Wat is de impact als er ergens bij u als installateur van alarminstallaties een vorm van cybercrime voorkomt? Voorbeelden Alarminstallaties worden

Transcriptie

1

2 2

3 Wat is de impact als er ergens bij u als installateur van alarminstallaties een vorm van cybercrime voorkomt? Voorbeelden Alarminstallaties worden gehackt Verliezen van een laptop waarop belangrijke projectgegevens staan (bijvoorbeeld tekeningen, codes etc.) Op straat komen te liggen van codes Informatie uitwisseling tussen u en eindklant die wordt onderschept of gewijzigd Informatie uitwisseling tussen u en PAC die wordt onderschept of gewijzigd Etc. etc. 3

4 Project Verhogen cyberweerbaarheid beveiligingsinstallaties 6 juni

5 Het project Verhogen cyberweerbaarheid van beveiligingsinstallaties is een samenwerking van: 5

6 Aanpak: Deskresearch: Stakeholderanalyse: welke partijen hebben een rol bij beveiligingsinstallaties? Wat is relevante wetgeving en welke normen zijn er? Zijn er opleidingen die zich richten op informatiebeveiliging voor de installatiebranche? Interviews met een beperkt aantal partijen (installatiebedrijven en belangrijkste stakeholders) Waar staan we op dit moment op het gebied van informatiebeveiliging? Waar liggen de belangrijkste kwetsbaarheden en risico s? Op welke wijze zou er hulp geboden kunnen worden? Conclusies en aanbevelingen Weerbaarheid verbeteren, kennisniveau verhogen Wat is nodig en in welke vorm? 7

7 Deskresearch 8

8 Stakeholders Alarm Centrale (PAC) Politie Wetgever ITleverancier Beveiliger Opdrachtgever/ Klant incl. gebruikers AP Inspectie Product leverancier Installateur incl. medewerkers Verzekeraar Fabrikant Brancheorganisatie Normerings instellingen Certificerings instelling Opleiders 9

9 Stakeholders (vervolg): Aantal stakeholders met belang is erg groot Prioritering aanbrengen: Belanghebbenden die eisen stellen aan u als installateur; Belanghebbenden waar u als installateur eisen aan stelt; Ordening op basis van mate van belang en mate van invloed 10

10 Stakeholders 11

11 Stakeholders 12

12 Belangrijkste wet- en regelgeving, richtlijnen en normeringen Wetgeving, o.a. Particuliere Beveiligingsbedrijven en Recherchebureausen (PBR) Algemene Verordening Gegevensbescherming (AVG) BORG richtlijnen VEB kwaliteitsregeling VRKI NEN 8131, NEN EN en NEN EN ISO 2700x certificeringen 13

13 Informatiestromen Tekeningen, alarmcodes, verbindingen tussen centrale en alarmgevers, verbinding tussen sensor en centrale, dossiers, connecties met derde partijen, koppeling aan internet, certificaten, apps die verbinding hebben, gebruikers etc. etc. Het gaat niet alleen om de techniek of installatie! 14

14 Zorgplicht installateur: Richt zich op zowel de installatie als de organisatie van de installateur! 3 aspecten van informatiebeveiliging: Beschikbaarheid; Integriteit; Vertrouwelijkheid. Gevolgen gebrekkige cybersecurity: Bedrijfsvoering opdrachtgever in gevaar; Reputatie installatiebedrijf in gevaar; Persoonsgegevens in gevaar. Ieder bedrijf heeft digitale zorgplichten! 15

15 Beschikbare opleidingen Veelal niet specifiek voor installatiebranche Veelal gericht op ISO27001 (informatiebeveiliging) of (algemene) awareness 16

16 Interviews 17

17 Diepte interviews: Doel van de interviews: Waar staan we op dit moment op het gebied van informatiebeveiliging? Waar liggen de belangrijkste dreigingen, kwetsbaarheden en risico s? Op welke wijze zou er hulp geboden kunnen worden? Interviews DGA s en medewerkers uit de volgende groepen: installateurs PAC s fabrikanten 18

18 Diepte interviews: Indeling gemaakt op: Relaties met belangrijkste stakeholders (eindklanten, ICT beheerders, PAC s, fabrikanten) De organisatie van de installateur (interne organisatie, medewerkers, certificeringen) De installaties (advies en plaatsing, onderhoud, omgang met oudere installaties) 19

