Risicomanagement en informatiebeveiliging

Transcriptie

1 PART 13-B Risicomanagement en informatiebeveiliging Dit rapport heeft 65 pagina s CC/sk/rn

2 Inhoudsopgave 1 Inleiding 2 2 Begrippen in risicomanagement en informatiebeveiliging 4 3 In beeld brengen van risico s Dreigingenanalyse Gevolgenanalyse 20 4 Maatregelen 28 5 Analyse van risico s en A&K Inleiding Voorbeeld van een kwantitatieve risicoanalyse Voorbeeld van een A&Kanalyse 43 6 Besluitvorming Inleiding De strategieën Het kiezen door het management 58 7 Een toepassing 63 1

3 1 Inleiding Risicomanagement en informatiebeveiliging zijn twee begrippen die nauw met elkaar zijn verbonden. Bovendien zijn de begrippen samengesteld uit woorden die apart ook een betekenis hebben. Risico, management, informatie en beveiliging. In de praktijk worden deze woorden veelvuldig gebruikt in verschillende verbanden en betekenissen. Hierdoor is een begripsbepaling noodzakelijk. De doelstelling van deze module in de postdoctorale EDP Audit Opleiding is naast het bijbrengen van kennis en vaardigheden, een introductie in de wijze waarop met risico s kan worden omgegaan. Risico s worden sterk bepaald door de actuele omstandigheden waarin een organisatie zich bevindt. Bovendien spelen subjectieve oordelen een belangrijke rol waardoor het toepassen van opgedane kennis vooral aan zal komen op het herkennen van mogelijkheden bepaalde methodes toe te passen. Wat is er bijzonder aan informatiebeveiliging? Wat zijn de verschillen met het beveiligen van andere bedrijfsmiddelen, bedrijfsprocessen of de mensen die daarbij actief zijn? In 1994 werd een symposium gehouden over de evolutie van informatiebeveiliging. 1 Deze evolutie werd vooral gezien vanuit het vak EDP-auditing. Dit vak is nauw verbonden met de apparatuur en programmatuur waarmee in organisaties wordt gewerkt. De controlerende taak van de accountant heeft zich door het toenemende gebruik van informatietechnologie (Electronic Data Processing) uitgebreid naar de werking van de hulpmiddelen. Informatietechnologie zit tegenwoordig overal in, zowel in dingen als in activiteiten. Information Risk Management is een nieuwe term die in de Angelsaksische landen voor de inmiddels uitgebreide taken van de EDP-auditor wordt gebruikt. De risico's die horen bij de toepassing van informatietechnologie vereisen meer aandacht en een breder beheer van de mensen, middelen en procedures waarvan gebruik wordt gemaakt. In deze module wordt achtereenvolgens ingegaan op de volgende onderwerpen: Hoofdstuk 2: Begrippen rond risicomanagement en informatiebeveiliging, waar gaat het om? Hoofdstuk 3: Risico s, wat is dat en hoe kunnen ze in beeld worden gebracht? Hoofdstuk 4: Maatregelen, waar zijn die op gericht, hoe kunnen die worden ingevoerd en actueel gehouden? Hoofdstuk 5: Analyse van risico s en A&K; Hoofdstuk 6: Besluitvorming, als er inzicht is in de risico s en de maatregelen wat doen we daar dan mee? Hoofdstuk 7: Een toepassing. 1 Prof.dr.ir. R. Paans RE redacteur: Beveiliging in beweging, evolutie in informatiebeveiliging: het toenemend belang van EDP-auditing. Samson 1995 ISBN

4 In deze module zal worden toegelicht hoe op een methodische wijze een risicoanalyse kan worden uitgevoerd. De elementen die daarvoor noodzakelijk zijn worden besproken waarbij tevens wordt ingegaan op de wijze waarop de benodigde gegevens kunnen worden verzameld. De ervaringen die zijn opgedaan bij de analyse van risico's in de praktijk zullen aan de orde worden gesteld. Tevens zullen de deelnemers tijdens de opleiding worden uitgedaagd zelf oplossingen aan te dragen voor verschillende vragen en situaties. Tijdens de opleiding zullen de voorbeelden vooral uit de sfeer van de informatietechnologie komen. Dat de methode ook voor andere situaties en onderwerpen kan gelden zal daarbij vanzelf blijken. De essentie van de methode is het tonen van de onderlinge relaties van de grootheden die risico's vormen. 3

