De PowerTech Group heeft de bevindingen van haar vierde jaarlijkse onderzoek naar de toestand van beveiliging op System i-platform gepubliceerd. Dit onderzoek is gebaseerd op de resultaten van bijna 200 systeemaudits die het afgelopen jaar zijn uitgevoerd door PowerTech. Het beveiligingsonderzoek van 2007 laat zien dat, ondanks de betrouwbaarheid van het systeem en haar prima beveiligingskenmerken, de algemene beveiliging van de machines slecht beheerd en geconfigureerd wordt door bedrijven die gebruik maken van System i.

Meer dan 76% van de onderzochte systemen hadden bijvoorbeeld geen beheermogelijkheden om wijziging van onderliggende data via een externe PC te voorkomen of te auditen. Bovendien heeft 10% van de gebruikers volledige root-toegangsrechten. De helft van de systemen heeft meer dan 20 gebruikers bij wie het wachtwoord gelijk is aan hun gebruikersnaam.

PowerTech’s President & CEO Jon Scott geeft aan: “IBM ontwerpt de System i met de meest vooraanstaande beveiligingsmogelijkheden in de industrie. 98% van de Fortune 1000-bedrijven doen een deel van hun zaken op dit systeem en veel van de meest gevoelige informatie die een bedrijf bewaart wordt opgeslagen in System i. Wij zien vaak dat bedrijfskritische applicaties zoals boekhouding, salarisadministratie, voorraadbeheer, orderinvoer en klantenservice allemaal op één machine is ondergebracht. Ons onderzoek wijst uit dat een groot percentage van de systemen niet juist is geconfigureerd door de IT-afdeling op het gebied van beveiliging, wat tot gevolg heeft dat vele systemen kwetsbaar zijn voor interne inbraak.”

System i-beveiligingsexpert en PowerTech’s Chief Technology Officer John Earl stelt: “De eisen die hedendaagse ondernemingen aan automatisering stellen, vragen om meer open connectiviteit en gerichte uitwisseling van data tussen afdelingen en belangrijke zakenpartners onderling. Vele bedrijven met i5/OS (OS/400) moeten echter nog de nieuwe beveiligingstechnologieën omhelzen die beschikbaar zijn op IBM’s architectuur en via beveiligingssoftware van derden, wat ertoe leidt dat hun bedrijfskritische data op dit moment nog blootgesteld is.”

Zo goed als het operating systeem ook is met het beveiligen van de data, ieder systeem is maar zo sterk als het beleid dat intern van kracht is en de maatregelen die een bedrijf neemt om het systeem veilig te houden. Met de verstrekkende gevolgen en de kosten die gepaard gaan bij inbreuk op beveiliging naast het gemak waarmee het System i-platform kan worden beveiligd, blijft Powertech zich verbazen over de onderzoeksresultaten.

Earl voegt hier nog aan toe: “Organisaties die gebruik maken van de OS/400-architectuur zouden niet zo voldaan moeten zijn van de veiligheid van dit systeem. Deze gegevens laten duidelijk zien dat de opslag van bedrijfskritische data op System i net zo kwetsbaar is als, of misschien nog zelfs kwetsbaarder is dan dataopslag elders in de organisatie.”

Q&A met Ian Jarman van IBM over het rapport
Ian Jarman, System i Product Manager bij IBM, bespreekt de bevindingen van het PowerTech 2006-onderzoek in een interview met het blad Computer World.

Wat vindt u van het PowerTech rapport?
Jarman: “Ik heb het rapport gelezen. Het onderzoek was gehouden binnen een groot scala aan diverse branches. Voor zover ik kan beoordelen, bestond de groep uit bedrijven die PowerTech gevraagd hebben om een audit op hun security-beleid. Deze bedrijven willen kennelijk goede beveiliging implementeren en zij dachten wellicht dat zij hierbij aanvullende ondersteuning nodig hadden.”

Wat onder andere opvalt is dat de beheerders van systemen niet zo aandachtig zijn als dat ze zouden moeten zijn. Is dat ook zo naar uw bevinding?
Jarman: “De System i wordt alom gerespecteerd voor haar geïntegreerde beveiliging en heeft een erg sterke reputatie omtrent veiligheid en hoge beschikbaarheid. Wij hebben nog nooit een virus gehad op System i. Maar je moet er absoluut zeker van zijn dat je alsnog de nodige veiligheidsmaatregelen neemt, net als dat je zelf je deuren en ramen van je huis moet afsluiten.”

Maar waarom doen niet meer bedrijven dit met System i?
Jarman: “Mensen die naar security kijken zijn vaak bezorgd om systemen die geïnfecteerd worden met virussen en andere netwerkbeveiligingskwesties. Ik vind het jammer om te zeggen dat zij niet altijd dezelfde nadruk leggen op het backend-systeem, en dat zou ook een belangrijke prioriteit moeten zijn. Bovendien is het ook verstandig om te bedenken dat beleid, praktijken en compliance-vereisten zo enorm aan verandering onderhevig zijn, dat bedrijven die System i of ieder ander platform gebruiken eigenlijk periodiek hun beleid rond security zouden moeten herzien.”

“Als je dit doet, dan heeft System i en het operating systeem alle beveiligingstechniek in zich die je nodig hebt,” vervolgt Jarman. “Wij hebben bijvoorbeeld een geïntegreerde audit journal die gebeurtenissen op gebied van systeemveiligheid logt – een foutief wachtwoord of een poging tot toegang op data met de verkeerde gebruiksrechten. Als je kijkt naar bedrijven als Powertech en Bytware, SkyView en Tango04, zijn dit allemaal bedrijven die klanten helpen met het inzetten van de beste praktijken voor beveiliging en compliancy. Powertech en SkyView hebben bijvoorbeeld compliancy-producten die bedrijven helpen met de analyse van audit journals die in System i aanwezig zijn. Bytware heeft StandGuard Antivirus, dit is een native antivirus-checker op System i. Hoewel wij nog nooit een virus hebben gehad op System i, willen sommige bedrijven gewoon kunnen aantonen dat zij compliant zijn met AV-reglementen.”

Wie is verantwoordelijk voor het beveiligen van de System i-omgeving binnen ondernemingen? Zijn dit de operationele teams of is dit de centrale IT-beveiligingsorganisatie?
Jarman: “Dat varieert aanzienlijk al naar gelang de bedrijfsgrootte en de branche. Er zijn bijvoorbeeld 16.000 banken die draaien op System i; security heeft hier dus duidelijk de hoogste prioriteit. In vele van deze banken is er een security-team aangesteld, die samenwerkt met de verschillende operationele teams per platform. Als je kijkt naar de meer traditionele kleinere tot middelgrote bedrijven, dan zal je waarschijnlijk zien dat daar het operationele System i-team verantwoordelijk is voor beveiliging. Ik vind het overigens een sterke afspiegeling van onze veiligheidsreputatie, dat 16.000 banken hun kernactiviteiten op onze systemen hebben ondergebracht.”

Het PowerTech-onderzoek laat ook zien dat security-projecten op System i vaak niet de juiste prioriteit krijgen, omdat men aanneemt dat het systeem al veilig is. Stemt u hiermee in?
Jarman: “Het is rechtvaardig om te stellen dat System i altijd een goede reputatie heeft gehad met veiligheid en hoge beschikbaarheid. Als gevolg daarvan focust men vaak op het blussen van brandjes en het vullen van gaten op andere plaatsen, waar meer problemen zijn. Het is soms een hele uitdaging om hogere prioriteit te geven aan zaken die nog niet direct als probleem beschouwd worden.”