Veilige enclaves in cyberspace?


Cyberspace is en blijft een wereld waar gevaren lastig zichtbaar zijn. De ‘innovatie’ van aanvallers is een grote zorg, omdat zij steeds nieuwe gaten in de digitale verdedigingsschil vinden. Volgens onderzoek ziet 90% van de industrie jaarlijks het dreigingsniveau groeien mede omdat data over steeds meer plaatsen is verspreid en een steeds dieper niveau van toegangscontrole en inspectie nodig is. De hoeveelheid kwetsbare data groeit net als het aantal databibliotheken waar deze data zich bevindt. Het complete zicht op alle data houden, wordt steeds lastiger. Het aanvalsoppervlak wordt groter door multicloud toepassingen en gedistribueerde werkplekken. Wettelijke vereisten maken het ingewikkelder alle gevoelige gegevens nog adequaat (weten) te vinden en te benoemen. Cybersecurity vraagt serieus systeemdenken. Denken in gecontroleerde ketens, losgekoppelde subsystemen, gecompartimenteerde processen en vanuit het ontwerp bewust veilige enclaves inbouwen. 

Wat moet ik beschermen?

Het is onmogelijk – zeker kostentechnisch – alle data van een organisatie op eenzelfde hoog beschermingsniveau te brengen. Dat betekent dat er beleid moet zijn welke data op welk niveau beveiligd moet worden. Vanuit dat beleid wordt kwalificatie, structuur en methodiek bepaald om de beveiliging van alle verschillende datatypen ordentelijk vorm te geven. Probleem is dat het onpraktisch is om elke set informatie het beschermingsniveau te geven dat nodig is om slechts een kleine subset van gevoelige gegevens te ondersteunen. Bij een routineuze bestelling hoeft bijvoorbeeld slechts het creditcardnummer goed afgeschermd te zijn, terwijl de rest van de data minder interessant en dus minder veilig hoeft te zijn. Splitsen van inhoud en betaling wordt dan bijvoorbeeld een logische aanpak.

In eerdere blogs zoals ‘zonder bodem geen pizza’ besprak ik het principe van dataclassificatie: welke data heeft welke klasse wat betreft opslag, beheer en beveiliging nodig. Kan ik data bij het ontstaan of binnenkomst bij de organisatie direct de juiste classificatie geven? Procesgerichte kwaliteitsborging begint op het moment dat personen, materialen en dus ook data een bedrijf binnenkomen. Op het gebied van ‘zichtbare’ personen en goederen is het heel begrijpelijk. Explosieven worden anders behandeld en opgeslagen dan eenvoudige constructiematerialen. Hoog geclassificeerde medewerkers hebben andere werkplekken en worden anders beveiligd dan algemene medewerkers. Voor data is het niet anders. 

Kritische data   

Dataclassificatie is niet nieuw. Het is een goed en wel gedefineerd proces dat op heel veel plaatsen gebeurt. Hoe hoger de classificatie hoe beperkter de toegang en hoe hoger het beveiligingsniveau. Als data al direct bij binnenkomst ‘hoog geclassificeerd’ is, dan heeft het proces een makkelijke start. Maar we zien de ontwikkeling van data onder de noemer van Controlled Unclassified Information (CUI): data die tijdens een proces zo waardevol wordt dat zij eigenlijk een geclassificeerde status moet krijgen. Bijvoorbeeld door een groeiende vertrouwelijkheid tijdens het proces en daardoor hogere wettelijke bescherming en de daarbij vereiste verspreidingscontrole. 

Het lekken van data die tijdens het proces kritisch is geworden, kan directe gevolgen hebben op de veiligheid en continuïteit van een organisatie. Het is alsof eenvoudige grondstoffen tijdens het proces dusdanig worden samengevoegd dat zij vanaf een zeker moment een explosief of giftig middel worden. En vanaf dat moment dus een veel hogere bescherming behoren te krijgen. Dat organiseren voor ‘groeiende’ informatieproducten is best lastig. Wanneer wordt een informatieproduct, in welke samenstelling en met welke toegevoegde data ‘opeens’ een hoger geclassificeerd informatieproduct? Kan een ander met kunstmatige intelligentie uit dat samengestelde product wellicht alle kritische en gevoelige data destilleren? 

Een beveiligde informatieproces. 

