Zoeken naar balans met een praktische kijk op informatiebeveiliging

Transcriptie

1 Zoeken naar balans met een praktische kijk op informatiebeveiliging Door de verregaande digitalisering van de maatschappij zijn we steeds afhankelijker geworden van Informatie en Communicatie Technology (ICT), maar daardoor zijn we ook steeds kwetsbaarder geworden voor aanvallen die de beschikbaarheid, integriteit en exclusiviteit aantast van informatie dat ermee verwerkt wordt. De nieuwsberichtgeving staat dagelijks vol met artikelen over inbraken in computernetwerken waarbij gegevens of wachtwoorden worden buitgemaakt of bijvoorbeeld DDoS aanvallen die internetbankieren onmogelijk maakt. Een veel gebruikt alomvattend mode woord voor de bescherming tegen alle mogelijke vormen van computercriminaliteit is Cyber security. In dit artikel wil ik ingaan hoe Cybersecurity op een praktische manier toegepast kan worden door niet (alleen) beveiligingsmaatregelen te beschouwen die ons vanuit diverse regelgeving (compliance) worden opgelegd, maar vooral door op een pragmatische manier naar bedreigingen en mogelijke beveiligingsmaatregelen te leren kijken, met gebruik van gezond verstand zoals we dat ook doen bij bedreigingen in het dagelijkse leven waar het de bescherming van onze eigendommen betreft (betrokkenheid). Om vast te stellen welke dreigingen relevant zijn en om te beoordelen welke beveiligingsmaatregelen noodzakelijk zijn om weerstand te kunnen bieden tegen die dreigingen, voeren we in de informatiebeveiliging doorgaans een risico analyse uit. Bij een traditionele risico analyse worden bedreigingen benoemd (in de fysieke beveiligingswereld wordt in dit verband vaak gesproken van een daderprofiel) en wordt in kaart gebracht wat de kans van optreden is en de gevolgschade (impact) indien deze bedreiging zich daadwerkelijk voordoet (Risico = Impact x Kans). Tegenwoordig wordt vaak een afhankelijkheids- en kwetsbaarheidsanalyse uitgevoerd, waarbij eerst de bedrijfsbelangen (assets) worden geïnventariseerd en de afhankelijkheid (waarde) ervan voor het bedrijf of de organisatie ervan wordt vastgesteld. Vervolgens wordt per belang een dreigingsanalyse opgesteld waarmee (potentiele) bedreigingen voor elk belang in kaart wordt gebracht. Ten slotte wordt de kwetsbaarheid per belang voor de in kaart gebrachte dreigingen vastgesteld. Uit deze afhankelijkheids- en kwetsbaarheidsanalyse volgt welke beveiligingsmaatregelen (fysiek, mensen, processen, technologie) moeten worden toegepast om de risico s tot een aanvaardbaar niveau terug te brengen. Beveiligingsmaatregelen kunnen als volgt worden ingedeeld: Preventie: Een preventieve maatregel is bedoeld om de gevolgen van een dreiging te voorkomen. Een voorbeeld is antimalware software dat kwaadaardige software detecteert en voorkomt dat het schade kan aanrichten. Detectie: Een detectieve maatregel is bedoeld om dreigingen te kunnen detecteren. Een voorbeeld is intrusion detectie waarmee inbraakpogingen door hackers kunnen worden gedetecteerd. 1

2 Repressie: Een repressieve maatregel is bedoeld om de gevolgen van een beveiligingsincident te beperken. Een voorbeeld hiervan is een brandblusinstallatie. Correctie: Een correctieve maatregel is bedoeld om de gevolgen van een beveiligingsincident te minimaliseren of zelfs op te heffen. Een voorbeeld hiervan is beheer software dat een dienst herstart indien deze is uitgevallen. Bij het uitvoeren van een risico analyse is een holistische benadering van essentieel belang. Met holistische benadering wordt bedoeld dat alle mogelijke risico s in ogenschouw moeten worden genomen. In dit verband wordt ook vaak gesproken van integrale beveiliging of van security convergence. Dit is geen sinecure en vereist specifieke beveiligingskennis over techniek, processen en mensen. In de praktijk blijkt echter vaak uit de risico analyse dat we in grote lijnen kwetsbaar blijken voor dezelfde typen dreigingen, waarop we dezelfde typen beveiligingsmaatregelen zouden kunnen toepassen. Het is vooral de mate waarin we kwetsbaar zijn per asset en het verschil in risico dat we daarbij willen lopen, dat uiteindelijk bepaalt welke maatregelen zullen worden toegepast. Zo is de dreiging van afluisteren in een WiFi netwerk in