Dagelijks zien we in de massamedia berichten over creditcard gegevens die in grote volumes gestolen zijn en vervolgens voor 5 € per set aangeboden worden, login en passwords van social media sites die zijn ontvreemd zelfs de politiediensten kunnen niet meer gerust zijn door het recente openbaar op het internet verschijnen van gevoelige data zoals namen, foto’s en allerhande adresinformatie. Een actie waar mogelijks malafide gedachten achter zaten. De ene keer is de daad wat minder schadelijk dan de andere keer maar dat de criminaliteit op internet toeneemt is inmiddels bij elke Belg wel bekend. Hoe kan het dat, ondanks grote investeringen in IT-security, zelfs de meest gerenommeerde banken of verzekeringsinstellingen nog steeds gehackt worden? En als het voor hen al zo moeilijk is om zich te beschermen, wat moet dan een gemiddelde KMO doen om het internetkwaad buiten de deur te houden? De grote vraag is hoe resellers de security risico’s kunnen minimaliseren bij haar klanten in de KMO.
Vaak kiest de reseller voor een té simpele oplossing: een firewall aan de rand van het netwerk en een anti-virus pakket op de pc’s. Helaas is die firewall vaak een stateful firewall die qua basistechnologie uit de jaren 80 stamt. Het houdt misschien een paar netwerkpoorten dicht maar zelfs een aspirant hacker wandelt daar fluitend doorheen. Een firewall moet op zijn minst met “deep packet inspection” uitgerust zijn of met een zogenaamd Intrusion Prevention System (IPS). Dit laatste is een intelligent systeem dat kijkt naar het binnenkomende netwerkverkeer. Elk “packet” aan netwerkverkeer wordt afzonderlijk én in relatie tot elkaar “geïnspecteerd”. Het systeem vraagt zich continu af of het verkeer eventueel kwaadaardig is en afgebroken moet worden om een zogenaamde Intrusion te voorkomen. IPS-en komen in alle maten en soorten voor maar vooral op allerlei kwaliteitsniveaus.“Firewalls” zitten tegenwoordig zelfs al in een router van € 75,-. Is er dan niemand die de arme KMO-er kan helpen het kaf van het koren te scheiden in deze enorme complexe materie? Want men kan security zo “plug & play” mogelijk proberen te maken, het is en blijft de snelst evoluerende sector van de georganiseerde criminaliteit en wellicht als gevolg daarvan ook in de IT. Hier ligt een schone taak voor de ’Value Added’ reseller. Het is zijn taak om de KMO-er uit te leggen en te overtuigen dat een échte moderne firewall (met IPS) ca. 600 euro of meer moet kosten en dat er anders slechts schijnveiligheid aangekocht wordt met alle gevolgen van dien voor de KMO-er en de relatie tussen de reseller en de KMO-er.
Gelukkig zijn er organisaties die kwaliteitsstempels op het gebied van IT security uit willen delen om zo een eerste selectie te maken, met de CCRA (Common Criteria Recognition Agreement) voorop. ICSA Labs is ook een organisatie die kwaliteitsstempels uitdeelt maar hoe die volledig onafhankelijk en dus objectief kan opereren met een partij als Verizon erachter is mij een raadsel. Daar achteraan hobbelen veel nationale inlichtingendiensten die ook kwaliteitsstempels uit willen delen voor het gebruik van bepaalde IT security oplossingen binnen nationale overheidsomgevingen. Helaas blinken de meeste van deze organisaties niet uit in het communiceren van hun doelstellingen en resultaten naar het bedrijfsleven toe en zeker niet naar de KMO’s. Als je wilt uitzoeken wie de beste firewall met IPS levert volgens de CCRA, dan is dat nog steeds een aardige studie. Maar daarvoor ben je toch IT Security Specialist of ’Value Added’ reseller niet?
Het feit is dat de CCRA ook een organisatie in evolutie is en daarbij komt dat er intussen maar liefst 26 landen lid zijn. Natuurlijk, hoe meer leden, hoe beter en des te succesvoller hun “kwaliteitstempels” op een mondiaal niveau kunnen zijn. Echter het zijn veelal de nationale inlichtingendiensten van die 26 landen die lid zijn en overheidsorganisaties hebben nu eenmaal niet de reputatie de snelste van de klas te zijn. De evolutie van deze organisatie kenmerkt zich door de versies die ze definiëren op het gebied van het certificeringproces. Bent u er nog? Dus zo’n 4 jaar geleden kon je nog rustig met versie 2.3 (of ouder) van het certificeringproces een EAL 4+ halen. Fantastisch! Dat je dan zelf als IT Security leverancier mocht bepalen tegen welke exacte criteria (TOE) je product werd gecertificeerd mocht de pret niet drukken. En sindsdien prijken er op vele brochures het begeerde EAL4+ niveau zonder dat ooit iemand informeert wanneer deze behaald is oftewel op basis van welke versie. De leverancier laat het natuurlijk ook wel uit zijn hoofd om het erbij te zetten.
Maar de CCRA maakt sprongen vooruit en ik draag ze ook een warm hart toe omdat ze de enige wereldwijde organisatie is die op dit vlak onafhankelijk opereert. En als er nog meer landen lid worden, dan kan misschien ooit de dominantie van de Amerikaanse nationale inlichtingendienst enigszins afnemen. Gelukkig is er sinds versie 3 van het certificeringproces een heleboel verbeterd, zeker op het gebied van firewalls en IPS. Lees het volgende citaat van de CCRA website en huiver bij de gedachten dat uw firewall (of IPS) misschien op versie 2.3 een EAL (desnoods 4+) behaald heeft. Let op: Het gaat hier om een vergelijking die zij zelf maken tussen v2.3 en v3.1:
Some basic IT security principles were completely missing (the absence of an architecture argument meant that that all of the claimed security functions could be corrupted or bypassed, making them meaningless). And in all cases, there was no acknowledgement that some parts of the TSF are more critical and security-interesting than others, the result of which was that the analysis had to be performed — even on parts that no security professional would bother with – thereby expending vast amount of unnecessary effort.
Misschien dat er nog een paar banken en verzekeringsinstellingen een v2.3 EAL4+ firewall hebben staan? Om over KMO’s nog maar te zwijgen….