4. Security goals

Om beveiliging wat doelgerichter te maken zijn er Security Goals ontworpen. Dit zorgt voor een vaste scheiding tussen bepaalde beveiligingsstappen en helpt ook met het abstract maken van digitale beveiliging.

Om dit makkelijker uit te leggen spreken we over Anna, Bob en Peter. Anna en Bob sturen brieven met een beveiliging terwijl Peter ertussen probeert te komen. De doelen zijn als volgt:

• Confidentiality (vertrouwelijkheid): Peter kan niet lezen wat Anna en Bob naar elkaar sturen.

• Integrity (integriteit): Peter kan niet aanpassen wat er gecommuniceerd wordt, zonder dat Anna en Bob dit merken.

• Authenticity (authenticiteit): Anna en Bob zijn zeker van elkaars identiteit. Anna praat dus niet met Peter terwijl ze denkt dat ze met Bob praat.

• Availability (beschikbaarheid): Peter kan niet voorkomen dat Anna en Bob communiceren.

• Non-Repudiation (duidelijkheid): Anna en Bob kunnen geen van beide ontkennen wat er gestuurd is.

• Accountability (toerekenbaarheid): Er is een geschiedenis van communicatie van alle partijen (dus ook Peter’s pogingen)

Naast deze beveiligingsdoelen zijn er ook scheidingen tussen beveiliging en veiligheid (Security vs Safety). Beveiliging gaat over het beschermen tegen een actieve aanvaller dat een computersysteem wil ondermijnen terwijl veiligheid gaat over de bescherming tegen ongewenste errors of ongelukken.

Ook is er een scheiding tussen de verschillende typen maatregelen. Zo is er sprake van de volgende 3 maatregelen die genomen worden om een systeem veilig te houden:

• Technische maatregelen, zoals wachtwoorden, twee-factorauthenticatie en tamper-proof hardware (zorgen dat een pc niet ongewenst opengemaakt kan worden of gereset).

• Organisatorische maatregelen, zoals inlichten van medewerkers, protocollen voor thuiswerken en veilig opruimen van oude hardware (dus schijven eerst helemaal leegmaken voordat ze worden doorverkocht of verwoest).

• Wettelijke maatregelen, zoals Artikel 138a van het Wetboek v. Strafrecht en ‘Terms of Service’ van een bedrijf / website.

Websites en andere digitaal aanwezige diensten van bedrijven moeten altijd een sterk plan hebben als verdediging tegen aanvallen van zowel binnen als buiten het bedrijf. Daarom is het belangrijk om als bedrijf, al deze punten te verwerken in een beveiligingsplan en een ‘crisis’ plan achter de hand te houden.

4.1. Links

Voor meer informatie over cryptografie om geheimen geheim te houden:

• Video van Computerphile over public-key crypto

• Video van Computerphile over Diffie-Hellman (Hoe kun je geheimen delen terwijl iedereen meeluistert en zonder dat je vooraf iets afspreekt? Dat kan!)

• Een overzichtje van Caesar tot de VPN