19 Doornemen resultaten interviews Vraag Resultaat uit interview Aanbeveling 20

20 Belangrijk bij de resultaten Er is een groot verschil tussen grote installateurs (veelal ook degene die werken voor grote opdrachtgevers zoals corporates/enterprises en overheid) en kleinere installateurs (veelal ook degene die werken in het MKB). De resultaten die volgen hebben m.n. betrekking op de laatste groep!! 21

21 Stakeholders 22

22 Ik ervaar een toenemende vraag naar de wijze waarop wij als installateur omgaan met informatiebeveiliging (van klanten of potentiële klanten) Onzin, we krijgen vrijwel nooit vragen over informatiebeveiliging Klopt, we krijgen steeds vaker vragen en de klanten weten ook steeds beter wát ze moeten vragen 50% 50% 23

23 Relatie met eindklant Aanbeveling: Zorg er voor dat klanten bewuster omgaan met informatiebeveiliging en bij projecten dus ook meer gaan vragen over de wijze waarop informatiebeveiliging is geregeld. De betere installateurs kunnen zich hierdoor ook beter profileren en onderscheiden. Laat informatiebeveiliging (nog) meer onderdeel uitmaken van de VEB/BORG certificering en VRKI richtlijn en zorg er in de markt voor dat er duidelijker wordt gecommuniceerd wat de voordelen zijn van het werken met een gecertificeerd installateur. 25

24 Ik ervaar met enige regelmaat problemen met de werking van onze alarminstallaties door toedoen van de (ingehuurde) ICT ers van de eindklant Minder dan 5x per jaar Vaker!! 25% 75% 26

25 Relatie met ICT beheerder Aanbeveling: Zorg er voor dat afstemming tussen installateur en ICT beheerders meer gestandaardiseerd verloopt en dat ICT beheerders bewuster omgaan met de informatiebeveiliging van alarminstallaties. De juiste werking van installaties is sterk afhankelijk van hun werkzaamheden. 28

26 Wij communiceren aanmeldingen van nieuwe klanten, wijzigingen of verwijdering van klanten naar de PAC Via de aloude post (eventueel aangetekend) Via een (eventueel met bijlage) 5% 95% 29

27 Relatie met PAC Aanbeveling: Zorg voor een gestandaardiseerde overdracht tussen installateur en PAC, die bij voorkeur via een digitaal portaal verloopt. Ook het plaatsen van een centrale in test/programmeer-modus zou gedigitaliseerd kunnen/moeten (?) verlopen met duidelijke eisen t.a.v. autorisatie en authenticatie. Voor het gebruik van Apps dienen zeker door monteurs de juiste beveiligingsvoorschriften te worden gebruikt. 31

28 Als een fabrikant vraagt om een kritische firmware update te installeren op een specifiek type alarminstallatie, dan Heb ik wel een paar dagen nodig om in kaart te brengen bij welke klanten deze installatie staat en een update uit te voeren OF Heb ik binnen 2 uur in kaart welke systemen allemaal bij onze klanten staan die voor de update in aanmerking komen. Binnen 4 uur heb ik al onze installaties van een nieuwe firmware voorzien voer ik geen firmware updates uit, dat kan er voor zorgen dat zich juist problemen gaan voordoen OF Wacht ik tot het jaarlijks onderhoud, dan wordt de firmware eventueel up-to-date gebracht. 0% 100% 32

29 Relatie met fabrikant Aanbeveling: Bekijk in hoeverre proces tussen fabrikant, installateur, netwerkbeheerder, PAC en eindklant digitaal kan verlopen. Zo weten alle partijen welke maatregelen zijn getroffen en kan de kwaliteit in de gehele keten verbeterd worden. Zorg er voor dat maatregelen getroffen worden zodat fabrikant/installateur weet waar welke installatie zich bevindt (met welke versie firmware) Zorg dat installaties pas de markt op kunnen als wordt voldaan aan security/privacy by design/default 34

