Cyber: prio #1 in 2023
Het woord cyber komt van cybernetica, de wetenschap van cybernetische systemen. Afgeleid van het Griekse woord kubernétès, dat stuurman, piloot of roer betekent. Een cybersysteem kan een computernetwerk of menselijk lichaam zijn en gaat over communicatie en hoe informatie in dat systeem circuleert. Hoe groter een systeem, hoe meer interne communicatie en circulatie. Dus hoe lastiger dit systeem of netwerk te begrijpen en te overzien is. En – het belangrijkste – veilig te maken en vooral te houden is. Daarom is decentralisatie, segmenteren en compartimenteren één van de belangrijkste ontwerp-uitgangspunten voor cybersecurity.
Segmenteren is het opdelen van systemen in kleinere eenheden om risico’s te verkleinen. Denk aan branddeuren voor extra brandveiligheid of extra sluizen bij waterwerken. Door te compartimenteren blijven incidenten langer beheersbaar. Een belangrijk principe bij het ontwerpen van preventie binnen architecturen. Dus ook bij informatie-architecturen. De groeiende digitalisering maakt systemen steeds groter en ondoorzichtiger, waardoor het – zeker aantoonbaar – waarborgen van de veiligheid van systemen steeds lastiger wordt.
Risico’s onverzekerbaar
Security en privacy zijn redenen de grootte van systemen te begrenzen. Enerzijds om volledige ‘dijkdoorbraken’ te voorkomen maar ook om de onweerlegbaarheid van transacties te borgen. De waarborg dat ontvangst en/of verzending van een contract of bericht door beide betrokken partijen niet kan worden ontkend. De authenticiteit kunnen bewijzen dat zowel bron als data zelf, integer zijn en beiden een ‘onvergetelijke’ relatie hebben die te allen tijde door een derde partij kan worden geverifieerd. Onweerlegbaarheid wordt tegenwoordig veelal gerealiseerd met asymmetrische cryptografie, het principe van een privé en een publieke sleutel.
Door logisch te compartimenteren, blijft de complexiteit van een systeem overzichtelijk en beheersbaar. Vele security-hacks gebeuren omdat systeemgrenzen in elkaar overlopen en het logischerwijs – en zeker ook menselijkerwijs – niet meer mogelijk is de kwetsbaarheid van een systeem te overzien. In een artikel van Computable afgelopen week melden verzekeraars al dat zowel het aantal als de impact van cyberaanvallen zo groot wordt, dat cybersecurity eigenlijk niet meer verzekerbaar is. Cybersecurity zal in 2023 dan ook hoog op elke bestuursagenda staan. De risico’s kunnen bijna niet meer verzekerd worden en dus (!) moet de oplossing in (het herontwerp van) de systemen zelf worden gezocht.
Tornado’s blazen elk kaartenhuis om
De afgelopen decennia konden we door digitalisering en internet steeds makkelijker systemen met elkaar koppelen en data beter delen. Dit leidde eerder al tot enorme hacks, zoals ik die ooit binnen EMC heb mogen meemaken toen in 2011 Chinese hackers bij RSA binnen wisten te dringen in het ‘seedwarehouse’ om de kroonjuwelen van RSA’s SecureID te kunnen stelen. Doel was uiteindelijk om hiermee bij een bijzondere gebruiker van de SecureID token te kunnen inbreken: Lockheed Martin. Het hele verhaal leest als een jongensboek en is uiteindelijk pas in 2021 volledig gepubliceerd ter lering voor de hele security gemeenschap.
De grootste angst nadat de inbraak was ontdekt en de schade was hersteld, was dat de inbrekers ‘onbekende’ achterdeurtjes hadden kunnen plaatsen. Dat leidde tot de conclusie dat systemen altijd gesegmenteerd moeten zijn. Hun meest gevoelige data zó moeten afschermen, dat het zelfs voor een tegenstander die al binnen de firewall is, onmogelijk is toegang tot die data te krijgen en die data naar buiten te brengen. Als een tornado je systeem binnendringt, moet je vanuit het ontwerp zorgen dat het niet als een kaartenhuis kan omvallen. Als één of meer kaarten worden weggetrokken, moet het huis toch overeind blijven.
