De basis van ICT security – deel 1

Welke fundamentele principes liggen aan de basis van ICT?

De beveiliging van ICT komt steeds vaker in het nieuws. Cybercriminelen stelen inloggegevens, plunderen bankrekeningen, en veroorzaken allerlei andere vervelende problemen. Ook komt het steeds dichterbij; met nep-e-mails van de bank en door malware is zelfs iedereen in zijn eigen huis niet meer veilig. Je persoonlijke bestanden worden versleuteld en je moet geld betalen om ze terug te krijgen, mensen kijken mee door je webcam en luisteren mee door je microfoon, … Daar komt nog bovenop dat de overheid nu alles online gaat afhandelen, waardoor er ook steeds meer persoonlijke gegevens van iedereen online staan. Veel mensen vinden dit steeds enger worden, en geef ze eens ongelijk?

In deze blogposts probeer ik duidelijk en helder wat dieper op ICT security in te gaan, en op een begrijpbare manier uit te leggen wat er allemaal in de wereld van ICT-beveiliging speelt. Hierbij zal een divers scala aan onderwerpen aan bod komen, waarbij elke keer een stap dieper en nauwkeuriger naar de details van ICT security gekeken zal worden.

Systeem veilig maken

Als allereerste moet er gekeken worden naar wat het inhoudt om een systeem veilig te maken. Hiervoor moet de beveiliging van elk van de componenten van het systeem in orde zijn. Dit kun je je voorstellen als een ketting, waarin meerdere kleine schakels samen een grote ketting vormen. Vrijwel elk ICT systeem is op zo’n manier opgebouwd. Omdat veel vraagstukken erg complex en groot zijn, worden ze in kleinere sub-vraagstukken opgedeeld die makkelijker te behapstukken zijn. Voor elk wordt een klein stuk software geschreven die het deelprobleem oplost, en daarna worden meerdere van deze kleinere stukken software aan elkaar geknoopt om het volledige vraagstuk te tackelen.

Vanuit deze beeldspraak komt de eerste vuistregel:
Security is net zo sterk als de zwakste schakel in het systeem.

Eén los steekje

Om de beveiliging van een groot systeem te compromitteren, is er maar één los steekje nodig. Een kwetsbaar component, een zwak wachtwoord… Er hoeft maar op één plek een opening te zitten, en de volledige keten valt. En vergis je niet: doordat de meeste systemen erg complex zijn, en door de samenwerking van zoveel verschillende mensen en bedrijven tot stand zijn gekomen, is het heel moeilijk om overzicht te houden, en om alles te controleren. Tevens staat in de praktijk de veiligheid van het systeem vaak niet heel hoog op de prioriteitenlijst. Dat betekent dat er eigenlijk altijd ergens wel een onbedoelde zwakke plek te vinden is.

Onvolkomenheid

Daar komt nog bij dat computers ingewikkelde beesten zijn. Er zijn zoveel dingen die een computer kan doen, en er zit zoveel rekenkracht achter. Een moderne computer bijvoorbeeld kan vele miljarden berekeningen per seconde uitvoeren, en zal daarbij nooit een fout maken. Een computer doet namelijk exact wat ‘m opgedragen wordt, en geen spat meer. Dat betekent dus dat als er een onvolkomenheid in de software zit, een computer die vrolijk uitvoert, met alle gevolgen van dien. Voor een veilig systeem is het dus van extreem belang dat alle software goed en foutloos in elkaar gezet wordt. En dat is moeilijk, heel moeilijk, want wij mensen zijn immers niet gewend om zo secuur te moeten werken.

Betekent dat dat een veilige ICT wereld een contradictio in terminis is? Een onhaalbaar ideaal?

Nee, hoewel er een heleboel mitsen en maren aan vast zitten. Ik hoop in deze serie duidelijk te kunnen maken wat deze mitsen en maren zijn, en wat er in mijn beleving aan de basis van een veilig ICT systeem ligt, met als ultieme doel een beeld te schetsen hoe de ICT wereld met behulp van de tips en vuistregels die ik geef veiliger gemaakt kan worden.