5 2 Begrippen in risicomanagement en informatiebeveiliging Beveiligen Beveiligen is traditioneel gericht op het beschermen van waarden. Door het treffen van maatregelen worden mensen en middelen beschermd waardoor de organisatie ongestoord kan functioneren. Om dat goed te kunnen doen moet bekend zijn welke waarden bescherming verdienen en hoever je daarmee wilt gaan. Aan beveiliging hangt een prijskaartje en het vinden van argumenten om de prijs te bepalen is dan ook een onderdeel van risicomanagement. Het gaat dus om inzicht en vervolgens het doen van keuzen. Deze keuzen zijn niet altijd eenvoudig te maken omdat de relaties tussen kosten en opbrengst niet steeds eenduidig is. Brandblussers tegen brand en sloten tegen inbrekers, zijn maatregelen die makkelijk kunnen worden overzien. Maar hoe beveilig je de organisatie tegen de gevolgen van computeruitval, fraude, hackers en ander ongemak dat is verbonden aan het gebruik van informatietechnologie? En dan zijn er nog vele andere risico's waarmee modern management wordt geconfronteerd. Risicomanagement Risicomanagement is het vak dat zich bezig houdt met de methoden die nodig zijn om het vereiste inzicht te verkrijgen en de juiste beslissingen te nemen rond vragen van beveiliging. Een aardige definitie is die van Bernstein: The essence of risk management lies in maximizing the area s where we have some control over the outcome while minimizing the areas where we have absolutely no control over the outcome and the linkage between effect and cause is hidden for us. 2 Centraal staat bij risicomanagement de strategische vraag naar de doelen en prioriteiten in de beveiliging. Als de strategie duidelijk is kan aan de operationele uitwerking, het treffen en in stand houden van maatregelen, worden gedacht. De ervaring leert dat er niet één algemeen geldende oplossing is voor de vraag hoe de beveiliging van de organisatie moet worden opgezet. Steeds zal voor het individuele geval moeten worden bepaald wat de optimale mix van maatregelen is voor de beveiliging van mensen en middelen. Daarvoor is inzicht nodig in de risico s en de mogelijke maatregelen om die risico s te beperken. Risicomanagement omvat alle activiteiten die betrekking hebben op de risico's die een organisatie loopt. Tot die activiteiten behoren: verkrijgen van inzicht in de risico's, vaststellen doelen, beleid, strategie met betrekking tot het beperken van deze risico s; realiseren maatregelen; 2 Peter L. Bernstein, Against the Gods, The remarkable story of risk, John Wiley&Sons, Inc

6 toezicht houden op status van de maatregelen door controle; actueel houden en bijsturen van inzicht, beleid en maatregelen. Informatiebeveiliging De essentie van informatiebeveiliging is het treffen van maatregelen waardoor de: beschikbaarheid van, betrouwbaarheid van, vertrouwelijke omgang met hardware, software en gegevens, voldoet aan de gestelde eisen. De beschikbaarheid van informatie, die wij vanzelfsprekend vinden, is afhankelijk van de beschikbaarheid van de elementen van de informatietechnologie. Deze elementen zijn apparatuur (hardware), programmatuur (software) en de gegevens waarmee de informatie tot stand komt. Informatiebeveiliging richt zich op deze elementen maar beperkt zich niet tot maatregelen om de beschikbaarheid te garanderen alleen. De informatie zal betrouwbaar moeten zijn, dat wil zeggen we moeten kunnen vertrouwen op de feitelijke juistheid ervan. Verkeerde informatie zet ons op het verkeerde been en leidt tot verkeerde beslissingen en misverstanden. Dat moet worden voorkomen. Een derde aspect van informatiebeveiliging is de vertrouwelijkheid. Door de technologie is het mogelijk veel gegevens op te slaan, te transporteren en bereikbaar te maken. Daarbij moet worden tegengegaan dat informatie in verkeerde (niet bedoelde) handen terechtkomt. Informatietechnologie wordt gebruikt om de bedrijfsactiviteiten te ondersteunen. Het zijn de bedrijfsactiviteiten die het rendement van de organisatie moeten opleveren. De faciliteiten die door de informatietechnologie worden geboden en de mensen die ermee werken, moeten dus voortdurend voldoen aan de gestelde eisen. Niet-beschikbare apparatuur, programmatuur of gegevens leiden tot vertragingen waardoor afgesproken termijnen niet worden gehaald. Niet-betrouwbare informatie leidt tot "vragen" van de afnemer. Mogelijk leidt het ertoe dat de klant van verdere contacten maar helemaal afziet. Onbetrouwbaarheid is geen goede basis voor een langdurige relatie. Hetzelfde geldt voor het derde element van informatiebeveiliging: de vertrouwelijkheid waarmee de organisatie omgaat met de gegevens van en over derden. Inbreuken daarop leiden tot een slecht "beeld" van de organisatie en tast de geloofwaardigheid snel aan. Volop redenen dus om inzicht te willen hebben in de mogelijke risico's van het gebruik van informatietechnologie. Op grond van dat inzicht kunnen dan strategieën worden ontworpen om de risico's, die niet acceptabel worden geacht, te verminderen. 5