30 Organisatie installateur 35

31 Als een medewerker vertrekt, dan worden direct de wachtwoorden van alle alarminstallaties hierop aangepast Klopt. Direct beveiliging aanpassen om te voorkomen dat via deze ex-medewerker later gebruik kan worden gemaakt van bijvoorbeeld onze installateurscode Nee, dat is veel te veel gedoe. Als dit makkelijker zou kunnen dan graag!! 5% 95% 36

32 Interne organisatie installateur (1) Aanbeveling: Bekijk op welke manier de volwassenheid van elke installateur kan aansluiten bij de behoeften van zijn klanten. In onze optiek zou dit in certificering geregeld moeten zijn (BORG/VEB). Vindt hier een middenweg tussen huidige situatie en ISO Zorg voor een duidelijke levenscyclus van wachtwoorden van installaties (van aanmaak tot vast en incidenteel onderhoud en beëindiging van de relatie met klant/medewerkers) en een juiste autorisatie en authenticatie. M.n. voor kleinere installateurs denken we dat het handig is om hier bepaalde tooling voor aan te leveren cq ze te wijzen op tooling die in de markt voorhanden is.

33 Als we te maken krijgen met een calamiteit, weet ik precies wat ik moet doen door het bij ons aanwezige crisisplan Wij hebben een crisisplan waarin exact is vastgelegd wat ik moet doen bij een calamiteit. Cyber is hierin opgenomen. We gaan met ons gezonde verstand aan de slag mocht ons iets overkomen. Op dat moment bepalen we wel wat we gaan doen. 10% 90% 39

34 Interne organisatie installateur (2) Aanbeveling: Ondersteun installateurs in het opzetten van een crisisplan zodat áls er in de branche iets fout gaat, bedrijven ook weten wat ze moeten doen. Kijk hierbij ook naar de ketenafhankelijkheid (PAC/fabrikant/klant die te maken krijgt met vormen van cybercriminaliteit). 41

35 Medewerkers hebben voldoende kennis op het gebied van informatiebeveiliging Klopt, vanuit de opleidingen wordt er voldoende aandacht aan besteed en voor oudere medewerkers hebben we zelf programma s opgezet om de kennis te verhogen Het zou goed zijn als hier extra aandacht voor komt. Op dit moment is de kennis niet altijd toereikend 5% 95% 42

36 Waar schiet kennis eventueel tekort? Bij welke groep? Bij schoolverlaters Bij oudere medewerkers En welke kennis kan dan verbeterd worden? Werken met IP gebaseerde netwerken Security management / Informatiebeveiliging binnen de organisatie (breed) Anders? 43 Wat kunnen we aanreiken om tot verbetering te komen? Informatiebeveiliging al beter opnemen in eindtermen van MBO studenten Extra trainingen aanbieden Fabrikanten moeten dit regelen Extra flyers/bulletins etc. aanbieden waarin informatiebeveiliging verder wordt uitgelegd Anders?

37 Medewerkers installateur Aanbeveling: Bekijk in hoeverre het mogelijk is om training op te zetten rond informatiebeveiliging (gericht op installateurs). Enerzijds gericht op de alarminstallaties, maar anderzijds ook op de interne organisatie van de installateur (informatiebeveiliging op de KA omgeving). Controleer verder in hoeverre in de eindtermen informatiebeveiliging in voldoende mate is opgenomen. Het is wenselijk dat m.n. kleinere installateurs geholpen worden met beleid/organisatie, techniek als menselijk handelen/bewustzijn. Een in/uit-dienst en wijzig functie procedure horen hier nadrukkelijk bij. 45

38 Klanten kunnen er uit gaan dat we zorgen voor een volledig veilig proces doordat we werken conform BORG/VEB/VRKI Onzin, in de BORG/VEB/VRKI is informatiebeveiliging slechts beperkt opgenomen. Er wordt bijna alleen gekeken naar de installaties en niet naar ons als organisatie Klopt. In de BORG/VEB/VRKI is informatiebeveiliging voldoende opgenomen 95% 5% 46

39 Certificeringen Aanbeveling: Neem informatiebeveiliging (nog meer) op in zowel de VEB, BORG als de VRKI. Dit zal zich zowel op de projecten en het onderhoud van de alarminstallaties als de interne organisatie incl. omgang van digitale gegevens moeten toespitsen. 48

