|
|
|
|
E-creeps: houdt ze buiten de deurAutomatisering is prachtig, maar ook riskant. Uw netwerken en computers liggen, vaak ongemerkt, continu onder vuur. Hackers proberen binnen te dringen. Alsof dit nog niet erg genoeg is zijn er meer dan 10.000 computervirussen actief en iedere dag komen er ongeveer vijf bij. Volgens een schatting van The Guardian zal computercriminaliteit dit jaar de wereldgemeenschap meer dan tweehonderd miljoen dollar kosten.Verwoestend programma Omdat veel bedrijven en instellingen waren gefocust op de snelle invoering van integrale ICT-toepassingen is aan het beveiligingsaspect relatief weinig aandacht besteed. Daar bij komt dat het steeds makkelijker wordt computervirussen en andere, nog schadelijkere, programma's te schrijven. In het recente verleden moest je daarvoor een specialist zijn. Tegenwoordig kan iedereen met een beetje verstand van computers een verwoestend programma in elkaar zetten. Gecombineerd met een snel groeiend internetgebruik en de vele nieuwe e-commercetoepassingen is het duidelijk dat informatiebeveiliging hoog op de prioriteitenlijst van iedere organisatie dient te staan. Steun van het management En daar wringt de schoen. Eén van de belangrijkste voorwaarden voor een effectieve informatiebeveiliging is de steun van het management dat het belang van dit onderwerp in moet zien en er moeite, tijd en middelen voor moet uittrekken. Het probleem hierbij is dat je van een perfecte informatiebeveiliging niets merkt en men zich al gauw afvraagt of alle investeringen op dit gebied wel noodzakelijk zijn geweest. Dit soort geluiden heeft iedereen onlangs kunnen horen nadat de millenniumwisseling vrijwel incidentloos was verlopen. Informatiebeveiliging strekt zich uit tot vrijwel de gehele onderneming. Zo moet men kijken naar de fysieke omgeving -wie komt er waar in het gebouw?- en de organisatie. En uiteraard moet men zich de vraag stellen of het netwerk goed is beveiligd. Menselijke factor Het belangrijkste facet van informatiebeveiliging is en blijft echter de 'human factor'. De nadruk bij informatiebeveiliging ligt meestal op de technologie, terwijl juist het menselijk gedrag voor de meeste problemen en ongelukken zorgt. Eigenschappen als openheid en hulpvaardigheid, die in het normale intermenselijke verkeer zeer op prijs worden gesteld, worden vaak misbruikt. Denk hierbij aan die ogenschijnlijk vriendelijke, maar frauderende collega aan wie je 'even' je password uitleent. Of het verstrekken van vertrouwelijk gegevens, zoals gebruikersnaam en wachtwoord, aan een schijnbare autoriteit of hulpbehoevende klant. Is de situatie hopeloos? Absoluut niet. U kunt zich behoorlijk wapenen tegen de gevaren die op de loer liggen. 1. Op de hoogte blijven Zo kunt u op de hoogte blijven van de snode plannen van allerhande elektronische engerds door u kosteloos te abonneren op de wekelijkse e-mailnieuwsbrief van Pine Security. Ook kunt u af en toe ook eens kijken op de site van de Safe Internet Foundation (SIF). Weliswaar is het op dit moment nog een beetje een applausclub voor de firma Baan, maar de applicaties die zich in de SIF Suite bevinden kunnen uw tochten over de elektronische snelweg waarschijnlijk veiliger maken. Gebruikers van Windows en andere Microsoft-producten doen er goed aan regelmatig de beveiligingspagina's van de computergigant te bezoeken. Vrijwel dagelijks geeft Microsoft daar nieuws over beveiligingsproblemen en waar mogelijk zijn er patches te downloaden. 2. Goed wachtwoordbeleid Kies uw wachtwoorden met beleid. Een goed wachtwoord is makkelijk te onthouden maar moet niet voor de hand liggend zijn. Gebruik dus niet uw telefoonnummer, uw geboortedatum, de naam van uw partner of iets dergelijks. Verder is het aan te bevelen dat uw wachtwoord uit een combinatie van letters, cijfers en zo mogelijk 'vreemde' tekens bestaat. Als u al een wachtwoord ergens noteert zorg er dan voor dat het voor vreemde ogen verborgen blijft. Veel aanvallen op uw systeem beginnen in eigen huis, bijvoorbeeld als een bezoeker wachtwoorden ziet die op zo'n geel plakpapiertje staan dat aan een PC of monitor is gehecht. Indien u werkt met Microsoft's Internet Explorer en een wachtwoord intypt vraagt dit programma of het wachtwoord moet worden opgeslagen. Sla dit aanbod vriendelijk doch beslist af. Zo voorkomt u dat er vrij makkelijk te achterhalen informatie wordt opgeslagen. Af en toe een wachtwoord wijzigen is verstandig. Gebruikt u echter te vaak nieuwe wachtwoorden voor u of uw medewerkers dan wordt de neiging ze op te schrijven (en te laten slingeren) zeer groot. Als u met tijdelijk personeel, zoals uitzendkrachten werkt of iemand heeft ontslagen doet u er verstandig aan zo snel na hun vertrek mogelijk hun accounts, inlognamen en passwords te wissen. 