het algemeen groter dan die in een bedraad netwerk. Bovendien is het risico daarop dat we accepteren kleiner indien het WiFi netwerk deel uitmaakt van het interne netwerk, dan wanneer het een geïsoleerd netwerk betreft dat alleen gekoppeld is aan Internet. Aan de hand van 2 praktijkvoorbeelden in dit artikel, zullen we zien dat dit zelfs geldt voor twee op het oog zeer verschillende situaties. Een kritieke succesfactor in informatiebeveiliging is het beveiligingsbewustzijn (awareness) van gebruikers en personeel; mensen moeten betrokken zijn ( commitment ) bij het uitvoeren van beveiligingsbeleid zodat ze op de juiste wijze handelen indien verdachte omstandigheden zijn gesignaleerd, niet alleen omdat het vereist is ( compliance ). Op de een of andere manier zijn we daar, waar het informatiebeveiliging betreft, niet zo goed in. We zien in de praktijk (te) vaak dat bepaalde beveiligingsmaatregelen op een schijnbaar rigide manier worden toegepast, waarbij zowel functionaliteit als gebruikersvriendelijkheid ernstig wordt beperkt, terwijl noodzakelijke beveiligingsmaatregelen op een ander gebied (bv. screening van personeel) volledig achterwege worden gelaten. Hierdoor wordt informatiebeveiliging niet altijd serieus genomen en wordt vaak gezien als een lastig obstakel waar vooral omheen gewerkt wordt in plaats van dat het als waardevol bedrijfsasset wordt beschouwd. In situaties met een enigszins vergelijkbaar dreigingsprofiel, zoals de beveiliging van woning en inboedel, lijken we ons wel volledig bewust te zijn van de risico s en daar naar te handelen. Kennelijk spreekt dit meer tot onze verbeelding waardoor we vergelijkbare beveiligingsmaatregelen die ons door informatiebeveiligers in de IT-wereld zo nadrukkelijk lijkt te worden opgelegd, op een natuurlijke wijze en met gezond verstand kunnen toepassen. Zonder het bewust te zijn, proberen we ons hierbij te beschermen tegen gelijkwaardige dreigingsvormen en hanteren we dezelfde categorie van beveiligingsmaatregelen die van toepassing zijn op informatiebeveiliging. Mogelijk dat we (eindgebruikers, klanten, personeel) beveiligingsmaatregelen beter kunnen accepteren als we begrijpen waarom we deze toepassen en tegen welke realistische bedreigingen ze 2

3 bedoeld zijn en dat we (informatiebeveiligers) informatiebeveiliging op een meer consistente wijze kunnen uitdragen als we begrijpen in hoeverre het deelgebied van informatiebeveiliging waarin wij ons bewegen, deel uitmaakt van het gehele beveiligingsbeleid. In de volgende twee voorbeelden wordt een praktische beschouwing gegeven van de beveiliging van een woning en inboedel en die van de beveiliging van een fictief IT systeem en zijn data (informatie). Vervolgens wordt beargumenteerd hoe beide scenario s feitelijk gebruik maken van dezelfde vereenvoudigde set van dreigingscategorieën en dezelfde vereenvoudigde set van categorieën van beveiligingsmaatregelen zoals hieronder aangegeven en benoemd in appendix A. Beschouwing beveiliging woning Laten we het proces, de technieken en het inschakelen van mensen dat we uitvoeren bij de beveiliging van onze woning en inboedel tijdens vakantieperiodes eens beschouwen en analyseren tegen welke dreigingen we ons proberen te beschermen en welke beveiligingsmaatregel we daar bij toepassen. Technologie: Uitgangspunt is een solide gebouwde woning waarbij zonder zeer grof en opgemerkt geweld, inbraak alleen mogelijk is via ontzetting van ramen of deuren. Er zijn diverse IP camera s geïnstalleerd die we op afstand kunnen bekijken (bv. via smartphone). Meerdere camera s met overlappend bereik kunnen worden geïnstalleerd om falen op te kunnen vangen, of afplakken van een camera door kwaadwillenden te kunnen detecteren. Het pand is verder uitgerust met een multi-zone alarmsysteem dat verschillende zones in de woning kan beveiligen met een eigen code en opgegeven telefoonnummers kan bellen bij afgaan van een alarm. Het alarmsysteem is voorzien van bewegingsmelders en rookmelders en van een sabotagealarm dat afgaat indien geprobeerd wordt het alarm onklaar te maken. De code moet worden ingegeven in een codeslot dat op een gemakkelijk bereikbare, maar afgeschermde plek is geplaatst, zodat de ingevoerde code niet eenvoudig door een buitenstaander 3