7 In de Code voor informatiebeveiliging 3 wordt op verschillende plaatsen aangegeven dat risicoanalyse moet worden uitgevoerd om tot de keuze van beveiligingsmaatregelen te komen. De Code is opgezet door het bedrijfsleven als een gemeenschappelijke standaard en naslagwerk voor de beveiliging van het gegevensverkeer tussen bedrijven en voor het leveren of verwerven van IT-diensten en IT-producten. De Code is in 1993 ontstaan in Groot Brittannië en heeft daar inmiddels de status van standaard: BS7799. De Nederlandse Code voor Informatiebeveiliging is een vertaling van de Britse standaard BS 7799 Part 1: 1999 en ISO 17799:2000. Het eerste deel bestaat uit een overzicht van mogelijke maatregelen gegroepeerd naar tien onderwerpen. Het tweede deel beschrijft een proces dat kan worden gebruikt voor het selecteren en invoeren van maatregelen in een concrete situatie. De Code bevat een opsomming van beveiligingsmaatregelen verdeeld over 10 hoofdstukken: 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmiddelen 4. Beveiligingseisen ten aanzien van personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van Communicatie -en bedieningsprocessen 7. Toegangsbeveiliging 8. Ontwikkeling en onderhoud van systemen 9. Continuïteitsmanagement 10. Naleving Omdat de Code in de praktijk is ontstaan, mag worden verondersteld dat het een maatstaf is voor een minimale beveiliging die business partners van elkaar vragen. Het karakter van de Code wordt steeds meer die van een praktijkstandaard. Minder beveiliging dan door de Code wordt aangegeven zal in het maatschappelijke verkeer niet meer worden geaccepteerd. Waar dat vereist wordt door het belang van de ondersteunde processen, zullen echter meer en scherpere eisen worden gesteld aan de beveiliging van informatie en de verwerking daarvan. Afhankelijkheid Iedere organisatie is afhankelijk van de beschikbaarheid en de betrouwbare werking van de informatietechnologie. Zowel de continuïteit als de geloofwaardigheid van de organisatie zijn in het geding zodra de informatietechnologie het laat afweten. Dat kan gebeuren als gevolg van vele oorzaken. Op zichzelf zijn deze oorzaken niet van belang. Het gaat om de effecten die daarvan het gevolg kunnen zijn. 3 Code voor Informatiebeveiliging Nederlands Normalisatie Instituut

