INFORUMVEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF

IN HET DIGITALE TIJDPERK

Albertinabibliotheek - 5 juni 2014Jan Guldentops ( j@ba.be )BA N.V. ( http://www.ba.be )

Wie ben ik ? Jan Guldentops (°1973)

Dit jaar bouw ik 19 jaar server en netwerk infrastructuren

Oprichter Better Access (°1996) en BA (°2003) Open Source Fundamentalist (na mijn uren) Sterke praktische achtergrond op het vlak van ICT

beveiliging Breng veel tijd in het testlab door

R&D (vooral security) → journalistiek Online te volgen via twitter (JanGuldentops), Linkedin,

Slideshare

2015 ben ik 20 jaar afgestudeerd

● Wereld en vooral mijn vakgebied is in die 2 decenia totaal veranderd...

Wet van Mo(o)re

● “Het aantal transistoren geïntegreerd in een enkele chip verdubbelt zich elke 18 maanden” (1965 Gordon Moore)

● Van toepassing op alles wat ICT aanbelangt...● Performantie verdubbelt, prijs van de vorige

generatie halveert. ● Harddisks● CPU● Connectiviteit

Wet van Mo(o)re - CPU

Google werd pas 3 jaar later opgericht !

Explosie van het internet

● Bv 1994 129 .be, nu 1.466.215 .be

Wat is security ?

Het garanderen van CIA

(+ Accountability, Non-repudiation, Authenticity, Reliability)

Moeilijk evenwicht

● Balans tussen : ● Veiligheid ● Functionaliteit ● Gebruikersgemak

Veel blabla, weinig boemboem

● Als het gaat over (ICT) beveiliging is er vaak een groot verschil tussen de theorie, de praktijk en de marketing / sales.

● Security is vaak passe partout om je een “doosje” te verkopen dat al je problemen oplost. #not

● De lijst met gigantische securityproblemen is enorm en er wordt zeer laks mee omgesprongen

Je digitale veiligheid is belangrijk

● Te belangrijk om het over te laten aan : ● Politici

– Er is een doorgedreven non-beleid op vlan van informatieveiligheid in dit land.

● ICT'ers – Parralel universum – Moeilijkheden om te communiceren

● Dus: zorg dat je zelf controle hebt over dit verhaal !● Iedereen is een doelwit en er valt bij u iets te halen...

Wat is het belangrijkste security product ?

GEZOND VERSTAND !

Common Sense is so rare these days it

should be classified as a Super Power...

Hoe hou ik mijn data confidentieel?

● Classificieer je gegevens ● Niet alle data is even belangrijk ● Als alles geheim is, is niks geheim

● Duidelijk eenvoudig rechten en rollensysteem ● KISS● Geef nooit rechten à la tête du clientèle

Gebruikersauthenticatie

● Traditioneel userid/wachtwoord● MAAR:

– Geen triviale wachtwoorden– Alle 3 maanden veranderen– Gebruik letters, cijfers en tekens liefs > 8 tekens– Gebruik niet voor elke applicatie hetzelfde wachtwoord– Gebruik desnoods een kluisje zoals Keeppass

● Beter is tokens – Eid, onetimetokens, biometrie, etc.– Maar het probleem van complexiteit ( readers, middleware, etc.)

● Zorg voor één user en rechtensysteem voor alle applicaties

Gebruik encrytie

● Om je verbindingen te beveiligen● bv. https● Ook op je intern netwerk

● Om je data in rust te versleutelen ● Zeker als het over hoog-confidentiële data gaat.● Backups

● Ook al je devices best versleutelen● Maar gebruik encryptie ook op een correcte manier.

Andere elementen

● Je hoeft niet alles online te bewaren of op het internet te zetten.

● Gebruik een goeie antivirus● Bugs in software● De menselijke factor :

● social engineering ● amateurisme / domheid

De menselijke factor

Integriteit

● Moeilijk technisch probleem : ● Hoe kan ik aantonen dat een bestand is wat het zou moeten

zijn (was)? – Hashes ( bv md5sum )– Digitaal ondertekenen van bestanden

● Hoe kan ik aantonen dat data in een database nog in zijn originele / correcte toestand is?– Door gebruik te maken van een audittrail

● Hoe kan ik aantonen dat mijn server niet gehackt is ? – Door gebruik te maken van hostbased Intrusion Detection System

Beschikbaarheid

● Belangrijke vraag naar je infrastructuur toe : ● Recovery Time Objective (RTO)

– Bij een zware crash, hoe lang mag de service onbeschikbaar zijn ?