4 op afstand kan worden uitgelezen. Ten slotte is aan de buitenkant van de woning aangegeven dat het pand beveiligd is met camera s en een alarmsysteem. Tijdens onze afwezigheid observeren camera s en bewegingsmelders het pand en nabije omgeving. Afwijkende gebeurtenissen worden gedetecteerd en genereren een alarm. Camerabeelden worden gearchiveerd op een systeem dat voldoende schijfruimte bevat om de grote hoeveelheid beelden tijdens de periode van afwezigheid te kunnen bewaren. Processen en mensen: Ter voorbereiding op onze afwezigheid controleren we brand- en inboedelverzekeringen en controleren hang- en sluitwerk dat we zo nodig vervangen, bijvoorbeeld door sloten voorzien van politiekeurmerk. We informeren buren en familieleden over de op handen zijnde afwezigheid en zij worden gevraagd om een oogje in het zeil te houden en actie te ondernemen bij onraad. We richten het pand zodanig in, dat het lijkt alsof het bewoond blijft. We zorgen ervoor dat de verlichting op gezette tijden automatisch in- en uitschakelt, we verzoeken de kinderen de aankomende afwezigheid niet via sociale media bekend te maken en we vragen de buren om tijdens onze afwezigheid de post netjes op te ruimen en de planten water te geven. Voor vertrek overhandigen we aan de buren de sleutel van de achterdeur en de (tijdelijk gewijzigde) code om het alarmsysteem uit en aan te zetten en geven duidelijke instructies mee om er zeker van te zijn dat het alarm weer wordt ingeschakeld bij het verlaten van het pand. Waardevolle bezittingen, documenten (of kopieën daarvan) en apparatuur, worden veilig gesteld op een fysiek andere locatie of bewaard in een afgesloten kluis. We zorgen er tevens voor dat familieleden in het bezit zijn van sleutels en codes van ruimtes en kluizen met gevoelige informatie of apparatuur, zodat zij in geval van noodsituaties deze kunnen benaderen. Voor buren zijn deze niet toegankelijk.vlak voor vertrek sluiten we alle ramen en deuren en schakelen het alarm in. Daarbij denken we ook aan het kleine WC raampje om te voorkomen dat een kind via die ingang het pand van binnenuit zou kunnen openen. Ten slotte willen we ook graag weten of de personen die toegang tot het pand hebben verkregen ook daadwerkelijk te vertrouwen zijn en kunnen bepaalde spullen op een zodanige manier zijn neergezet of opgeborgen (verzegeling) dat diefstal of ongeautoriseerd gebruik ervan kan worden gedetecteerd, mogelijk begeleidt met camerabeelden zodat de dader onomstotelijk kan worden vastgesteld. Het achterwege laten van een of meer van deze beveiligingsmaatregelen kan een ernstig effect hebben, variërend van een volledig verloren gegaan pand inclusief inhoud, een inbraak via een opengelaten raam of (al dan niet) raadselachtige ontvreemding van waardevolle spullen en/of vermeend misbruik van gevoelige informatie. 4

5 Beschouwing beveiliging IT systeem Wanneer we een vergelijkbare dreigingsanalyse toepassen op een (fictief) IT systeem 1, dan komen we tot een mogelijke implementatie van onderstaande beveiligingsmaatregelen. Technologie: Het IT systeem wordt in een ruimte geplaatst die fysiek wordt beveiligd zodat alleen bevoegd personeel de ruimte kan betreden, bv. via een tourniquet, toegangspas en/of via een bewaker. Het IT systeem wordt elektronisch beveiligd door een firewall die zodanig wordt ingesteld dat alleen toegestaan verkeer het IT systeem kan bereiken en mogelijk ongewenst verkeer (al dan niet tijdelijk) kan blokkeren (zoals van systemen die een DDoS aanval uitvoeren). Informatie op het systeem wordt beveiligd zodat alleen bevoegde gebruikers en beheerders toegang kunnen krijgen tot het systeem en toegang wordt beperkt tot informatie die voor het uitvoeren van de werkzaamheden behorende bij hun functie/rol noodzakelijk is (need-to-know). De verschillende systemen en applicaties worden zodanig gekoppeld, dat de gebruiker zoveel mogelijk met slechts één account hoeft aan te loggen en automatisch de vereiste toegangsrechten in die applicaties en tot informatie toegewezen krijgt (single sign-on). Wachtwoorden zijn onderhavig aan wachtwoordbeleidsinstellingen die o.a. lengte, duur en complexiteit van een wachtwoord opleggen. Voordat een gebruiker het systeem kan gebruiken, wordt