8 Dat er alle reden is om de zwakke punten in het gebruik van de informatietechnologie goed in het oog te houden komt tot uitdrukking in de ondertitel van een verhaal over operational risk management 4 : All the sophisticated market and credit risk measurement systems in the world will not shield banks from potentially disastrous losses brought about by IT deficiencies or poor internal controls. In het kader van Bazel 2 wordt door banken nagedacht over de manier waarop operationele risico s kunnen worden vastgesteld. Op termijn zullen banken verplicht zijn op grond van de hoogte van dergelijke risico s een reservering aan te houden. Tijdens een toespraak (15 maart 1996) voor de Rotterdam School of Management vergeleek de toenmalige President van Philips, Jan Timmer, het belang van chips in onze maatschappij met die van olie in de jaren 70. Het verschil is natuurlijk dat de afhankelijkheid van de vele in apparatuur ingebouwde chips minder zichtbaar is. Toch gaat het bij chips om combinaties van hardware, software en gegevens die alleen onder bepaalde condities correct werken. Alle dreigingen die de condities nadelig beïnvloeden (zoals stroomstoringen) kunnen een risico opleveren. Volgens Gene Kim 5 blijkt uit Amerikaans onderzoek dat de uitval van informatievoorziening in bedrijven gedurende twee uur oploopt tot meer dan een miljoen euro voor bedrijfskritische systemen. Uit een internationaal onderzoek van KPMG IRM blijkt in 2002 het aantal werkdagen dat bedrijven gemiddeld verloren bij het optreden van de Top-drie bedreigingen. Ook de gemiddelde schades blijken uit dit onderzoek: Topdrie dreigingen en gemiddeld aantal verloren dagen Gemiddeld schade bedrag 1 Website intrusion (hackers) 2 Falen kritische systemen 3 Virussen k US$ 155k US$ 162k US$ Risicoanalyse Het analyseren van de gevolgen van bedreigingen, waaraan een organisatie of een gedeelte daarvan blootstaat. Deze gevolgen kunnen worden uitgedrukt in financiële schadeverwachtingen. 4 Paul Penrose Everything else besides, banking technology april In Beveiliging, vaktijdschrift voor integrale veiligheidszorg augustus

9 Het analyseren van risico's is een bezigheid die van nogal wat moeilijke begrippen gebruik maakt. Het moeilijke zit daarbij vaak in het feit dat termen in het dagelijks leven worden gebruikt. Voor een beschrijving van een methode voor risicoanalyse wordt verwezen naar: Risicoanalyse als onderdeel van de Risk Control Method (RCM), een methode voor risicomanagement. 6 Veel van wat in hoofdstuk 3 en 4 wordt beschreven is gebaseerd op dit artikel. Risicoanalyse levert het inzicht dat nodig is om de beveiliging van de informatietechnologie te integreren in het risicomanagement van de organisatie. A&Kanalyse De afhankelijkheid & kwetsbaarheidsanalyse is een methode die in het Voorschrift Informatiebeveiliging Rijksdienst (VIR) wordt aangeraden voor het analyseren van risico s. 7 Risico Volgens de dikke Van Dale, is een risico een kwade kans. Het gaat dus om een mogelijke gebeurtenis die bovendien negatief wordt opgevat. Met andere woorden: alleen bij negatieve uitkomsten van de gebeurtenis wordt van een risico gesproken. In de literatuur wordt ook wel gesproken van zuivere (of statische) risico's om aan te geven dat de uitkomsten van de bedreiging altijd negatief zijn. Indien de uitkomsten ook positief kunnen zijn, wordt gesproken van speculatieve (of dynamische) risico's. 8 Dit onderscheid wordt met name gebruikt om de verzekerbaarheid van risico s te kunnen bepalen. Opvallend is dan ook dat in de verhalen waar dit onderscheid wordt gemaakt, vaak met het begrip schade oorzaak wordt gewerkt. Dat geeft een directe verwijzing naar de verzelkeringsvoorwaarden. Door de toenemende complexiteit van de maatschappij wordt het evenwel steeds moeilijker een scherpe scheiding aan te brengen tussen zuivere en speculatieve risico s. Een voorbeeld hiervan wordt geleverd in een recent artikel 9. Speculatieve risico s zouden volgens een voorbeeld in dit verhaal door ons zelf worden opgeroepen door de beslissing een nieuw informatiesysteem aan te schaffen. Achteraf blijken de doelen niet te worden gehaald en het systeem wordt weer vervangen. Steeds is zorgvuldig gewerkt en is aan alles gedacht. Toch loopt het mis en verslechterd de situatie. De kosten die met dit hele gebeuren samenhangen, vormen een belangrijke verliespost en zijn het gevolg van een beslissingsfout. Van een zuiver risico is sprake wanneer het risico bestaat uit een omstandigheid die we niet 6 Cees Coumou in: Handboek Informatiebeveiliging, A.I.V. Control, juni Voorschrift Informatiebeveiliging Rijksdienst, Ministerie van Binnenlandse Zaken, P.F. Claes en H.J.J.M. Meerman, Risk management inleiding tot het risicobeheersproces Stenfert Kroese P.F. Claes Benaderingen bij risicoanalyse, in Informatiebeveiligingjaarboek 1999/2000, TenHage&Stam 8

