Medewerkers met speciale rechten oorzaak van zo’n $350 miljard schade - Noodzaak tot controle onvermijdelijk

Het bedrijfsleven heeft een sterk groeiende behoefte aan oplossingen die een duidelijk beeld geven van het interne computergebruik. Ondanks het feit dat we onze IT-infrastructuur steeds beter kunnen afschermen tegen externe bedreigingen neemt het gevaar van oneigenlijk gebruik binnen de eigen organisatie steeds verder toe. Ongeautoriseerde werkzaamheden, diefstal van gegevens, zelfs sabotage zijn aan de orde van de dag. In goed beveiligde IT-omgevingen komt ruim 80% van de systeemstoringen, systeemfouten en het onbedoeld verdwijnen van gegevens voort uit bewuste handelingen van de computergebruikers met een bijzondere status (Privileged Users = Administrators, Power Users, Beheerders), ook al worden die opzetjes gepresenteerd als fouten. (Bron: USSS/CERT Insider Threat Survey 2005). Alle reden dus om hoge prioriteit toe te kennen aan de bescherming van de eigen organisatie. Veiligheid en zekerheid zijn daarbij de sleutelbegrippen. Amerikaans onderzoek toont aan dat door deze kleine groep van specialisten zo’n $350 miljard of ruim 85% van de totale security incidenten wordt veroorzaakt. (National Fraud Survey, USA).

Firewalls, inlogprocedures. Langzaam maar zeker wordt onze IT-omgeving onneembaar terrein voor hackers en andere criminelen die om welke reden dan ook de baas willen spelen over onze computer. Troyans worden buiten gehouden, maar geldt dat ook voor de gevaren die van binnenuit de IT-organisatie bedreigen?

Consul risk management wijdde eind maart een rondetafel aan dit fenomeen. Niet toevallig; het bedrijf presenteerde haar nieuwe softwarepakket: InSight™ Privileged User Monitoring and Auditing solutions (PUMA). PUMA richt zich op het computergebruik van het eigen personeel en meer in het bijzonder van de ‘Privileged Users’.
PUMA is een gereedschap om handel en wandel van de medeweker te monitoren, onderzoeken en rapporteren. Dankzij PUMA kunnen bedrijven en instellingen toezichthouders en auditors laten zien dat de juiste middelen aan boord zijn om het toezicht op deze groep bijzondere medewerkers goed te managen. Het systeem geeft ook een beeld van de beveiligingsrisico’s die daarvan een onderdeel uitmaken.

In dit artikel informeren we U over hoe experts tegen dit onderwerp aankijken en de Consul visie. Essentieel voor het goed functioneren van elk Audit programma is splitsing van functies en het implementatieproces. Kern daarvan is de noodzakelijke auditrapportage die verzekert dat aan de eisen voor het monitoren van ‘Privileged Users’ wordt voldaan. Deze borging, aanpassingen van de auditinstellingen die daarvan het gevolg zullen zijn en het bepalen van de beleidsdefinities dienen vooraf duidelijk vastgelegd te worden.

Zero-tolerance
Marco Geerinck, vice president Sales EMEA van Consul geeft aan dat Consul alles in het werk stelt om een globale IT-beveiligingsspeler van formaat te worden. Juist vandaag was op het nieuws te horen dat bij de Nederlandse Belastingdienst tienduizenden belastingaangiften verloren zijn door toedoen van de zg. Privilied User. Geerinck: “Activiteiten van Privileged Users kunnen leiden tot overtreding van de scheiding van taken, met alle ernstige gevolgen van dien. In Nederland is nog maar weinig onderzoek op dit terrein gedaan. Mogelijk dat we ons nog veel te weinig bewust zijn van deze gevaren. In de Verenigde Staten is de situatie heel anders: Daar geldt overtreding van de scheiding van taken als ‘identiteitsdiefstal’. Toezichthouders en auditors, denk aan accountantskantoren en gecertificeerde kwaliteitsbewakers, hanteren op dit punt een zero-tolerance beleid. ENRON en 9/11 maken duidelijk hoe belangrijk die controle is en echt niet alleen in de USA. AEGON is een aansprekende gebruiker. In Canada koos deze verzekeraar en belegger voor Consul en niet zonder uitvoerige afweging. AEGON kan nu snel en eenvoudig vaststellen of gebruikersactiviteiten in overeenstemming zijn met het geaccepteerde beleid terzake het gebruik van informatie.”

