als zodanig is dit"bouwstenenmodel" één van de vier onderwerpen waarop dekrijgsmachtdelen zullen proberen tot een gezamenlijke aanpakte komen.MOBIELE DOMEIN / 1(GE/NL)CORPSVoor de primair in de kantooromgeving toegepaste informatiesystemen,de zogenaamde "witte systemen", is in eerste instantieINTERCOM 2001-451

voorgaande aanpak per informatiesysteem gevolgd. Voor deaanpak van de in het operationele domein gehanteerde systemen,de zogenaamde "groene" systemen, heeft eerst een afzonderlijkonderzoek plaatsgevonden. Hierbij is in belangrijkemate gekeken naar het (toenmalige) hoofdkwartier van het1(GE/NL)Corps te Münster. Op grond van de daar in gebruikzijnde systemen, de grote overeenkomsten in de door de verschillendeonderdelen gebruikte systemen én de sterke en zwakkepunten van CRAMM is besloten om voor het 1(GE/NL)Corpsniet een aanpak per informatiesysteem, maar per verantwoordelijkheidsgebiedte kiezen.Daarbij is besloten om uit te gaan van de organisatorische eenheden,de RVE'en en wat bijzondere eenheden zoals KCT,11LMB, e.d., onder verantwoordelijkheid van één commandant.In de verdere uitwerking van de aanpak bleek het voorts nodigom aandacht te besteden aan de wijze van inzet. Dit heeft geleidtot 2 domeinen: non-deployed (de vredesbedrijfsvoering opde kazerne) en deployed (het mobiele optreden). Daarbij is dedeployed situatie gedefinieerd vanuit de doctrine "peace-enforcing" en het principe "train-as-you-fight". Voor beide situatiesis vervolgens een CRAMM-analyse uitgevoerd. Hierbij isgekeken naar de per domein gebruikte informatiesystemen ende onderliggende technische infrastructuur (TI). Hierbij is ookgekeken naar communicatiesystemen zoals ISIS en HEROS.Dit impliceerde ook het opnemen van specifiek voor deze communicatiesystemengebruikte componenten, zoals een S4-kabel,FKMU voor radiofrequentieplannen en de Fillgun. De verschillentussen de domeinen zitten voor een belangrijk deel inde verschillen in de gebruikte infrastructuur, zowel qua TechnischeInfrastructuur (zoals Talanfa voor het mobiele domein) alshuisvesting (gebouwen op een kazerne versus voertuigen in eencommandopost).Vervolgens is gekeken naar de aan dit gebruik gerelateerde afhankelijkhedenen kwetsbaarheden. Deze zijn in de deployedsituatie - uiteraard - hoger dan in de non-deployed situatie. Ditheeft geresulteerd in twee generieke modellen en bijbehorendebeveiligingsniveaus: het Basis beveiligingsniveau1(GE/NL)Corps non-deployed en het Basis beveiligingsniveau1(GE/NL)Corps deployed. Deze zijn uiteindelijk vastgesteld doorde verantwoordelijke lijnmanager ACOS G6 van 1(GE/NL)Corps.Vervolgens is een plan van aanpak opgesteld om de hiervoorbedoelde verantwoordelijkheidsgebieden aan een CRAMManalysete onderwerpen in de vorm van What-if analyses op dezegenerieke modellen. Daarbij wordt voornamelijk gekeken ofer per organisatie-eenheid systemen in gebruik zijn die niet zijnopgenomen in het generieke model. Is dit wel het geval dan wordtgekeken naar het niveau van de BEI-eisen van dat systeem. Zijndeze groter dan die van het generiek model, dan is een dergelijkeWhat-if analyse noodzakelijk; zo niet, dan wordt het generiekemodel van toepassing verklaard op het informatiesysteem.Naast deze verbijzonderingen in de aanpak tussen de "witte" ende "groene" systemen, bleek ook nog een aanpassing nodig inde sfeer van de CRAMM-maatregelen. Deze zijn gericht op dekantoorsituatie: plaats een hek om het gebouw, voorzie deramen op de eerste etage van verstevigd glas, e.d.. Maatregelendus die niet zonder meer toepasbaar zijn op de situatie tevelde. Om deze reden is aan de maatregelendatabase een veld"implementatie 1(GE/NL)Corps" toegevoegd. Hierin is insamenwerking met 1(GE/NL)Corps op hoofdlijnen beschrevenhoe het complement van de CRAMM-maatregel er voor dedeployment situatie uitziet. Het hek van CRAMM is daarbij vervangendoor c.q. aangevuld met onder meer consertina's, defysieke maatregelen van de serverruimte