10 wensen en ook niet altijd in de hand hebben. De vraag of in dit geval van een speculatief of zuiver risico sprake is, komt neer op de vraag of de beslissingsfout in kwestie betrekking heeft op iets dat we in de hand hebben of niet. Met andere woorden: als de beslissing (welke eigenlijk? Die om het systeem aan te schaffen? Of die om juist dat systeem aan te schaffen? Of nog een andere die tot het falen heeft geleid?)kan worden herleid tot een door ons zelf opgeroepen risico, dan zou het om een speculatief risico gaan. Het is duidelijk dat een scherpe grens niet is te bepalen in dit geval. Overigens is het onderscheid zuiver/speculatief voor risicomanagement niet van belang. Daar gaat het immers om het inzicht in de risico s en de beslissingen die daar uit voortvloeien. Dat kan verzekeren zijn, maar ook iets anders (zie hoofdstuk 6). De maatschappelijke betekenis van risico's komt met name aan de orde als de overheid beslissingen moet nemen die met onzekere gebeurtenissen te maken hebben. Het keuzeproces dat in die gevallen wordt gevolgd heeft een politieke dimensie die tot uitdrukking komt in elkaar bestrijdende partijen. Daarmee is duidelijk dat risico's in sterke mate een subjectieve grootheid zijn. De individuele beleving van risico's leidt tot een houding en beoordeling van mogelijke gedragsmogelijkheden die van persoon tot persoon sterk kunnen verschillen. In een organisatie waar verschillende partijen (stakeholders) samenwerken, is het van belang duidelijk te zijn over de wijze waarop met risico's wordt omgegaan. Zowel voor het verkrijgen van consensus als voor het onderbouwen van een gekozen richting, kan risicoanalyse helpen "de neuzen in dezelfde richting" te krijgen. Samenvatting Voor het beheersen van risico s is het volgende onderscheid goed toepasbaar: de dreigingen en de kans waarmee die zich kunnen voordoen; de mogelijke gevolgen die kunnen optreden. Analyse van beide grootheden kan leiden tot voorstellen om door middel van preventieve (gericht op de kans van voorkomen) en/of repressieve (gericht op het beperken van schade) maatregelen. De keuze wel of niet maatregelen te treffen is voorbehouden aan de verantwoordelijke voor proces of organisatie. Het gaat er vooral om bewust te acteren: welke risico s accepteren we en welke niet? Welke maatregelen worden er vervolgens getroffen? Pas als dreigingen zich manifesteren zal duidelijk zijn of de juiste maatregelen in voldoende mate zijn getroffen. Dan is er in ieder geval het moment om verantwoording af te leggen omtrent gemaakte keuzes. Fouten maken mag zolang ze verantwoord en betaalbaar zijn Zie ook: Drs. C.J. Coumou en drs J.W.R.Schoemaker, Het managen van ICT-risico s; over de onderhandelbaarheid van risico s en maatregelen, in de Jubileumuitgave 25 jaar Compact (KPMG EDP Auditors en TenHage&Stam). 9

11 3 In beeld brengen van risico s 3.1 Dreigingenanalyse Dreigingen vormen de bron van de kwade kansen die risico's voor de onderneming vormen. Door een analyse van de verschillende dreigingen die relevant worden geacht in een bepaalde situatie, wordt een basis gelegd voor de risicoanalyse. Hoe kunnen relevante dreigingen (of vaak gewoon risico s genoemd) worden herkent? Als iedereen wordt uitgenodigd risico s op te noemen dan ontstaat al gauw een waslijst van gebeurtenissen. Vele daarvan zijn (ongeveer) hetzelfde maar de woordkeuze verschilt, andere lijken meer op de gevolgen van een dreiging (failliet gaan) en weer andere zijn de dreigingen zelf (brand, fouten, misdaad). Er is dus veel voor te zeggen een enigszins gestructureerde manier van risico-identificatie toe te passen. Een voorbeeld kan het volgende schema zijn dat aan iedere bedrijfssituatie kan worden aangepast: Financiële risico s Risico s van het primaire proces Productierisico s Milieurisico s Transportrisico s Risico s van de omgeving Bedrijfstak Distributie Totale bedrijfsrisico Catastrofes Macroeconomie Brand Criminaliteit Algemene risico s Natuur Procesontwerp Operationele risico s Technologie Mensen 10