Systeemgrenzen en datadiodes
Nu steeds meer cyberaanvallen zich ontpoppen als onverzekerbare tornado’s, moeten we principieel betere, stormvaste en fail-safe informatiesystemen ontwerpen en bouwen. De cyberwereld is zo groot en sterk geworden, dat hun brute geweld alleen wordt weerstaan als systemen kleiner, gesegmenteerder en ook van binnenuit veilig worden gemaakt. Daarbij moet de onweerlegbaarheid van transacties in het systeem altijd zijn geborgd, opdat de authenticiteit van elke dataset en -bron altijd kan worden geverifieerd. Om dit per systeem te kunnen doen, moet het systeem harde begrenzingen hebben en dus (!) niet te groot zijn of – net zo belangrijk – ongemerkt te groot kunnen worden. Kleiner is fijner in dat kader. Decentralisatie is hierbij een belangrijk ontwerp-principe.
Het begrip ‘firewall’ komt van de fysieke barrière die in gebouwen is geïnstalleerd om verspreiding van vuur van de ene naar de andere sectie te voorkomen en/of te vertragen. Noch fysieke noch softwarematige firewalls zijn ontworpen om eeuwig stand te houden. Ze moeten een dreiging vertragen om tijd te hebben deze dreiging te elimineren. Om werkelijk ongeoorloofde datatoegang te voorkomen, zijn datadioden ontworpen als compromisloze techniek. Het begrip komt uit de beveiliging van kernwapen-systemen en creëert een fysieke scheiding of ‘luchtspleet’ tussen systeem- of netwerksegmenten. Hier wordt gebruikt gemaakt van de harde wetten van de fysica die onveranderlijk en absoluut zijn, waardoor gegevens in een systeem nooit in een tegengestelde richting kunnen stromen.
Datacenters als moderne kastelen
De datadiode laat zich vergelijken met een historisch kasteel, een ruime slotgracht eromheen en bij de enige ingang een klein eiland in die slotgracht. Met twee bruggen is dat eiland enerzijds met de omgeving en anderzijds met de hoofdingang verbonden. Het principe is dat beide bruggen nooit tegelijkertijd omlaag mogen staan. Elk vervoer moet stoppen op het eiland. Hierbij gaan beide bruggen open en hebben bewakers alle tijd de inhoud van de last die vervoerd wordt, te inspecteren. En bij ontdekte dreiging deze te vernietigen of isoleren voordat deze de hoofdpoort kan passeren. Deze dubbele aircap-techniek wordt op veel plaatsen al gebruikt. In dit leerzame document zijn de principes illustratief uitgelegd.
Aircap-technologie werd al in een artikel in 2001 beschreven: een proef van VMware en NSA om een ‘nearly crack-proof’ computer met virtuele datavault voor gevoelige data te bouwen. De Stuxnet-aanval op de Iraanse nucleaire fabriek in 2012 zorgde voor een opleving van de belangstelling voor aircap-oplossingen voor zeer gevoelige data-opslag. De afgelopen jaren is op vele creatieve manieren gepoogd om via andere transmissiemogelijkheden zoals geluid, licht, trillingen, magnetisme, thermiek en radiofrequenties toch bij de aircap beveiligde data te komen. Kooien van Faraday, betonnen kelders en fysieke, militair gelijkwaardige bescherming zijn uiteindelijk vaak het antwoord op deze constante dreiging van buitenaf.
Segmentatie is decentralisatie
Segmenteren is decentraliseren. Denken in netwerken met zelfstandige nodes die zichzelf kunnen beschermen. Zelfs als ze van binnenuit worden aangevallen. Hierbij is virtualisatie een belangrijk hulpmiddel. Immers als in een virtuele node ‘vreemd’ gedrag wordt ontdekt, kan deze virtuele node zichzelf vernietigen (of in quarantaine gaan) en zichzelf weer maagdelijk opbouwen uit de oorspronkelijke bron of ‘seedwarehouse’. Vergelijkbaar met de seed-phrase in wallets en cryptografie waarmee je elke keer weer uit je digitale DNA een nieuwe virtuele identiteit kunt opbouwen. Fysiek en virtueel segmenteren is extra veiligheid in het kwadraat.
De nieuwe Web3 wereld wordt gedreven vanuit de cryptografie, het heet niet voor niets de crypto-wereld. De technieken uit die wereld leveren vanuit het ontwerp al grote weerstand en weerbaarheid tegen aanvallen. Ook blockchain als decentrale en onwisbare database heeft veel belangstelling als het gaat om de onweerlegbaarheid van transacties te borgen. Daarnaast worden met smart contracts onveranderlijke procedures ingebakken in netwerk en proces om security-procedures onmuteerbaar te maken. Kortom, de onverzekerbaarheid van de huidige in kracht toenemende crypto-aanvallen, zijn de onverwachte drijver voor nieuwe web3 technologie, die ‘toevallig’ juist vanuit die cryptografische veiligheid is ontwikkeld.
Door: Hans Timmerman (foto)