door de inrichting vanhet voertuig, e.d. Voorts is de regelgeving aangevuld met de(kern van) NATO-document C-M (55) 15 (Final).Overigens is daarbij gebleken dat veel door CRAMM gesuggereerdemaatregelen al in de praktijk worden toegepast: voor deactieve commandopost is er een reserve commandopost, op verbindingenwaarover gerubriceerde gegeven worden uitgewisseld,wordt encryptie toegepast, voor het maken van verbindingenzijn alternatieven voorhanden, e.d.. Dit betekent dat dit deelvan de maatregelen al geïmplementeerd is.Voor de implementatie binnen 1(GE/NL)Corps is in het plan vanaanpak ook het bouwstenenmodel gehanteerd. In details wijktdit af van de bouwstenen voor de "witte" systemen. Zo komt inde eerste plaats het verschil in aanpak weer terug: verantwoordelijkheidsgebiedversus informatiesysteem. Een ander voorbeeldis dat DTO als beheerder van de IT-infrastructuur is vervangendoor CIS-beheer.Daar waar bij het maken van de plannen alleen is gekeken naarde genoemde eenheden, worden bij de implementatie ook deonderliggende niveaus (RVE-1, brigades, e.d.) meegenomen.AANVULLENDE ERVARINGENEr bestaat de nodige kritiek op de geschiktheid van de toolCRAMM. Gebleken is echter dat als de tool "met beleid" wordtingezet, een goed en op risicomanagement gebaseerd kadervoor informatiebeveiliging neergezet kan worden. Dit "metbeleid" houdt onder meer in dat maatregelen waar nodig worden"vertaald" naar de praktijk (zoals voor het mobiele domein)dan wel worden aangevuld met regelgeving en technische standaards(bijvoorbeeld voor de inrichting van WindowsNT). Hetwerken met basis beveiligingsniveaus, generieke modellen enbouwstenen kan daarbij een aanzienlijke besparing opleveren.Recent is het gemak van een geautomatiseerd hulpmiddel aangetoondtoen op korte termijn twee beveiligingsplannen gemaaktmoesten worden voor toepassingen in het kader van SFOR.Daarbij heeft een toets plaatsgevonden op het generieke model1(GE/NL)Corps deployed. De toets had betrekking op de bruikbaarheidvan de componenten en het niveau van de betrouwbaarheidseisen.Op basis van deze toets is in samenwerkingmet de verantwoordelijke instanties vastgesteld dat delen vandit model gebruikt konden worden, waarna de gevraagde beveiligingsplannenbinnen enkele dagen opgesteld werden. Metbehulp van één plan is inmiddels de situatie ter plaatse onderzocht.Het plan bleek goed toepasbaar met dien verstande datop onderdelen uitbreiding met NATO-regelgeving noodzakelijkwas. Daarnaast is de verwachting dat het generiek model - vanwegede inpassingen van bijvoorbeeld ISIS en TMS - ook gebruiktkan worden om kaders aan te reiken voor de beveiligingvan TITAAN. Daarbij zal dan wel gebruik gemaakt moeten wordenvan de volgende versie van CRAMM. Deze nieuwe versiekent als belangrijkste aanvullingen een review op de Code voorInformatiebeveiliging - wat op dit moment de standaard voor informatiebeveiligingin het bedrijfsleven lijkt te worden - en maatregelenop het gebied van e-commerce. Deze laatste categoriegaat bijvoorbeeld in op maatregelen voor PKI (Public Key Infrastrucures).Een goede PKI is nu juist weer een belangrijk onderdeelvan het beveiligingsconcept voor TITAAN 5 . ■1 Defensie Beveiligingsbeleid d.d. 13 augustus 1997, versie 1.0, vastgestelddoor de Secretaris-Generaal van het Ministerie van Defensie op 20 juni 1997.2 De Handleiding Accreditatie, versie 1.1, d.d. 12 augustus 1998, uitgegevendoor de Beveiligingsautoriteit. ECI-KL heeft aanvullende regelgeving voor deKL in ontwikkeling.3 Uiteindelijk is het project IBIN gestopt met het opleveren van hetbeveiligingsplan en het plan van aanpak voor de implementatie. Deimplementatie wordt nu min of meer door ECI-KL meegenomen.4 Prof. dr. ir. M Looijen, Beheer van informatiesystemen, derde herziene druk,Kluwer Bedrijfsinformatie, ISBN 90-267-2800-X.5 Hierbij is afgezien van de invloed die de ontwikkeling van één PKI voor degehele rijksoverheid kan hebben.52 INTERCOM 2001-4