Eerder was ik werkzaam in de beveiligingsindustrie en was het omgaan met projectinformatie strikt gereguleerd. Naast basisprincipes van separate ‘afgesloten ruimtes’, ‘clean desk’ en ‘vier ogen’ aanpak, was vooral de decentrale opslag van verschillende informatie goed uitgedacht. De toen fysieke tekeningen hadden betekenisloze nummers als identificatie en geen informatie over systeem, klant of lokatie. Lokatie-informatie, ontwerp-data, systeem tekeningen, bedradingsschema’s en klantinformatie werden op verschillende fysieke plaatsen bewaard en opgeborgen. Via aparte tabellen kon de combinatie van de betekenisloze tekeningnummers uiteindelijk de projectdata leveren van een veiligheidssysteem van een klant op een bepaalde lokatie. 

Het was een papieren proces dat volgens een strikte en gedisciplineerde werkwijze regelmatig werd ge-audit om als security-bedrijf je hoog geclassificeerde status te mogen en kunnen behouden. Ook in de ontwerpen van de veiligheidssystemen zelf, was dezelfde methodiek zichtbaar: locaties, gegevens en beveiliging werden gecompartimenteerd. Nooit was het mogelijk binnen het systeem op alle plaatsen tegelijk te komen. Het ene compartiment was niet toegankelijk als de andere of vorige niet goed en veilig was achtergelaten en afgesloten. Op die manier kon – in principe – nooit een ketenkwetsbaarheid ontstaan. Het principe van de slotgracht met daarin een ‘gecontroleerd toegangseiland‘ met twee bruggen die nooit tegelijkertijd dicht kunnen zijn. 

De digitale uitdaging

Het hierboven beschreven proces was arbeidsintensief en vroeg van alle medewerkers een hoge discipline. Iedereen wist dat men met hoog gekwalificeerde informatie bezig was, waarbij zelfs bij noodsituaties zoals brand, aparte procedures waren om op die momenten toch eerst de veiligheid van die informatie te garanderen, al was het maar gestructureerde vernietiging. Dat betekende ook dat de omgeving waar deze werkzaamheden werden uitgevoerd extra tegen fysieke noodomstandigheden waren beveiligd, opdat men de tijd had een noodprocedure – zoals versneld gecontroleerd opbergen of vernietigen – tijdig en veilig uit te voeren. 

Eigenlijk is dit principe voor digitale data niet anders. Mijn oude werkgever EMC leverde aan defensie data-opslagapparatuur die voorzien was van zowel digitale vernietiging – diverse malen disks wissen tot ze gegarandeerd ‘leeg’ waren – maar ook fysieke vernietiging met explosieven. Als de vijand onvoorzien snel arriveerde, kon met ingebouwde explosieven de inhoud van een storage-box worden omgezet in onbruikbaar gruis. Dat vernietigde niet alleen de data – zoals bij gecontroleerd wissen – maar natuurlijk ook het fysieke systeem zelf dat immers onbruikbaar was geworden. Maar data viel niet in verkeerde handen en daar ging het om. 

Het denken in compartimenten en enclaves

Veiligheidsdenken begint met het systematisch benoemen van alle voorziene en liefst ook ‘onvoorziene’ gevaren en met het denken in compartimenten en enclaves. Welke zaken mogen wel en niet tegelijkertijd bij elkaar komen? Waar mogen nooit kopieën van worden gemaakt en welke masterdata moet uniek blijven? Hoe kan ik informatie onherkenbaar maken en onderdelen daarvan op een onlogische manier verspreiden? Moet ik sommige informatie wellicht zelfs nooit digitaal maken, maar alleen fysiek laten bestaan? Denk aan geheime recepten, of de seed phrase van je digitale wallet. Fysiek genoteerd en verspreid over verschillende plaatsen, eventueel zelfs onder het vier ogen principe. 

In een eerdere blog noemde ik cybersecurity ‘systeemdenken’. Veiligheid, ook dataveiligheid, is het kunnen denken in systemen. Begrijpen hoe zowel het operationele systeem als het geïntegreerde veiligheidssysteem werkt. Vanuit de vliegtuigindustrie een evidente deskundigheid om vanuit een ontwerp altijd het hoogst mogelijke veiligheidsniveau te kunnen realiseren. In welke situatie ook. En dat betekent denken in systemen, subsystemen en afgeschermde of snel te isoleren systemen en data-omgevingen. Het mooie is dat het decentrale Web3 in combinatie met de blockchain een scala aan nieuwe creatieve mogelijkheden laat ontstaat om het hoofd te bieden aan de immer groeiende cyberuitdagingen. Met als kern encryptie, decentralisatie en denken in ontkoppelde enclaves. 

Photo from pexels by Vitalina Voroshkevich