Big Brother noodzakelijk kwaad?
Kristin Gallina Lovejoy, Consul’s Amerikaanse Chief Technology Officer, is wereldwijd verantwoordelijk voor productontwikkeling, klantenondersteuning en advies, product marketing. Kristin is zogezegd de moeder van Consul InSight PUMA. Zij legt uit waarom Amerika zo hard werkt aan de beveiliging van bedrijfsgegevens tegen eigen medewerkers: “Informatie voedt de economie, het is dus van levensbelang. Het borgen van de veiligheid van die gegevens is dus eveneens een strategisch vraagstuk. Het valt mij op dat als ontwikkelingen als deze zich het eerst in Europa voordoen, zij daar als eerste worden onderkend. We kunnen de VS wel nageven dat zij als eerste voor wetgeving zorgen. Zo ook hier. Europese en, gelet op dit gezelschap, Nederlandse, bedrijven moeten er terdege rekening mee houden, dat zij zich in de VS hebben te gedragen en te organiseren volgens Amerikaanse wet- en regelgeving. Doe je dat niet, dan kun je zaken doen met de VS beter vergeten. De richtlijnen van de regering Bush zijn zeer rigide als het om Security gaat. De bovengenoemde onderzoeksgegevens tonen verder de noodzaak aan om met name de kerndoelgroep van extra bevoorrechte gebruikers volledig te monitoren. Ter bescherming van de organisatie en van henzelf. Maar ook de strikte auditing regels voortvloeiend uit stakeholder bescherming en regelgeving,” stelt zij.
“Borging van informatie, daar gaat het om. Daarvan is sprake zodra we de vertrouwelijkheid van die informatie, de juistheid en de tijdige beschikbaarheid van die informatie hebben vastgelegd en dat ook consistent en consequent controleren. Uiteraard is er ook wel animositeit tegenover InSight PUMA, noem dit het Big Brother effect. Leuk of niet, je ontkomt er niet aan. En weten dat iets goed geregeld wordt, pleit je ook vrij van verdachtmakingen. Bedenk overigens, dat het niet alleen gaat om de eigen geautoriseerde medewerkers, maar ook om klanten, partners en uitbesteders. Met name de laatste categorie met tijdelijke priviliges is een groep die nogal eens over het hoofd wordt gezien.” Onderzoek toont aan dat nog geen 5% van de medewerkers van de uitgebreide privileges is voorzien om systeemonderhoud, ontwikkeling, applicatiebeheer etc. uit te voeren. Het profiel van de ‘overtreders’ is een blauwdruk van de doorsnee medewerker.

Ongewenste veranderingen traceren
Peter Kornelisse, hoofd van een vijfentwintigkoppige afdeling IT- en organisatieconsultants van KPMG vatte een ander probleem in enkele zinnen samen: “Accountants, auditors, controleurs baseren hun werk op vier pijlers: vertrouwen, informeren, rapporteren en aantonen. Deze zaken kosten veel tijd en heel veel geld. Je wilt een managementsysteem dat juist op die punten veel inefficiëntie kan voorkomen. Als accountant gaat het er ons om dat we de aandeelhouder kunnen informeren over mogelijke zwakheden in de structuur van de organisatie die een kernactiviteit van die organisatie voor langere tijd kan beïnvloeden zonder dat dit wordt gecompenseerd. Je wilt ongewenste veranderingen monitoren. Dat is de essentie van risk management. Wij doen dat in het perspectief van criteria als COBIT, ITIL en ISO 17799. Die normen liggen vast, zijn bekend en geven de aandeelhouder een betrouwbaar, maar ook een herkenbaar beeld. Hoofdzaak is dat je weet en vastlegt wat er in je organisatie, dus ook op IT-gebied gebeurt.”