12 Voor de aan IT gerelateerde bedreigingen wordt uitgegaan van de volgende gebeurtenissen die het gevolg kunnen zijn van het optreden van een bedreiging: het niet beschikbaar zijn van hulpmiddelen (bedrijfsmiddelen); het ongeautoriseerd openbaren van gegevens; het ongeautoriseerd wijzigen van gegevens. Met deze omschrijving wordt een relatie gelegd naar de drie onderwerpen die bij de beveiliging van IT een grote rol spelen: de beschikbaarheid of continuïteit; de privacy of exclusiviteit; de betrouwbaarheid of integriteit. Uit deze definitie blijkt dat het optreden van een bedreiging die niet lijdt tot één van de genoemde gebeurtenissen, feitelijk niet als risico wordt beschouwd en derhalve als bedreiging buiten beschouwing blijft. Met andere woorden, indien het optreden van een bedreiging niet tot een gevolg leidt, wordt de bedreiging in dat geval genegeerd. Omdat bedreigingen niet altijd dezelfde effecten hebben zal eenzelfde bedreiging soms wel en soms niet als risico worden beschouwd. Als voorbeeld kan de lengte van een stroomstoring dienen. Een korte stroomstoring kan zonder gevolgen blijven en als risico buiten een analyse worden gehouden. Een langdurige storing zal echter vrijwel altijd nadelige gevolgen hebben en kan derhalve niet buiten de analyse blijven. De keuze van bedreigingen die in een bepaalde situatie relevant worden geacht voor de analyse, wordt daarom bepaald door de mogelijke gevolgen. De mate waarin de bedreiging tot gevolgen zal leiden, wordt in een later stadium bepaald. Ook blijkt uit de bovengenoemde definitie dat alle geautoriseerde openbaarmaking en wijziging van gegevens worden beschouwd als normaal en acceptabel. Zij zouden daarom dus niet tot risico's leiden. Toch kan hierop kritiek worden geuit. Door onbewuste handelingen (fouten) kunnen negatieve gevolgen ontstaan. De betrokken persoon kan geautoriseerd zijn, maar is dat feitelijk niet voor ongewenste fouten en wat daaruit kan voortkomen. Dit is een reden de verschillende bedreigingen nader te bestuderen. Statistiek De vele componenten waaruit informatiesystemen bestaan, kunnen alle onderwerp zijn van een bedreigende gebeurtenis. Er is sprake van "multiple points of failure". Wat dat betreft is een informatiesysteem weer goed vergelijkbaar met andere hulpmiddelen die worden gebruikt ter ter ondersteuning van de bedrijfsprocessen zoals logistiek, administratie, 11

13 productie en verkoop. Bij een analyse van mogelijke dreigingen kan inzicht nodig zijn in de specifieke situatie voor de betrokken onderneming. Het gaat daarbij niet alleen om de incidenten waarmee de organisatie werd geconfronteerd, maar ook met dreigingen die mogelijk zijn. In hoeverre kan algemene en statistische informatie daarbij helpen? Onderstaand overzicht is afgeleid uit de resultaten van het Computer Crime and Security Survey 2002, een US onderzoek onder 503 security practioners. Van de deelnemers zegt 80% financiële schade te hebben geleden. Slechts 44% is in staat (of bereid) in te gaan op de omvang van deze financiële schades. Een recent onderzoek in het UK komt op 41%. Kennelijk is de openheid niet groot, of is de omvang van opgetreden schade niet bekend. Inbreuk Gevallen genoemd Financiële schade genoemd Gemiddelde schade per geval (US$) Diefstal bedrijfsgegevens Diefstal lap top computers 20% 5% % 27% Fraude 21% 8% Ongeautoriseerde toegang tot gegevens door internen Inbreuken op Internet afspraken (intern) Inbreuken die leiden tot het blokkeren van de toegang tot systemen 38% 3% % 18% % 12% Sabotage 8% 6% Vormen van hacking 40% 12% Virussen 85% 35%

