INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TIJDPERK
-
Upload
jan-guldentops -
Category
Technology
-
view
194 -
download
0
description
Transcript of INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TIJDPERK
INFORUMVEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF
IN HET DIGITALE TIJDPERK
Albertinabibliotheek - 5 juni 2014Jan Guldentops ( [email protected] )BA N.V. ( http://www.ba.be )
Wie ben ik ? Jan Guldentops (°1973)
Dit jaar bouw ik 19 jaar server en netwerk infrastructuren
Oprichter Better Access (°1996) en BA (°2003) Open Source Fundamentalist (na mijn uren) Sterke praktische achtergrond op het vlak van ICT
beveiliging Breng veel tijd in het testlab door
R&D (vooral security) → journalistiek Online te volgen via twitter (JanGuldentops), Linkedin,
Slideshare
2015 ben ik 20 jaar afgestudeerd
● Wereld en vooral mijn vakgebied is in die 2 decenia totaal veranderd...
Wet van Mo(o)re
● “Het aantal transistoren geïntegreerd in een enkele chip verdubbelt zich elke 18 maanden” (1965 Gordon Moore)
● Van toepassing op alles wat ICT aanbelangt...● Performantie verdubbelt, prijs van de vorige
generatie halveert. ● Harddisks● CPU● Connectiviteit
Wet van Mo(o)re - CPU
Google werd pas 3 jaar later opgericht !
Explosie van het internet
● Bv 1994 129 .be, nu 1.466.215 .be
Wat is security ?
Het garanderen van CIA
(+ Accountability, Non-repudiation, Authenticity, Reliability)
Moeilijk evenwicht
● Balans tussen : ● Veiligheid ● Functionaliteit ● Gebruikersgemak
Veel blabla, weinig boemboem
● Als het gaat over (ICT) beveiliging is er vaak een groot verschil tussen de theorie, de praktijk en de marketing / sales.
● Security is vaak passe partout om je een “doosje” te verkopen dat al je problemen oplost. #not
● De lijst met gigantische securityproblemen is enorm en er wordt zeer laks mee omgesprongen
Je digitale veiligheid is belangrijk
● Te belangrijk om het over te laten aan : ● Politici
– Er is een doorgedreven non-beleid op vlan van informatieveiligheid in dit land.
● ICT'ers – Parralel universum – Moeilijkheden om te communiceren
● Dus: zorg dat je zelf controle hebt over dit verhaal !● Iedereen is een doelwit en er valt bij u iets te halen...
Wat is het belangrijkste security product ?
GEZOND VERSTAND !
Common Sense is so rare these days it
should be classified as a Super Power...
Hoe hou ik mijn data confidentieel?
● Classificieer je gegevens ● Niet alle data is even belangrijk ● Als alles geheim is, is niks geheim
● Duidelijk eenvoudig rechten en rollensysteem ● KISS● Geef nooit rechten à la tête du clientèle
Gebruikersauthenticatie
● Traditioneel userid/wachtwoord● MAAR:
– Geen triviale wachtwoorden– Alle 3 maanden veranderen– Gebruik letters, cijfers en tekens liefs > 8 tekens– Gebruik niet voor elke applicatie hetzelfde wachtwoord– Gebruik desnoods een kluisje zoals Keeppass
● Beter is tokens – Eid, onetimetokens, biometrie, etc.– Maar het probleem van complexiteit ( readers, middleware, etc.)
● Zorg voor één user en rechtensysteem voor alle applicaties
Gebruik encrytie
● Om je verbindingen te beveiligen● bv. https● Ook op je intern netwerk
● Om je data in rust te versleutelen ● Zeker als het over hoog-confidentiële data gaat.● Backups
● Ook al je devices best versleutelen● Maar gebruik encryptie ook op een correcte manier.
Andere elementen
● Je hoeft niet alles online te bewaren of op het internet te zetten.
● Gebruik een goeie antivirus● Bugs in software● De menselijke factor :
● social engineering ● amateurisme / domheid
De menselijke factor
Integriteit
● Moeilijk technisch probleem : ● Hoe kan ik aantonen dat een bestand is wat het zou moeten
zijn (was)? – Hashes ( bv md5sum )– Digitaal ondertekenen van bestanden
● Hoe kan ik aantonen dat data in een database nog in zijn originele / correcte toestand is?– Door gebruik te maken van een audittrail
● Hoe kan ik aantonen dat mijn server niet gehackt is ? – Door gebruik te maken van hostbased Intrusion Detection System
Beschikbaarheid
● Belangrijke vraag naar je infrastructuur toe : ● Recovery Time Objective (RTO)
– Bij een zware crash, hoe lang mag de service onbeschikbaar zijn ?
