Bijzondere rechten en plichten

Functiescheiding en scheiding in systemen, medewerkers op verschillende posities in de organisatie en allemaal hebben ze hun eigen rechten op de systemen. Het wordt al snel een hele brei aan rechten. Maar bij die rechten horen nu eenmaal ook plichten en het is goed om de medewerkers daar ook op te wijzen.

De vraag:
Worden medewerkers met bijzondere rechten binnen de informatiesystemen opgeleid in de omgang met deze rechten/plichten?

De ene medewerker heeft nu eenmaal meer rechten nodig op de systemen dan de ander. Een “gewone” gebruiker moet een aantal applicaties kunnen gebruiken en moet bij beperkte informatie op de server kunnen. Maar er zijn ook medewerkers die die applicaties en servers moeten beheren. Deze hebben dus meer rechten nodig. Net als andere functionarissen binnen de organisatie overigens die nu eenmaal bij meer en gevoeligere informatie moeten kunnen.

We hebben al geweldige beveiligingsbewustwordingcampagnes en iedere medewerker weet de top tien gouden regels op het gebied van informatiebeveiliging. Maar bij aanvullende rechten voor functionarissen komen ook aanvullende plichten, of ze dat nu leuk vinden of niet.

Deze plichten leggen we overigens niet op om ze dwars te liggen of om ze te pesten. Nee, deze plichten zijn er omdat meer rechten nu eenmaal ook zorgt voor meer risico’s. Zo kan de systeembeheerder met een bewuste of onbewuste actie voor veel ellende zorgen en de financiële afdeling kan met een verkeerd gezette komma de winst- en verliesrekening 360 graden draaien.

We willen niet alleen de organisatie voor deze risico’s behoeden, maar willen ook voorkomen dat de medewerker deze verantwoordelijkheid in zijn of haar eentje hoeft te dragen. Het mag dan misschien over komen als een blijk van wantrouwen, maar dat kan nooit het geval zijn. We hebben nu eenmaal medewerkers die bewust de boel willen frustreren en daar willen we het liefst zo snel mogelijk vanaf. Maar daarnaast hebben we medewerkers die prima hun job uitvoeren, waar we erg blij mee zijn en die we het liefst nog 10 jaar aan ons binden.

Maar ook deze medewerkers kunnen fouten maken, niets menselijks is hen vreemd en daar willen we ze graag voor behoeden. Brengen we het op deze manier dan is het niet meer het dwarszitten, pesten of afnemen van rechten, maar dan is het beschermen van die medewerker. Leiden we ze dan ook nog eens goed op dan zijn de risico’s al een stuk lager.

Met bijzondere rechten komen bijzondere plichten, zo bijzonder is dat nu ook weer niet. Theoretisch allemaal prima uit te werken, in de praktijk toch veelal lastig. Men heeft de rechten verworven en staat ze niet graag meer af, verschillende functies kunnen verschillende rollen hebben en soms heeft een systeembeheerder inderdaad extra rechten nodig…maar hij hoeft niet met die bijzonder rechten in te loggen als hij gewoon een briefje in Word moet typen of een emailtje moet versturen. Ga jij ze dat binnenkort vertellen? Wees dan niet de boeman, maar leg uit waarom we dergelijke (vervelende) regels doorvoeren…niet om ze het werk onmogelijk te maken maar om de risico’s te beheersen. Nu je wat meer zicht hebt op de achtergrond zou het moeten lukken zeker als we ze er ook nog eens goed bij opleiden.

Een overzicht van gebruikers

We zijn nog steeds bezig binnen het stuk dat gaat over de personele beveiliging. Daarbij mogen we de gebruikers binnen onze organisatie niet uit het oog verliezen. Een simpele vraag met een lastiger antwoord.

De vraag:
Is er een volledig overzicht van gebruikers?

Je zou zeggen dat het logisch is dat een organisatie over een volledig overzicht van gebruikers beschikt. Ze weten ook aan wie ze loon moeten betalen aan het eind van de maand, toch? Toch zien we dat de vraag in de praktijk simpeler is dan het antwoord. De overzichten van gebruikers zijn vaak niet in overeenstemming met degene die we salaris (of uurtarief) betalen.

Medewerkers komen en gaan, of ze nu in- of extern zijn doet er eigenlijk niet zoveel toe. Op de dag dat ze binnen zijn beginnen ze te vragen om een inlog account. De dag dat ze voor de laatste keer de deur achter zich dicht trekken, melden ze het account niet meer af. Het is dus zaak om periodiek te controleren of de overzichten nog actueel zijn en of iedereen nog wel een account nodig heeft.

Dat is natuurlijk de korte versie die medewerkers nemen. Vaak hebben ze verschillende functies gedurende de jaren dat ze voor ons werken. Er komen steeds meer rechten bij en er gaan er maar weinig weer vanaf. Logisch, want de medewerker kan zijn werk niet doen als hij de rechten niet heeft maar kan nog wel gewoon werken als hij teveel rechten heeft. Hoe langer men in dienst is, hoe meer men kan zien.