2,5 miljoen events per dag!
Mn Services is een Nederlandse gebruiker van Consul. Zij zijn een onafhankelijke pensioenuitvoerder van onder meer de metaalbedrijven in Nederland. Mn Services is goed voor 450 duizend actieve deelnemers, en 2,5 miljoen events (computerhandelingen) per dag en dat op uiteenlopende platforms waaronder Microsoft, AIX en AS400. Daarop draaien meer dan 50 verschillende applicaties en etail toepassingen. Met 650 medewerkers verzorg Mn Services de pensioenadministratie van ruim een miljoen Nederlanders en beheert een vermogen van 32 miljard euro voor een groeiend aantal opdrachtgevers. Leon Verschoor, inkoop ICT van Mn Service: “De introductie van InSight™ PUMA viel bij ons samen met de invoering van SAS 70, een kwaliteit certificeringsysteem voor auditing. Voor ons is Consul PUMA een onderdeel van de kwaliteitsdrive. We hebben het aantal FTE’s op dit punt aanzienlijk kunnen reduceren door een sterk verbeterde en geïntegreerde aanpak.” “Implementatie kostte ons niet meer dan zo’n drie maanden, mede dankzij een goede voorbereiding samen met onze consultant en hulp van Consul,” licht Piet Osefius, ICT manager van Mn Services toe. “Het dashboardscherm van PUMA geeft op een voortreffelijk transparante wijzen de voortgang van alle activiteiten op onze netwerken, servers en applicaties weer. De actiebollen op het scherm veranderen van kleur naarmate het proces succesvoller verstrijkt. Bij ons verschoot het programma zo gezegd heel snel van kleur.”

Nederland voorop in IT-beveiliging?
Gevraagd naar de USP van Consul’s nieuwe succes zei medeoprichter en IT security leader Rob van Hoboken er het volgende over: “De markt is eindelijk bewuster geworden van de interne bedreigingen. Sinds onze oprichting, in 1986, staan beveiliging en zekerheid in de key assets van onze organisatie. Niet voor niets noemen we in onze visie kernwaarden als transparantie, openheid het voorkomen van zorg om netwerkcriminaliteit of misbruik van persoonlijke gegevens. De financiële markt is traditioneel uitstekend beveiligd. Dat heeft natuurlijk alles te maken met de strikte wetgeving maar ook het omgaan met koersgevoelige informatie en vooral het naar buiten brengen daarvan. Consul denkt dat je privacy nauwelijks meer als een recht kunt zien zonder dat daar ook bepaalde verplichtingen tegenover staan. Informatie is immers gemeengoed geworden en razendsnel in volle omvang verkrijgbaar. De beveiliging van die gegevens, een basis van privacy, is gebaseerd op wet- en regelgeving die eigenlijk niet meer van deze tijd is, een lappendeken. Er ontstaat verwarring en een manco aan eenduidigheid. Of ik één USP van InSight™ PUMA kan noemen, dat is moeilijk. Het totaal draagt bij aan veiligheid, zekerheid en continuïteit. En daar wacht niet alleen de accountant op, maar ook steeds meer overheden.“