een login banner getoond waarin is aangegeven dat ongeautoriseerd gebruik strafbaar is en dat activiteiten gemonitord worden. Het systeem wordt voorzien van antimalware applicaties om kwaadaardige software zoals virussen en wormen te voorkomen. Toegang tot Internet sites wordt gereguleerd (URL filtering) en bijlagen in web en mailberichten gefilterd op potentieel gevaarlijke extensies en op grootte. Componenten op het systeem die niet benodigd zijn, worden uitgeschakeld (hardening), om de kans op misbruik daarvan te beperken. Systeem en applicaties worden up-to-date gehouden om bestaande kwetsbaarheden te kunnen opheffen (patch management). Om ongebruikelijke en afwijkende gebeurtenissen te kunnen detecteren en daarvoor een alarm te genereren, wordt alle verkeer gemonitord, bv. met een Intrusion Detectie Systeem (IDS), worden gebruikersactiviteiten gelogd en worden auditrapportages daarvan beschikbaar gesteld. Het systeem kan op afstand worden gemonitord op fouten en prestaties, op onveilige configuraties, op lekkage van gevoelige bedrijfsinformatie (datalekkage) en op ongeautoriseerde wijzigingen van configuraties van het systeem en er kan bij afwijkingen een alarm worden gegenereerd. Voldoende reserve onderdelen zijn voorradig om de dienstverlening bij een storing te kunnen vervolgen of in ieder geval zo snel mogelijk voort te kunnen zetten. Systemen worden meervoudig uitgevoerd (redundantie/fouttolerantie) en voorzien van voldoende 1 Het hier geschetste voorbeeld is puur hypothetisch en stelt geen bestaand ontwerp voor. Het doel hiervan is niet om een volledig beeld te schetsen van alle mogelijke beveiligingsmaatregelen in een IT systeem, maar om een idee te geven waarom bepaalde beveiligingsmaatregelen worden ingezet, aan welke dreigingscategorieën ze weerstand bieden, en hoe dit zich verhoudt tot vergelijkbare maatregelen in een dreigingsscenario dat ons meer vertrouwd is. 5

6 capaciteit om storingen en aanvallen op de beschikbaarheid (DDoS) te kunnen weerstaan. Om te voorkomen dat zowel het systeem als de backups worden getroffen door hetzelfde incident, worden backups bewaard op een andere locatie en wordt op die locatie een beperkte IT dienst opgezet om operationeel te kunnen blijven (disaster recovery) na een calamiteit. Vertrouwde interne of publieke certificaten (PKI) kunnen worden gebruikt om berichten die met het systeem kunnen worden verstuurd, te tekenen (signing) met een certificaat dat alleen aan geauthentiseerde gebruikers is toegekend, om vertrouwensrelaties met diensten en applicaties op te kunnen zetten en om gevoelige informatie zoals authenticatie informatie te kunnen vercijferen. Opslag van gevoelige data (bv. credit card informatie) of gevoelige apparatuur (laptop) kan zijn versleuteld zodat gevoelige data, zelfs bij diefstal of verlies, niet beschikbaar is voor onbevoegden. Processen en mensen: Vertrouwen in personeel wordt gecontroleerd door regelmatig hun verleden na te trekken (screening) en personeel moet verplicht een geheimhoudingsverklaring tekenen zodat gevoelige bedrijfsinformatie zoals de inrichting van de IT infrastructuur intern blijft. Ontdekte kwetsbaarheden van systemen worden zo snel mogelijk beoordeeld en opgelost (vulnerability assessment). De beheerorganisatie wordt ingericht zodat bij een veiligheidsincident zo snel en adequaat mogelijk kan worden opgetreden (incident response). Personeel wordt beveiligingsbewustzijn bijgebracht zodat het bij een vermeend beveiligingsincident adequaat weet te reageren en alert is op onregelmatigheden in zijn nabije omgeving zoals pogingen om informatie zoals wachtwoorden te ontfutselen (social engineering) (proces en mensen). Toegang tot beschikbaarheid via de disaster recovery locatie wordt regelmatig getest, evenals de beschikbaarheid en integriteit van backups en controle op naleving van regelgeving (compliance), waarin opgenomen een disclaimer voor uitsluiting van schade wegens onvoorziene omstandigheden (calamiteiten). Het achterwege laten of onvoldoende uitvoeren van een of meerdere genoemde beveiligingsmaatregelen kan o.a. leiden tot inbraak in het systeem (bv. door misbruik van niet gerepareerde kwetsbaarheden), toegang tot geheime en gevoelige bedrijfsgegevens (bv. door een onveilige configuratie of onbewuste fout), introductie van kwaadaardige software of volledige onbeschikbaarheid van het systeem. De tabel in appendix B geeft voorbeelden weer van dreigingen in de diverse dreigingscategorieën voor de als voorbeeld genoemde beveiliging van woning en IT systeem. De tabel in Appendix C herschikt de genoemde beveiligingsmaatregelen uit appendix A voor de beveiliging van een woning en die van beveiliging van een IT systeem tegen de set van categorieën van beveiligingsmaatregelen uit appendix A en vergelijkt deze met elkaar. Deze vergelijking van twee op het oog zeer verschillende scenario s met een vergelijkbaar dreigingsprofiel en een vergelijkbare set van maatregelen, helpt ons mogelijk om op een meer praktische manier tegen informatiebeveiliging aan te kijken door de beveiliging van onze informatiesystemen op een vergelijkbare manier te benaderen als dat we dat doen met onze eigendommen. 6

7 Conclusie In dit artikel is een vergelijking gemaakt tussen het beveiligingsdomein van een IT systeem en een situatie die we van nature kennen en begrijpen, die van beveiliging van een woning tegen inbraak. Hierbij is sprake van de volgende rolverdeling tussen beide voorbeelden. Beveiliging woning Eigenaar Woning Inboedel Buren en omwonenden Familieleden Beveiliging IT systeem Chief Information Security Officer (CISO) IT systeem Data (informatie) en apparatuur (assets) Gebruikers Beheerders We hebben gezien dat beide scenario s een in grote lijnen vergelijkbaar dreigingsprofiel hebben en dat (in grote lijnen) vergelijkbare beveiligingsmaatregelen van toepassing zijn. Toch benaderen we de beveiliging van een woning en inboedel op een natuurlijke, betrokken manier (commitment based), terwijl we ons zo min mogelijk lijken te bekommeren om beveiligingsmaatregelen voor informatiesystemen, tenzij deze door de organisatie of van buitenaf worden opgedrongen (compliance based). Zo scherp en precies als we zijn voor de beveiliging van onze woning als we bijvoorbeeld op vakantie gaan, zo slordig springen we nog altijd om met het adequaat toepassen van beveiligingsmaatregelen in IT systemen. In de praktijk worden helaas veel noodzakelijke beveiligingsmaatregelen dan ook niet of onvoldoende uitgevoerd zoals: 1. Kwetsbaarheden in software worden niet of niet tijdig gerepareerd; 2. wachtwoorden kunnen eenvoudig worden achterhaald; 3. beveiligingsconfiguraties worden niet geverifieerd; 4. er wordt te weinig rekening gehouden met noodscenario s waardoor o.a. backups niet beschikbaar zijn als ze nodig zijn; 5. men schaft, kennelijk in de hoop op deze manier risico s af te kunnen kopen, juist (dure) beveiligingsproducten aan zonder deze adequaat in te richten. Wanneer we dezelfde onzorgvuldigheid zouden uitvoeren bij de beveiliging van onze woning en inboedel, dan zouden we respectievelijk de volgende tekortkomingen constateren: 1. De woning is voorzien van matig hang- en sluitwerk dat gemakkelijk open te breken is; 2. we weten niet wie allemaal in bezit is van de code van het alarmsysteem en diverse sleutels van het pand (mogelijk met adreslabel) zijn zoekgeraakt of mogelijk gestolen; 3. hang en sluitwerk wordt niet nagekeken, de werking van het alarmsysteem wordt niet getest en er wordt onvoldoende gecontroleerd of ramen en deuren zijn gesloten. 4. er wordt niet of onvoldoende gerealiseerd en gehandeld naar de gevolgen van volledig verlies van woning en inboedel (waaronder verlies van gevoelige administratie en spullen met emotionele waarde zoals foto s erfstukken en sieraden); 5. een alarmsysteem wordt aangeschaft maar in de default configuratie geïnstalleerd en niet of niet voldoende gecontroleerd op juiste werking. De vraag is gerechtvaardigd of we met deze onvolkomenheden, waaronder de mogelijkheid van open laten staan van deuren of ramen, nog wel met een gerust hart op vakantie zouden gaan 7