● Recover Point Objective (RPO)– Bij een zware crash, hoeveel data mag ik kwijt zijn ?
● Belangrijke vraag want deze bepaalt wat en hoe je dit gaat opbouwen
● Overbelasting / schaalbaarheid / DoS
Backuppen / archiveren
● Enorme hoeveelheden data ( tientallen TB)● Wordt zeer moeilijk om te backuppen● Concept : warme data / koude data
● Warme data – wijzigt nog ● Koude data – wijzigt (nooit) niet meer
– -> Archiveren
Preservatie
ICT denkt in periodes van 5 jaar, hoe zorg je ervoor dat je na decenia of voor de eeuwigheid je
data kan bewaren ?
Onbetrouwbare digitale opslag
● Data rot ● Onbetrouwbare media
Floppy drive3-5 jaar
Flash media ( USB ) 1-10 jaar
Harddisks 2-8 jaar
CD/DVD/Blueray 2-10 jaar
Zelf-beschreven CD/DVD/Blueray
1-5 jaar
Tape 10-30 jaar
Cirkel van Deming
Plan (1)
● Vat alles samen in een policy● Wat je wil / moet je bereiken o.a.
– Risico analyse– Inventaris – Business Continuity Plan
● Recovery Time Objective ( RTO )● Recovery Point Objective ( RPO)
– Hou ook rekening met de wettelijke vereisten !● Hoe je dit gaat doen en volgens welke procedures
Plan(2)
● Creëer een bewustzijn/kennis dat security belangrijk is bij :● Je directie ● Het personeel, zelfs bij de leerlingen / studenten
● Maak goeie afspraken met iedereen : ● Leveranciers
– Duidelijke leesbare contracten met NDA, SLA, etc.● Bezoekers / personeel
– Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !)●
Plan(3)
● Het is niet de vraag of je een securityprobleem gaat hebben maar wanneer...
● Plan for the worst ● zorg dat je al weet wat je gaat doen als er iets misgaat
● Zorg voor een overleg / communicatiestructuur ● Security comité met overleg op vaste tijdstippen● Hou cijfers, gegevens bij voor latere analyse
DO
● De eigenlijke implementatie van de security-infrastructuur
● Verschillende elementen en componenten ● Zorg altijd voor documentatie en
kennisoverdracht● Geen lockin van een leverancier !
● Outsource de dingen die te complex zijn, insource de rest om het betaalbaar te houden...
Cloud
● Hype du jour ● Technologie die de gebruiker meer controle
geeft. ● Eigen set van problemen :
● Connectiviteit ● Veiligheid van die applicaties ? ● Beschikbaarheid van de applicaties
CHECK (1)
● Controlleer / Audit op vaste tijdstippen je security ● Met een extern consultant● Automatische vulnerability Assessment tools ● Zelf ( gebruik bv Kali Linux )
● Vergeet zeker je wireless niet !● Controlleer je Business Continuity Plan
● Op vaste tijdstippen een volledige test ( restore of failover)● Check ook de logs van je backups
CHECK (2)
● Monitor ● Zorg ervoor dat je een proactief monitoringsysteem hebt met
historische cijfers– Noodzakelijk om je SLA te monitoren en te weten hoe het gaat.
● Hiervoor kan je bij bij BA een gestandardiseerd monitoringsysteem aanschaffen.
● Log alle interventies in een ticketing systeem● Voorzie de nodige procedures om alles op te volgen
ACT
● Los de problemen die je hebt op ● Structureel
– geen brandjes blussen met tijdelijke oplossingen● Change Management
– Doe het gestructureerd – Stuur bij
● Documenteer – Zorg dat je alles documenteert
Thank YouContact us
016/29.80.45
016/29.80.46
www.ba.be / Twitter: batweets
Remy TorenVaartdijk 3/501B-3018 Wijgmaal
Twitter: JanGuldentops
http://be.linkedin.com/in/janguldentops/