Naast onze interne medewerkers hebben we ook nog de externen en tijdelijke krachten. De doorloopsnelheid daarvan ligt nog een stuk hoger dan die van het eigen personeel. Geven we ze teveel rechten, mogen ze op afstand inloggen en hoe houden we daar dan zicht op? Hoe lang kunnen ze er nog bij nadat het contract beëindigd is? En hoe vaak controleren we dat dan?

Daar weer bovenop hebben we de medewerkers met bijzonder rechten. De medewerkers die het wachtwoord van het “admin”-account kennen. Grote kans dat we het lastig vinden of gewoon vergeten om het wachtwoord te wijzigen als nu net die ene medewerker uit dienst is. Hopelijk hebben we op een vrolijke manier afscheid van elkaar genomen…zo niet dan moeten we de controle wellicht dit jaar iets eerder uitvoeren.

Vreemd dat het ons wel lukt om de uitbetaling van salaris stop te zetten terwijl het ons nauwelijks lukt om het overzicht van gebruikers actueel te houden.

Het wordt allemaal nog wat ingewikkelder als we ook nog eens verschillende rechten aan verschillende medewerkers in verschillende rollen hebben uitgegeven. Een medewerker verandert dan misschien niet van functie maar kan wel van rol veranderen. Onoverzichtelijke lijsten met gebruikers in bepaalde rollen met bepaalde rechten. Een hele worsteling om dat actueel te houden.

Het lijkt misschien of we er maar niet eens meer aan moeten beginnen. Geen eer aan te behalen. Toch is dat niet waar, alleen moeten we het wel in de juiste volgorde doen eerst het proces op orde, dan pas de lijsten opschonen. En niet andersom want dan blijven we bezig.

Juridische vraag: Zijn logbestanden bedrijfsgeheim?

Een interessante juridische vraag die op security.nl gesteld wordt:
Wij zijn een klein hostingbedrijf en wilden onderzoek doen om de performance van de shared servers te verbeteren. De makkelijkste manier leek ons om simpelweg een top10 te maken met de grootste logfiles van de webserver logs, waaronder ook de error_logs met foutmeldingen. Bij een klant bleek die log wel erg groot (enkele gigabytes), en we hebben die doorgekeken om te zien waar dat door kwam. Het bleek een groot aantal (onschuldige) PHP foutmeldingen te zijn. We hebben de klant geinformeerd, met het verzoek om dit recht te zetten. De klant reageerde erg boos: die logfiles zouden bedrijfsgeheim zijn en wij hadden daar nooit in mogen kijken! (bron)

Samengevat is het antwoord:
Een bedrijf kan claimen dat bepaalde gegevens bedrijfsgeheim zijn, maar essentieel is dan wel dat zij kan bewijzen dat daarvoor geheimhouding wordt betracht. Er moet zeg maar een stempel “GEHEIM” op staan. Ook moeten mensen die met de informatie in contact komen, expliciet op geheimhouding zijn gewezen. Het is dan strafbaar (art. 273 Strafrecht) om die gegevens te verspreiden of publiceren…De systeembeheerder heeft echter een bijzondere positie. Vanuit zijn werk komt hij in aanraking met allerlei gegevens, en het kan goed gebeuren dat hij bestanden opent waarin bedrijfsgeheimen van klant en staan. Dat mag: art. 273d Strafrecht regelt dat je die mag inzien als het nodig is voor je werk als systeembeheerder. Wel heb je dan een zwijgplicht naar anderen toe.

Hier gaat het dan specifiek om de logfiles. Maar zo’n zelfde vraag speelt bij het uitbesteden van je informatievoorziening. Delen van systemen worden uitbesteed en de informatie staat dus bij een externe leverancier. Denk bijvoorbeeld aan databases, maar ook aan bijvoorbeeld Word-documenten. Een discussie die al jaren speelt (of je het nu intern of extern beheert maakt niet zoveel uit) is wat de beheerder mag zien en doen.

Een beheerder heeft graag alle rechten, onder het mom van: “anders kan ik mijn werk niet doen.” Vanuit beveiliging denken we daar natuurlijk anders over. Ja hij moet zijn werk kunnen doen (back-ups maken, autorisaties toekennen, etc.) maar hij hoeft geen toegang tot de gegevens te hebben. Anders gezegd: hij hoeft de content niet te kunnen zien.

Te vaak zien we dat de beheerder met zijn admin-account alle rechten op het systeem heeft, het management heeft daar geen besef van en ziet de risico’s niet. De beheerder kan dus bij alle financiele en vertrouwelijke gegevens. Toezicht (technisch of procedureel) daarop wordt nauwelijks uitgevoerd. Leuk hoor zo’n geheimhoudingsverklaring maar hoe gaan we dat controleren?

De vraag die het management zich moet stellen: welke rechten heeft de beheerder maximaal nodig om zijn werk goed te kunnen doen?

Door de rechten zoveel mogelijk te beperken voorkomen we niet alleen moedwillige acties maar ook simpele beheerdersfouten. Te vaak zien we dat de beheerder zijn reguliere werkzaamheden uitvoert met zijn beheerdersaccount terwijl hij daarvoor gewoon zijn gebruikersaccount kan gebruiken. Dit kan een hoop problemen voorkomen.