8 Naast deze zaken spelen in deze vergelijking bovendien nog een aantal zaken mee die nadelig uitvallen voor informatiebeveiliging, en die ons eigenlijk zou moeten dwingen om nog kritischer naar de beveiliging van onze informatiesystemen te kijken: De pakkans van een aanvaller in het voorbeeld van de beveiliging van een woning is groter dan die van een hacker in een informatiesysteem die zich veelal anoniem kan voordoen en bovendien op afstand, vanuit elke uithoek van de wereld en mogelijk via computers van nietsvermoedende gebruikers, zijn schadelijke werk kan uitvoeren. De reputatieschade bij een inbraak in informatiesystemen is doorgaans veel groter dan die bij een woninginbraak, zeker bij bekende organisaties en indien er klantgegevens op straat komen te liggen. Het kan zelfs leiden tot faillissementen (DigiNotar 2011). Inbraken in informatiesystemen worden lang niet altijd onmiddellijk gedetecteerd, waardoor een hacker soms langdurig zijn schadelijke acties kan uitvoeren zonder dat dat wordt opgemerkt (DigiNotar 2011). Inbraak in een informatiesysteem kan zeer nadelige gevolgen hebben voor de dienstverlening van de getroffen organisatie. Wanneer we informatiebeveiliging willen verbeteren, zullen we tenminste meer betrokkenheid moeten tonen bij de toepassing van beveiligingsmaatregelen in IT systemen. Het voorgaande maakt duidelijk dat hier nog wel de nodige stappen gemaakt moeten worden. Aanbevelingen Nu we beter kunnen begrijpen waarom beveiligingsmaatregelen noodzakelijk zijn, is de volgende stap te leren om beveiligingsmaatregelen maatregelen als vanzelfsprekend toe te passen in ITprojecten: Voor architecten, om noodzakelijke security requirements en functionaliteiten al vanaf het begin van het project mee te nemen; Voor ontwikkelaars, om bij het ontwikkelproject bewust te zijn van noodzakelijk te implementeren beveiligingsmaatregelen en benodigde beveiligingsfunctionaliteiten, zoals authenticatie, autorisatie, logging en beschikbaarheidsbeheer, zoveel mogelijk te laten aansluiten bij de standaarden die daarvoor in een organisatie geldend zijn, of het gebruik van (open) standaarden indien er nog geen standaard is gedefinieerd. Voor beheerders: om bewust te zijn waarom beveiligingsmaatregelen noodzakelijk zijn, om toegepaste beveiligingsmaatregelen consistent te gebruiken, om kwetsbaarheid van systemen te beperken, om uit de beschikbare tooling echte beveiligingsincidenten te kunnen distilleren, en om een adequaat reactie mechanisme in te richten om de gevolgen als het mis gaat zoveel mogelijk te beperken. Voor informatiebeveiligers om te zorgen voor een integraal, consistent en proportioneel beveiligingsbeleid (niet te teveel op het ene gebied en niet te weinig op een ander gebied). Voor gebruikers, om te snappen waarom beveiligingsmaatregelen noodzakelijk zijn en te accepteren dat dit soms ten koste kan gaan van functionaliteit en gebruikersvriendelijkheid en om bewustzijn te vergroten, zodat mogelijke beveiligingsincidenten kunnen worden opgemerkt en daarop alert kan worden gereageerd. Voor opdrachtgevers, leren accepteren dat het implementeren van beveiligingsmaatregelen een onlosmakelijk geheel vormt met IT projecten en dat implementatie van beveiligingsfunctionaliteiten tijd, geld en moeite kost. 8

9 Appendix A ID Categorie dreiging Beschrijving D1. Zich voordoen als iemand anders Deze dreiging omvat: Zich voordoen als een ander persoon door insiders; Zich voordoen als een ander persoon door buitenstaanders; Ongeautoriseerde toegang tot informatie. D2. Onrechtmatig gebruik Misbruik van resources en informatie door geautoriseerde personen. D3. Introductie van schadelijke componenten D4. Misbruik van communicatie kanalen Introductie van schadelijke of verstorende software en invoegen van kwaadaardige programmatuur. Interceptie, Infiltratie, manipulatie of verstoring van communicatie. D5. Weerlegbaarheid Ontkenning van sturen of ontvangen van informatie. D6. Falen van systeem of Storingen of falen van een systeem of componenten in een systeem. componenten D7. Onbewuste of Onbewuste gebruikers-, of onderhoudsfouten. onopzettelijke fouten D8. Omgevingsdreigingen Schade door brand, waterschade of natuurrampen. D9. Diefstal, verlies of vernietiging Opzettelijk verlies van apparatuur of componenten. ID Categorie maatregel Beschrijving M1. Identificatie Identificatie is het bepalen van de identiteit van personen en (soms) apparatuur en componenten. M2. Authenticatie Authenticatie is het verifiëren van de geclaimde identiteit. M3. Autorisatie Autorisatie betreft het toegang verlenen tot