● Recover Point Objective (RPO)– Bij een zware crash, hoeveel data mag ik kwijt zijn ?

● Belangrijke vraag want deze bepaalt wat en hoe je dit gaat opbouwen

● Overbelasting / schaalbaarheid / DoS

Backuppen / archiveren

● Enorme hoeveelheden data ( tientallen TB)● Wordt zeer moeilijk om te backuppen● Concept : warme data / koude data

● Warme data – wijzigt nog ● Koude data – wijzigt (nooit) niet meer

– -> Archiveren

Preservatie

ICT denkt in periodes van 5 jaar, hoe zorg je ervoor dat je na decenia of voor de eeuwigheid je

data kan bewaren ?

Onbetrouwbare digitale opslag

● Data rot ● Onbetrouwbare media

Floppy drive3-5 jaar

Flash media ( USB ) 1-10 jaar

Harddisks 2-8 jaar

CD/DVD/Blueray 2-10 jaar

Zelf-beschreven CD/DVD/Blueray

1-5 jaar

Tape 10-30 jaar

Cirkel van Deming

Plan (1)

● Vat alles samen in een policy● Wat je wil / moet je bereiken o.a.

– Risico analyse– Inventaris – Business Continuity Plan

● Recovery Time Objective ( RTO )● Recovery Point Objective ( RPO)

– Hou ook rekening met de wettelijke vereisten !● Hoe je dit gaat doen en volgens welke procedures

Plan(2)

● Creëer een bewustzijn/kennis dat security belangrijk is bij :● Je directie ● Het personeel, zelfs bij de leerlingen / studenten

● Maak goeie afspraken met iedereen : ● Leveranciers

– Duidelijke leesbare contracten met NDA, SLA, etc.● Bezoekers / personeel

– Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !)●

Plan(3)

● Het is niet de vraag of je een securityprobleem gaat hebben maar wanneer...

● Plan for the worst ● zorg dat je al weet wat je gaat doen als er iets misgaat

● Zorg voor een overleg / communicatiestructuur ● Security comité met overleg op vaste tijdstippen● Hou cijfers, gegevens bij voor latere analyse

DO

● De eigenlijke implementatie van de security-infrastructuur

● Verschillende elementen en componenten ● Zorg altijd voor documentatie en

kennisoverdracht● Geen lockin van een leverancier !

● Outsource de dingen die te complex zijn, insource de rest om het betaalbaar te houden...

Cloud

● Hype du jour ● Technologie die de gebruiker meer controle

geeft. ● Eigen set van problemen :

● Connectiviteit ● Veiligheid van die applicaties ? ● Beschikbaarheid van de applicaties

CHECK (1)

● Controlleer / Audit op vaste tijdstippen je security ● Met een extern consultant● Automatische vulnerability Assessment tools ● Zelf ( gebruik bv Kali Linux )

● Vergeet zeker je wireless niet !● Controlleer je Business Continuity Plan

● Op vaste tijdstippen een volledige test ( restore of failover)● Check ook de logs van je backups

CHECK (2)

● Monitor ● Zorg ervoor dat je een proactief monitoringsysteem hebt met

historische cijfers– Noodzakelijk om je SLA te monitoren en te weten hoe het gaat.

● Hiervoor kan je bij bij BA een gestandardiseerd monitoringsysteem aanschaffen.

● Log alle interventies in een ticketing systeem● Voorzie de nodige procedures om alles op te volgen

ACT

● Los de problemen die je hebt op ● Structureel

– geen brandjes blussen met tijdelijke oplossingen● Change Management

– Doe het gestructureerd – Stuur bij

● Documenteer – Zorg dat je alles documenteert

Thank YouContact us

016/29.80.45

016/29.80.46

www.ba.be / Twitter: batweets

Remy TorenVaartdijk 3/501B-3018 Wijgmaal

info@ba.be

Twitter: JanGuldentops

http://be.linkedin.com/in/janguldentops/