40 Installaties 49

41 De uitleg in de VRKI rond aansluiting van alarmsystemen en eisen t.a.v. alarmtransmissie over IP gebaseerde netwerken is mij volledig duidelijk. Klopt. In de VRKI zijn de eisen voldoende duidelijk omschreven. Het is wenselijk om dit te verduidelijken omdat het mij niet altijd helemaal duidelijk is. 50% 50% 50

42 Advies en plaatsing van installaties bij klanten (1) Aanbeveling: Neem de bepaling van waarde van data op in deel A van de VRKI. Maak daarnaast de eisen rond het werken met IP concreter voor installateurs (bijvoorbeeld inbelmogelijkheden). Kijk of een controle door een tweede monteur of onafhankelijke instantie (BORG/VEB?) kan worden uitgevoerd op opgeleverde installaties, waarbij informatiebeveiliging in de breedte is opgenomen. 52

43 Als een klant vertrekt, dan verwijder ik zijn projectdossier, back-up bestanden, tekeningen etc. Binnen 12 maanden worden alle gegevens verwijderd. De gegevens blijven bij ons op het netwerk. Mocht de klant nog eens vragen hebben, dan kan ik altijd direct terugzien wat zijn situatie is/was. Niet over gestemd 53

44 Advies en plaatsing van installaties bij klanten (2) Aanbeveling: Overweeg om generieke informatie op te zetten over het werken met camera systemen, zodat deze eenvoudig richting klanten kan worden gecommuniceerd bij advies/oplevering van deze installaties. Neem in de BORG/VEB op op welke wijze omgegaan moet worden met dossier nadat een klant vertrekt (bewaartermijnen, omgang met back-ups/tekeningen etc.) 55

45 Wij voeren jaarlijks onderhoud uit. Daarbinnen controleren we de logs van de alarmcentrales op afwijkingen en controleren we op firmware updates. In de onderhoudsvoorschriften van de BORG/VEB is dit opgenomen en dus voeren we dit uit Dit staat niet in de onderhoudsvoorschriften van de BORG/VEB, dus voeren we niet uit 50% 50% 56

46 Onderhoud van installaties bij klanten (1) Aanbeveling: De voorschriften voor onderhoud van de BORG regeling stammen uit Informatiebeveiliging is hier nog niet in opgenomen en we adviseren om deze te herzien, waarbij rekening is gehouden met alle punten die te maken hebben met informatiebeveiliging. Voor VEB lijken geen voorschriften voor onderhoud aanwezig (buiten dat er een onderhoudscontract moet zijn). Zet een duidelijke procedure op omtrent de omgang met back-ups van installaties Maak het nakijken van de logs onderdeel van het onderhoudsabonnement of zorg er voor dat er bij afwijkingen automatisch gemeld gaat worden. 58

47 Als een klant via vraagt om een extra gebruiker in de alarmcentrale aan te maken, dan doen we dat direct Klopt, gebruiker aanmaken en via direct terugkoppelen dat de werkzaamheden zijn uitgevoerd We verifiëren eerst de door de klant te bellen. Pas nadat we zeker weten dat e.e.a. klopt zorgen we voor het aanmaken. De code voor de gebruiker wordt via een ander medium teruggestuurd naar de klant/gebruiker. 5% 95% 59

48 Onderhoud van installaties bij klanten (2) Aanbeveling: Zorg voor een veilige procedure voor het doorgeven van wijzigingen op de installatie (bijv. gebruikersbeheer) Leg in de onderhoudscontracten expliciet vast dat installateurs mógen inloggen op afstand Zet voor het inloggen op afstand een aantal voorbeelden/situaties op, zodat duidelijk is op welke wijze dit proces moet verlopen en wat er van monteurs wordt verwacht. Overweeg opname hiervan in BORG/VEB. 61

49 Werken met oudere installaties Aanbeveling: Bekijk ook voor oudere installaties welke impact informatiebeveiliging heeft of kan hebben. 63

50 Vervolg 64

51 Vervolg: Verdere uitwerking van de bevindingen en aanbevelingen, gekoppeld aan bestaande regelingen en normeringen Komen met concrete voorstellen tot vervolg (op welke wijze kunnen we de branche meer weerbaar maken en meer kennis geven) Weerbaarheid verbeteren, kennisniveau verhogen Wat is nodig en in welke vorm? 65

52