ruimtes, apparatuur, informatiesystemen en informatie aan personen die daartoe gerechtigd zijn en het voorkomen van toegang voor niet-gerechtigden. M4. Integriteit Het doel van integriteit is het identificeren van integriteitsfouten (inbreuk op ongewijzigde of ongeschonden toestand) die vervolgens, indien nodig, kunnen worden gecorrigeerd voordat deze tot incidenten en verdere schade kunnen leiden. M5. Beschikbaarheid Beschikbaarheidsmaatregelen bewaken of prestaties nog voldoen aan beschikbaarheidseisen en of componenten nog voldoende functioneren door te zorgen voor een hoge beschikbaarheid van componenten en dat indien onverhoopt toch een verstoring optreedt, de verstoring afdoende kan worden hersteld. M6. Scanning Het doel van scanning is proactief te zoeken naar kwaadaardige componenten en kwetsbaarheden, teneinde deze in een vroeg stadium te ontdekken en deze zo mogelijk op te lossen. M7. Logging Het doel van logging is het vastleggen van gegevens over uitgevoerde activiteiten teneinde (on)geautoriseerde activiteiten te kunnen ontdekken en het genereren van een alarm als er zich een vooraf gedefinieerde gebeurtenis voordoet. M8. Afscherming Het doel van afscherming is het bieden van beschermende maatregelen om informatie, apparatuur en componenten af te schermen van de buitenwereld. M9. Fysiek Fysieke beveiliging bevat maatregelen voor beveiliging van de fysieke toegang van personen, informatie, apparatuur en componenten en bescherming tegen opzettelijk of door toeval veroorzaakt fysiek onheil. M10. Training Het overdragen van kennis om de mogelijkheid van onopzettelijke fouten te verminderen en veiligheidsbewustzijn te vergroten. 9

10 Appendix B Dreiging categorie Voorbeelden dreigingen woning Voorbeelden dreigingen IT systeem Zich voordoen als iemand anders Toegang tot pand door onbevoegden; Ongeautoriseerde toegang tot gevoelige ruimtes en documenten door buren. Onrechtmatig gebruik Inkijken gevoelige informatie; Gebruik maken van apparatuur; Gebruikmaken van ruimte voor feesten. Introductie van schadelijke componenten Misbruik van communicatie kanalen Dreigingen van binnenuit; Post hengelen via brievenbus. Ontduiken detectie; Onklaar maken; detectieapparatuur (bv. afplakken, sabotage). Weerlegbaarheid Ontkenning doorzoeken gevoelige informatie; Ontkenning gebruik van ruimte en aanwezige apparatuur. Falen van systeem of componenten Onbewuste of onopzettelijke fouten Falen alarmsysteem; Falen camera s; Falen hang en sluitwerk; Afgebroken sleutels. Omgevingsdreigingen Brand; Water; Natuurramp. Diefstal, verlies of vernietiging Alarmsysteem verkeerd geconfigureerd of vergeten weer in te schakelen; Deur niet op slot gedaan; Sleutel verloren; Sleutel aan de verkeerde persoon meegegeven. Diefstal van gevoelige documenten; Diefstal van waardevolle spullen; Diefstal laptop of tablet; Vernietiging van camera of alarmsysteem. Gebruik ander user account door interne gebruiker; Gebruik van bestaand account door buitenstaander; Raden, uitproberen, afluisteren of anderszins achterhalen van wachtwoorden; Ongeautoriseerde toegang tot financiële gegevens. Gebruik van bedrijfssystemen voor privé gebruik (bv. gaming); Downloaden van niet-werk gerelateerde content van Internet; Installatie van niet-bedrijfs gerelateerde software; Data lekkage (Snowden, Manning). Virussen; trojan horses; worms; logic bombs; hostile mobile code; virussen; kwaadaardige Java en ActiveX componenten. Hacken van systemen zoals buffer overflow aanvallen; Opzettelijke Denial of Service; Spamming; Heimelijk monitoren van verkeersstromen; Actieve interceptie (Man in the Middle); Opzettelijke misroutering. Ontkenning dat een bericht door iemand is verstuurd; Ontkenning dat een bericht door iemand is ontvangen. Falen van CPU, netwerk interface of andere hardware; Schijf crashes en falen van schijven; Falen van netwerkapparatuur; Bugs in software, corrupte bestanden. Per ongeluk verwijderen bestanden; Account lockout door invoeren teveel onjuiste wachtwoorden; Mislukte software update; Sturen van gevoelige mail naar de verkeerde persoon. Brand; Water; Natuurramp. Diefstal bedrijfslaptop; Verlies van USB stick met gevoelige informatie; Vernietiging van server door ontstemde medewerker. 10