---

Over Consul InSight™ PUMA
Ongeautoriseerde activiteiten van ‘Privileged Users’ zoals beheerders, super users, supervisors en administratief personeel zijn de belangrijkste oorzaak van interne beveiligingsovertredingen. Het gevolg kan zijn dat overheidsregulering geweld wordt aangedaan. Als de activiteiten van ‘Privileged Users’ niet worden gecontroleerd, kunnen die activiteiten leiden tot een overtreding van de scheiding van taken wat ‘identiteitsdiefstal’ tot gevolg kan hebben. Toezichthouders en auditors zoals de accountantskantoren hanteren bij dit risico een zero-tolerantie beleid.
De basis van InSight PUMA is InSight Suite 6.0, dat nog pas in november 2005 is geïntroduceerd. Met dit programma kunnen bedrijven aanzienlijk eenvoudiger auditen, rapporteren en gebruik van het netwerk onderzoeken. Al doende kan de naleving van bedrijfsbeleid, industrievoorschriften en nationale en internationale wet- en regelgeving worden aangetoond. Auditors weten dat met dit programma de beleidsverantwoordelijken in de organisatie op de hoogte zijn zodra een medewerker al dan niet per ongeluk de regels schendt. Brian McPhedran, assistant vice-president IT Risk management van AEGON in Canada, zegt het even simpel als doeltreffend: “Trust but check is the motto”.

InSight PUMA biedt meer. We noemen 10 sleutelelementen in het softwareprogramma:

1. Het Enterprise Dashboard met ‘wie doet wat?’ worden alle activiteiten in de computeromgeving getoond, wie wat doet met betrekking tot welk taakgebied. Afwijkingen op het te verwachten patroon worden geregistreerd. Dat kunnen fouten zijn, maar ook overtredingen en manco’s in de omgeving zelf.
2. Gebruiker per gebeurtenis (‘event’), wie initieert de administratieve activiteiten in de computeromgeving? Elk event kan tot op detailniveau worden bekeken.
3. Overzicht van de gebruikers en hun activiteiten, een sterk instrument om nog beter de activiteiten van een Privileged User te bekijken.
4. Event naar soort; hier wordt in beeld gebracht hoe vaak events zich voordeden, hoe deze events de security policy verstoorden, het aantal waarschuwingen en hoeveel acties faalden.
5. Details per gebeurtenis geven onder meer de tijd en de oorsprong van een gebeurtenis aan.
6. User Summary brengt alle acties van een gebruiker in beeld.
7. Events per Rule maakt een snelle naslag mogelijk.
8. Search Filter segmenteert de events naar soort.
9. Suspects by Object Group controleert de data (objects) en brengt het in relatie met de acties van Privileged Users.
10. Operations Change Control monitort administratieve veranderingen op basis van best practice conform de richtlijn ISO 17799.

Achtergrond Consul risk management
Consul Risk Management, opgericht in 1986, is een autoriteit in audit en compliance. De software van Consul monitort en audit alle relevante IT security events van de gehele IT omgeving van bedrijven, zoals afwijkend of onrechtmatig gedrag van administrators en van geautoriseerde medewerkers. Consul helpt bij het versnellen van audit- en compliance processen, bij de naleving van strikte beveiligingsregelgeving. Consul zorgt bovendien voor lagere beheerskosten van IT-beveiliging.

Consul heeft zowel een hoofdkantoor in Nederland als in de Verenigde Staten. Internationaal vertrouwen meer dan 350 klanten op Consul. Op de internationale short list zien we namen als AEGON Canada, Blue Cross/Blue Shield, Fidelity Information Services, Ford, Kroger, The New York Times, Office Depot, Philadelphia Stock Exchange, Wachovia, Deutsche Bundesbank, Deutsche Börse, AMB Generali Group, Rheinland Versicherung en Aiport Münster/Osnabrück. Op de Nederlandse klantenlijst komen we tegen: Nederlandse Waterschapsbank, Kasbank, Nachenius Tjeenk & Coen en een groot aantal overheidsinstellingen. Wereldwijd wordt Consul vertegenwoordigd door 25 partners, waaronder BMC Software.

Het Forrester Research Wave Report noemt Consul leidend in haar markt. Het rapport benadrukt dat Consul haar traditionele basis in de markt voor nalevingmanagement heeft verstevigd en uitgebreid door toevoeging van een solide oplossing voor beveiligingsinformatie management: de InSight Security Event Module.

###

Neem voor meer informatie contact op met Consul: +31 (0)15 - 2513333 of bekijk de website: www.consul.com