Zen and the Art of Information Security

De 52Blog is de corporate blog van Andarr. Het hele jaar door schrijven Andarr collega's blog's over uiteenlopende onderwerpen.

Op een zaterdagochtend liep ik mijn favoriete boekwinkel binnen, in het altijd gezellige Utrecht. Altijd loop ik dan even naar de afdeling Informatica, om te zien of er nog nieuwe interessante boeken zijn binnengekomen. Één titel liet me niet meer los en heb ik na een korte bestudering direct aangeschaft: “Zen and the Art of Information Security” . Thuis gekomen ben ik meteen gaan lezen en pas opgehouden toen ik het boek uit had.

Het boek “Zen and the Art of Information Security” is geschreven door Ira Winkler. Ira heeft gewerkt bij de Amerikaanse NSA als analist en daardoor bekend met de wereld van geheime inlichtingen diensten. Hij heeft een eigen bedrijf dat gespecialiseerd is op het uitvoeren penetration-tests. Bij zo’n test krijgt hij de opdracht om bij bedrijven belangrijke informatie te ontfrutselen en dus daarmee ook de beveiliging te testen. Door zijn achtergrond en ervaring heeft hij een bijzondere blik of wereld van informatie beveiliging gekregen, die hij ook in zijn boek uitvoerig beschrijft.

De titel suggereert een soort spirituele aanpak van informatie beveiliging, maar wie dat verwacht komt bedrogen uit. Het boek brengt de lezer namelijk met beide voeten weer terug op de grond en zet de lezer aan het denken.

De auteur legt in eenvoudige woorden dat “Security” niets minder betekent dat je risico’s zo goed mogelijk in kaart probeert te brengen deze probeert te optimaliseren i.p.v. minimaliseren. Het verschil tussen optimaliseren en minimaliseren zit in het feit dat je bij minimaliseren te allen tijde het risico zo klein mogelijk probeert te houden, wat tot hoge kosten kan leiden. Optimalisatie van risico’s houdt in dat je accepteert dat een risico bepaalde schade kan veroorzaken, maar dat je deze schade kunt terugbrengen tot een acceptabel niveau met maatregelen die acceptabele kosten hebben.

In het boek wordt veel aandacht besteed aan de psyche van de mens en organisaties, vooral op het gebied van informatiebeveiliging. Zo laat hij zien dat veel mensen niets aan informatiebeveiling (dit woord vervang ik nu door security voor het leesgemak) willen doen, omdat men denkt dat je hiervoor een computer expert moet zijn om een redelijke veiligheid te creëren. Ook denken veel mensen dat ze tegenover kundige tegenstanders staan, waar niets tegen te beginnen is. Dit heeft als gevolg dat men de moeite niet neemt om informatie te beschermen en daardoor slachtoffer worden van veel minder deskundige schurken (zoals script kiddies). Ook wordt er uitvoerig in gegaan op het feit dat beheerders vaak niet voor een consequente beveiliging van systemen en informatie (kunnen) zorgen, voornamelijk door gemakzucht (dan klagen de gebruikers niet meer), onkunde en conflicterende belangen met de business.

Door het gehele boek wordt de analogie gemaakt met het berijden van een auto. Iedereen weet dat je een auto moet onderhouden en je aan de verkeersregels moet houden. Zo zal je van tijd tot tijd moeten tanken, olie en ruitenvloeistof moeten vervangen en regelmatig een bezoek plegen aan de garage voor een onderhoudsbeurt. Als je het namelijk niet doet, dan heeft dat consequenties variërend van een boete tot aan het veroorzaken van een dodelijk ongeval. Dit wordt door iedereen beschouwd als “common sense” en daar hoef je geen auto-expert voor te zijn. Een zekere “common knowledge” zoals het besturen van de auto, de belangrijkste instrumenten en de verkeersregels is wel een vereiste, aangezien je zonder deze “common knowlegde” je ook geen “common sense” kunt gebruiken. De auteur verbaast zich dan ook, waarom mensen wel in staat zijn op een verstandige manier om te kunnen gaan met zoiets complex als een auto, terwijl men dit niet kan in de omgang met computer en informatiebeveiliging (terwijl deze vele malen minder complex zijn).

In het voorbeeld van de auto is er sprake van verantwoordelijk. Mensen voelen zich verantwoordelijk voor hun gedrag in het verkeer en zijn daarvoor ook aansprakelijk. Organisaties die het belang van een betrouwbare informatievoorziening inzien, beschouwen security als een essentieel onderdeel van de bedrijfsvoering (een “must”). Zij hebben net zulke stenge en serieuze regels als de verkeersregels en stellen medewerkers (van schoonmaker tot aan directeur) ook verantwoordelijk voor het opvolgen van deze regels. Het niet opvolgen van deze regels kunnen dan ook grote gevolgen hebben, zoals ontslag. Echter bij veel organisaties wordt security als secundair belang (een “should”) beschouwd. Men zou er eigenlijk meer aan moeten doen, maar er zijn altijd wel excuses te vinden waarom men er toch niet of te weinig aan doet. Er is dan ook geen ondersteuning vanuit de top van de organisatie, waardoor de invoering van maatregelen gemakkelijk gefrustreerd kunnen worden. De auteur maakt wel duidelijk dat niet elk bedrijf moet veranderen in een burcht, maar dat security wel consequent ingevoerd en onderhouden moet worden. Hierbij wordt de analogie gemaakt tussen iemand die elke dag in sportschool aan zijn lichaam werkt en iemand die zo nu en dan, wanneer het uitkomt, naar de sportschool gaat. De frequente bezoeker slaat geen dag over en staat ook geen excuses toe zoals geen zin of tijd. De minder frequente bezoeker verhindert zijn gang naar de sportschool met allerlei smoesjes. Een organisatie waar security als een “should” wordt beschouwd, is er erg frustrerend voor security professionals, aangezien men wel allerlei verantwoordelijkheden heeft maar geen bevoegdheden. De enige manier dat security als een “must” beschouwd gaat worden, is als mensen er aansprakelijk voor worden gesteld. Een duidelijk voorbeeld hier is de Sox regelgeving, waarbij de CEO van een organisatie persoonlijk aansprakelijk wordt gesteld.

Het boek eindigt met een opsomming van de meest belangrijkste lessen, waarmee je 95% van alle security problemen kunt oplossen en voorkomen:
- Neem je verantwoordelijkheid
- Security moet als een “must” worden beschouwd binnen je organisatie
- Zorg ervoor dat je enige kennis heb om je “common sense” te gebruiken. Je hoeft geen expert te zijn, een basiskennis van security is al voldoende
- Onthoud: je beschermt informatie, niet computers!
- Bescherm je computer zoals je je auto onderhoudt

De belangrijkste boodschap die ik heb geleerd van dit boek, is dat security vooral een “state of mind” is. Zonder de juiste instelling (common sense, verantwoordelijkheid, “security a must”, risico’s onderkennen en accepteren), is elke poging tot het verbeteren van de security gedoemd te mislukken.