ICT-Security
Be security aware
Frank Brokken f.b.brokken@rc.rug.nl
Frank Brokken is sinds oktober 2000 werkzaam als security manager bij het RC. Met het instellen van deze functie probeert de RUG het ‘security bewustzijn’ bij de gebruikers van de universitaire ICT-voorzieningen te bevorderen. Met een column in Pictogram houdt Frank ons op de hoogte van de stand van zaken met betrekking tot zijn missie.
De Amerikaanse Forest Service doet er veel aan om de bezoekers van de US National Forests en Wilderness Areas zo goed mogelijk voor te bereiden op wat ze zoal kunnen aantreffen. Een van de manieren waarop dat gebeurt, is door informatiestickers te verspreiden met een aantal kerngedachten van de voorlichting. Zelf heb ik jarenlang in jeeps rondgereden waarop ik een mooie bumpersticker had geplakt met daarop Smokey Bear en de tekst ‘Prevent Forest Fires’. Een andere aardige sticker is de ‘Be Bear Aware’-sticker.
Die beren zijn een probleem. Eigenlijk zijn niet zozeer de beren een probleem, maar de mensen die de beren op hun pad vinden. Door zich niet aan de basale veiligheidsvoorschriften te houden, ontstaan er situaties waarbij beren aan mensen wennen, in auto's inbreken, zich agressief naar mensen toe opstellen, en uiteindelijk door hun door mensen uitgelokte gedrag, dermate gevaarlijk worden dat de Forest Service geen andere mogelijkheid heeft dan de beer af te schieten. Met een klein beetje inzet van de kant van de bezoekers van de prachtige Amerikaanse natuur zou dat niet nodig zijn geweest....
Tegenwoordig is ‘veiligheid’ en ‘beveiliging’ hard op weg om in de top 10 terecht te komen van onderwerpen die in de media worden besproken. En ook het RC draagt een steentje aan de populariteit van het onderwerp bij. Je zou kunnen stellen dat het RC al ‘sinds jaar en dag’ aandacht besteedt aan ICT-security, want ruim een jaar geleden werd ik door het RC aangesteld als ‘security manager’. De missie: coördineer en initieer activiteiten die betrekking hebben op de ICT-beveiliging.
Terugkomend op de ‘Be Bear Aware’-sticker: na een jaar te hebben gevolgd wat er zoal speelt op het gebied van de ICT-beveiliging binnen het RC en de RUG in het algemeen, zouden we ook zelf een vergelijkbare sticker kunnen maken:
BE
SECURITY
AWARE
NEVER Open or Read Unexpected or Unsolicited Email
ALWAYS Use the Latest Software and Apply Security Patches
NEVER Use Passwords that are Simply To Guess
ALWAYS Ensure You Have a Recent and Operational Backup
ALWAYS Limit Services to Those that are Absolutely Required
Dat zou zo gek nog niet zijn: het merendeel van de beveiligingsproblemen die we het afgelopen jaar zijn tegengekomen zouden zijn voorkomen wanneer deze simpele ‘security awareness’-regeltjes waren opgevolgd.
Gelukkig ben ik geen roepende in de woestijn (hoewel, soms ben ik dat wel, maar dat is weer een heel ander verhaal). De beveiliging van ICT-systemen is een dermate uitgebreid en boeiend terrein dat het niet handig of verstandig is om dat gebied in je eentje te ‘bewaken’: bij het RC is inmiddels de Security Kerngroep opgericht, die zich richt op de coördinatie van activiteiten die met ICT-beveiliging te maken hebben. De Security Kerngroep bestaat uit de volgende RC-medewerkers:
Anke Breeuwsma (Netwerkdienst) tel. +31 50 363 3416
Frank B. Brokken (Security Manager, voorzitter) tel. +31 50 363 3688 (+31 50 363 8253)
Hans Gankema (Systeembeheer) tel. +31 50 363 6974
Hans Hess (Lanbeheer) tel. +31 50 363 3395
Koos Rozema (Site Security Contact) tel. +31 50 363 3428
Het bestaan van zo'n Security Kerngroep geeft al aan dat ‘beveiliging’ geen solistische activiteit is: het belangrijkste is wellicht dat ICT-gebruikers zich zelf het belang van een redelijke mate van beveiliging gaan realiseren. Zoals Brenton (1999) al opmerkte in zijn voorwoord:
‘The network is no longer a congenial fraternity of researchers; it contains (...) people from all over the world (...) not all of those people are nice, courteous, and respectful of other's rights and property.’
De Security Kerngroep is bij calamiteiten ook buiten diensttijd bereikbaar via het centrale storingsnummer: +31 50 363 34 35.
Vertrouwelijke e-mail kan PGP-encrypted naar mij als security manager worden gestuurd. Mijn public PGP-key kan via een public key server worden opgevraagd, en heeft als fingerprint 8E36 9FC4 1DAA FCDF 1A0D B19F DAC4 BE50 38C6 6170
Omdat ‘beveiliging’ een sociale activiteit is, richt de Security Kerngroep zich ook (en misschien wel: juist) op de gebruikers van ICT-faciliteiten. Naast deze ‘column’ in Pictogram wordt informatie via webpagina's beschikbaar gesteld (www.rug.nl/rc/organisatie/pictogram/archief, knop ‘RC, informatie en communicatietechnologie’, knop ‘ICT en Security’). Er wordt persoonlijke voorlichting en advies gegeven en in het algemeen wordt geprobeerd om mensen die problemen hebben met de beveiliging van ICT-faciliteiten (waaronder de thuis-pc's) zo goed en uitgebreid mogelijk te adviseren.
De Security Kerngroep is er ook voor de beveiliging van uw ICT-faciliteiten. Laat de beveiliging geen beer op uw pad worden en aarzel niet contact op te nemen wanneer er vragen of opmerkingen zijn ten aanzien van de beveiliging van RUG ICT-faciliteiten.
Links
- De webpagina over ICT-security: http://www.rug.nl/rc/organisatie/pictogram/archief/security/main/index.html
- Meer informatie over vertrouwelijke e-mail verscheen in Pictogram nummer 2 van dit jaar in het artikel ‘Beveiliging van gegevens op internet’ www.rug.nl/rc/organisatie/pictogram/archief/rc/pictogram/2001-02/pki.htm
index Pictogram 6