11 Appendix C Dreiging categorie Zich voordoen als iemand anders Onrechtmatig gebruik Introductie van schadelijke componenten Toegepaste maatregel Beveiliging woning Sleutel en juiste code alarmsysteem alleen aan vertrouwde personen (buren en familieleden) Alleen toegang tot pand met juiste sleutel en juiste code alarmsysteem Solide bouw, deugdelijk hang en sluitwerk Vergelijkbare maatregel Beveiliging IT systeem Categorie maatregel Type Maatregel Screening personeel Identificatie Preventie Alleen toegang tot systeem met Authenticatie Preventie geldig account en juiste wachtwoord. Fysiek beveiligde ruimte Fysiek Preventie Afsluiten ramen en deuren Firewall Afscherming Preventie Alarmsysteem IDS Scanning Detectie Alarmsysteem bellen IDS genereren alarm Scanning Repressie telefoonnummers Codeslot alarm op afgeschermde Wachtwoordbeleid Authenticatie Preventie plek, andere code voor buren Camera s IDS, logging gebruikersactiviteiten Scanning Detectie Camera s met kijkfunctie op afstand Monitoring op afstand Scanning Repressie Archivering camerabeelden Logging, auditrapportages Logging Detectie Bewoonde inrichting, automatische Compliance Beschikbaarheid Preventie verlichting, buren opbergen post en planten water geven Informeren buren over afwezigheid, Creëren awareness personeel Scanning Detectie oogje in het zeil houden Voorkomen bekend stellen afwezigheid via sociale media Geheimhoudingsverklaring Beschikbaarheid Preventie Multi-zone alarm: toegang tot meerdere zones met een code Single-sign-on Authenticatie Preventie Multi-zone alarm: alleen toegang tot Toepassen need-to-know Autorisatie Preventie gevoelige ruimtes met juiste sleutel en code alarmsysteem door familieleden Melding beveiligde woning Login banner Authenticatie Repressie Instructies buren Gedragscode, URL filtering Scanning Preventie Camera s IDS, logging gebruikersactiviteiten Scanning Detectie Camera s met kijkfunctie op afstand Monitoring op afstand Scanning Repressie Archivering camerabeelden Logging, auditrapportages Logging Detectie Verzegeling Fout en performance monitoring Integriteit Detectie Solide bouw, deugdelijk hang en Firewall Afscherming Preventie sluitwerk Controleren ondeugdelijk hang en Vulnerability assessment Scanning Preventie sluitwerk Buurt actie ondernemen bij onraad Incident response Scanning Repressie Vervanging ondeugdelijk hang en Patch management Scanning Preventie sluitwerk Afsluiten ramen en deuren, incl. Hardening Afscherming Preventie kleine ramen Camera s, bewegingsmelders Antimalware, IDS Scanning Detectie Archivering camerabeelden IDS, logging gebruikersactiviteiten Logging Detectie Opbergen post door buren URL filtering, blokkeren van Scanning Preventie (voorkomen post hengelen via brievenbus) potentieel gevaarlijke bijlagen Misbruik van Camera s met overlappend bereik Redundantie/fouttolerantie Scanning Detectie 11

12 communicatie Sabotagealarm Signing Integriteit Detectie kanalen Codeslot alarm op afgeschermde plek Vercijfering authenticatiegegevens Integriteit Detectie Weerlegbaarheid Verzegeling Signing Integriteit Detectie Falen van systeem of componenten Onbewuste of onopzettelijke fouten Omgevingsdreigingen Diefstal, verlies of vernietiging. Archivering camerabeelden Logging, auditrapportages Logging Detectie Solide bouw, deugdelijk hang en Fout en performance monitoring, Beschikbaarheid Preventie sluitwerk reserveonderdelen Camera s met overlappend bereik Duidelijke instructies activeren alarmsysteem Redundantie/fouttolerantie, backup en Disaster Recovery Training personeel, fout en performance monitoring Beschikbaarheid Beschikbaarheid Correctie Preventie Brandalarm en brandverzekering Disclaimer calamiteiten Beschikbaarheid Repressie Waardevolle bezittingen, documenten en apparatuur op andere locatie Fysieke beveiliging pand, afsluiten ramen en deuren Waardevolle bezittingen en documenten in kluis Waardevolle bezittingen, documenten en apparatuur op andere locatie Backup en Disaster Recovery Beschikbaarheid Repressie Fysiek beveiligde ruimte Fysiek Preventie Harde schijf versleuteling, vercijferde Afscherming Preventie USB opslag apparatuur. Backup en Disaster Recovery Beschikbaarheid Repressie Inboedelverzekering Reserveonderdelen Beschikbaarheid Repressie 12