3. Update die software Wie van het internet gebruik maakt zonder een goede virusscanner te hebben geïnstalleerd vraagt om moeilijkheden. Het installeren van beveiligingssoftware is echter niet voldoende als u deze niet regelmatig update. De meeste virusscanners zelf als hun virusdefinities aan verversing toe zijn. Negeer deze waarschuwingen niet; de minuten die u aan dit klusje kwijt bent vallen in het niet bij de uren die een virus u kan kosten. U kunt uw computer ook online laten onderzoeken op virussen via HouseCall, een webdienst van Trend Micro. 4. Vuurmuur of zanddoos Firewalls zijn programma's die voor uw computer of netwerk dienen als een filter voor het internet. Deze firewalls worden door veel bedrijven geleverd. Bedenk echter dat firewalls u niet beschermen tegen aanvallen van binnen uit de organisatie. Aladdin heeft het programma eSafe ontwikkeld waarin bestanden die ervan worden verdacht virussen of vandals te bevatten in een soort quarantainegebied -The Sandbox- worden geplaatst en indien nodig onschadelijk worden gemaakt. 5. Veilig e-mailen Omdat e-mail geen wettelijke bescherming kent en het via veel etappe-plaatsen van zender naar ontvanger gaat is het een tamelijk onveilig communicatiemiddel. Daarom is het verstandig als u een encryptieprogramma als PGP (Pretty Good Privacy) gebruikt om uw e-mail te versleutelen. PKI (Public Key Infrastructure) is een vernuftig systeem van versleuteling (encryptie) in combinatie met certificaten, waarmee veilig via het internet kan worden gecommuniceerd. 6. Gevaarlijke post Als u een Word-bestand heeft ontvangen doet u er verstandig aan om het te openen zonder eventuele macro's te activeren. Hierdoor voorkomt u dat speciale Word macrovirussen uw machine kunnen besmetten. Om te kijken of Word hiervoor juist is ingesteld klikt u op 'Opties' in het menu 'Extra'. Vervolgens kiest u het tabblad 'Algemeen' en kijkt u of het selectievakje 'Bescherming tegen macrovirussen' is aangekruist. Wees vooral uitermate terughoudend met het openen van bijlagen bij e-mail van onbekende herkomst. Met name (zelfstartende) programma's dient u te wantrouwen. 7. Verstandig internetgebruik Maak met uw medewerkers afspraken over hun gedrag op het internet. Installeer zo nodig software waarmee bevoegdheden kunnen worden ingesteld en surfgedrag kan worden geobserveerd. Alle bekende browsers hebben mogelijkheden om een aantal zaken rond de beveiliging in te stellen. In de recente versies van de Internet Explorer van Microsoft vindt u ze vooral op de tabbladen 'Beveiliging', 'Geavanceerd' en 'Inhoud' van de menu-optie 'Extra/Internet-opties'. Gebruikt u de Netscape Communicator dan vervoegt u zich bij 'Communicator/Beveiligingsinfo'. 8. Voorkomen is beter Sluit als het enigszins mogelijk is geen databases met gevoelige informatie aan op een netwerk en plaats ze zeker niet op machines die met het internet zijn verbonden. Surf niet over het internet als uw computer is aangesloten op uw bedrijfsintranet. Uw modem en surftochtjes zetten een deur naar uw beveiligde netwerk wagenwijd open voor hackers. 9. Harde maatregelen Ook aan de hardware kant zijn er goede beveiligingsmethoden. Zo maakt Aladdin het eToken. Het is een soort sleutel voorzien van een microchip die in de USB-poort van een computer wordt gestopt. Op de ingebouwde chip zijn allerhande beveiligingszaken opgeslagen, zoals identificatie en digitale handtekeningen. Rainbow Technologies brengt onder de naam iKey een vergelijkbaar product op de markt. Kaders behorende bij dit artikel. security.pine.nl www.sif.nl www.microsoft.com/security www.esafe.com www.rainbow.com/ikey Dit artikel verscheen in maart 2000 in Comm; ©2000 Huib Zegers |