De menselijke factor is de zwakste schakel in het beveiligingsbeleid. De handel in tokens, die moeten beschermen tegen aanvallen vanaf de desktop, is momenteel een groeimarkt. Het brede aanbod van codecalculators, smartcards en USB-stekkers bemoeilijkt echter de keuze van het juiste systeem.
Tokens zijn in diverse vormen en functies verkrijgbaar en er is een groot aantal aanbieders. Er zijn ‘calculators’ die codes genereren waarmee een gebruiker geïdentificeerd wordt en toegang krijgt tot een netwerk of afgesloten delen van een website. Daarnaast zijn er smartcards en USB-stekkers, die dezelfde functie vervullen, maar de identiteitsgegevens van de gebruiker in zich opgeslagen hebben.
Niet perfect
In welke vorm van beveiliging moet een bedrijf investeren? ‘Dat hangt van het bedrijf af,’ zegt Mario de Boer, medeoprichter en directeur van beveiligingsspecialist Njama. ‘Een bedrijf dat sterk security-gericht is, weet dat een wachtwoord niet voldoende is om het netwerk tegen aanvallen vanaf de desktop of notebook te beschermen. We moeten er echter voor waken dat gebruikers niet zes tokens bij zich hebben in plaats van zes wachtwoorden.’
Voorwaarde voor een succesvolle implementatie van tokens is de manier waarop deze ‘sleutels’ worden opgeslagen en gedistribueerd. ‘Hiervoor moet een bedrijf een public key infrastructure (PKI) inrichten,’ aldus De Boer. Een PKI legt het fundament voor een infrastructuur waarmee beveiligde, elektronische communicatie en transacties kunnen worden gerealiseerd. Dit omvat de communicatie tussen mens en machine. ‘Bovendien moet de software met de tokens om kunnen gaan. Steeds meer leveranciers maken applicaties die authenticatie en data-encryptie door een PKI kunnen laten afhandelen. Voorbeelden hiervan zijn SAP en Microsoft Office XP.’
De PKI hoeft volgens De Boer niet perfect te zijn. ‘Dat hangt af van de grootte van het bedrijf. Het systeem moet echter wel voorbereid zijn op toekomstige wensen, zodat het bij veranderingen niet helemaal omgegooid hoeft te worden.’
De smartcard en de USB-stekker zijn in wezen hetzelfde, zegt De Boer. ‘Het voordeel is dat je er gegevens in op kunt slaan. Hierdoor is toegang tot netwerken en websites, maar ook gebouwen en automaten mogelijk. De tokens zijn geïntegreerd in het netwerk zodat de gegevens op de desktop of notebook ook gecodeerd worden en veilig verstuurd kunnen worden.’
Menselijke factor
Om de menselijke factor zoveel mogelijk ‘dicht te timmeren’ moet er in het beveiligingsbeleid rekening mee gehouden worden. ‘Alleen systemen implementeren en hopen dat iedereen het gebruikt werkt niet,’ zegt De Boer. De directeur vreest niet dat het opleggen van het gebruik van tokens gezien zal worden als wantrouwen, maar erkent dat het zoeken naar een balans niet eenvoudig is. ‘Té restrictief zijn in de procedures is ook niet goed. De uitdaging is om voldoende draagvlak te vinden bij de gebruikers.’ Een argument dat gebruikers aanspreekt, is de veelzijdigheid van de smartcard. ‘Er kan meer met de smartcard, hij kan bijvoorbeeld ook als kantinekaart gebruikt worden. Dat wordt als positief ervaren door gebruikers.’ Bovendien voorkomt dit dat gebruikers de kaart in een reader laten zitten wanneer zij de desktop verlaten. ‘Zeker als ze er eigen geld op hebben staan,’ besluit De Boer.
Ook het gedrag van de beleidsuitvoerders moet echter goed bekeken worden. ‘We moeten bedrijven wijzen op de risico’s zonder mensen bang te maken,’ zegt De Boer. ‘De aandacht voor security ligt vaak verkeerd. Men maakt zich druk om wireless-LAN, omdat dit momenteel een veelbesproken product is, maar de back-up tapes gaan in een plastic zak mee naar huis. Wie echt kwaad wil, doet dit niet vanaf zijn eigen pc, maar probeert in de serverruimte te komen. Een concurrent die gegevens wil stelen zal niet door een firewall heenkomen, maar kan wel de back-up tapes uit iemands handen grissen.’
Lees verder in CRN nr. 06