14 De moeilijkheden met kwantificeren van schades wordt onderstreept door het jubileum onderzoek van KPMG EDP Auditors in In deel 1 wordt gerapporteerd dat in 1998 door 28% van de deelnemers schade werd ondervonden door virussen. Dat is een hoog percentage als bedacht wordt dat 88% aangeeft dat zij standaarden en procedures hanteren ter voorkoming van virussen. Slechts 53% kan aangeven hoe groot de schade is geweest in verloren werktijd. Gemiddeld bedraagt die schade 6,9 werkdagen per geval. Het is vaak moeilijk goed inzicht te krijgen in feitelijk opgetreden bedreigingen. Om voor de hand liggende redenen zijn getroffen bedrijven vaak niet erg open over dergelijke gebeurtenissen. Een Amerikaans onderzoek 12 van de FBI laat zien dat 41% van de ondervraagde organisaties (175 van 428 ondervraagden) toegeeft dat hun computersystemen in het afgelopen jaar ten minste eenmaal te zijn geïnfiltreerd door een hacker. Van de ondervraagden zegt meer dan 83% de politie in voorkomende gevallen niet in te schakelen. Ook voor andere bedreigingen zijn voldoende cijfers beschikbaar die tonen dat de vraag: "kan het mij ook overkomen?", een academische is. Zonder behoorlijke maatregelen is het een kwestie van tijd zo lijkt het. De Michigan State University onderzocht bij 150 managers met verantwoordelijkheid voor informatiebeveiliging, de praktijk van computercriminaliteit. Vrijwel allen (98,6%) zeiden met een of andere vorm ervan in aanraking te zijn gekomen binnen de eigen organisatie 13. Het nut van statistieken zit vooral in de bewustwording. Door bij de gepubliceerde cijfers de vraag naar de toepasselijkheid voor de eigen organisatie te stellen, kan worden nagegaan of er sprake is van een relevant gegeven. Zoals nog zal blijken is voor het nemen van besluiten over risico s, volledige informatie noodzakelijk evenals de interpretatie van die informatie door de verantwoordelijke probleemeigenaren. Dreigingen naar aard De meest voorkomende verdeling van dreigingen is die naar de aard of de oorzaak. De indeling zegt dan dat de oorzaak ligt in de natuur of in het gedrag van de mens. Deze indeling kan nog worden gecombineerd met een verdeling naar ongeluk of toeval en opzet. Van natuurlijke dreigingen kan alleen sprake zijn in de vorm van een ongeluk of fout waarbij van opzet geen sprake is. 11 Van EDP naar ICT: op de gens van een millennium. Vier rapporten op basis van een onderzoek onder grote en middelgrote Nederlandse organisaties. 12 New Scientist, 18 May Geciteerd door mr. V.A. de Pous in zijn rubriek Wet & Recht in Informatie, juni

15 Bron dreiging Toeval Opzet Natuur Mens Acts of god Fouten NVT Sabotage In de categorie ongeluk worden over het algemeen die bedreigingen verstaan die ook wel worden aangeduid als act of God zoals brand en natuurrampen. Ook worden er de fouten toegerekend die door medewerkers worden gemaakt. Daarbij kan het begrip medewerker breed worden opgevat. Iemand die in opdracht van de organisatie bijvoorbeeld herstelwerkzaamheden uitvoert, kan ook fouten maken die tot de ongelukken moeten worden gerekend. Ook de fouten, breuk en disfunctioneren van apparatuur valt onder het begrip ongeluk. Wanneer sprake is van opzettelijk gedrag van mensen, dan kan worden gedacht aan sabotage. Hierbij kan de veroorzakende mens weer een medewerker zijn maar ook een buitenstaander. In de volgende figuur wordt een relatie gelegd tussen de elementen van informatiebeveiliging en dreigingen die (on)opzettelijk een inbreuk kunnen veroorzaken 14 : Malicious Accidental Fraud Fraud increasing increasing with with restructuring restructuring & economic economic pressures pressures Increasing Increasing sophistication sophistication of of viruses, viruses, hacker hacker groups, groups, involvement involvement organised organised crime crime Threats to Confidentiality Threats to Integrity Threats to Availability Espionage, Leaks Fraud, Mischief Sabotage, Vandalism Theft Oversights, Breaches Safety Safety critical critical systems Errors, systems cause cause Failures concern concern Breakdowns Theft Theft of of notebooks notebooks Information Information warfare warfare Specifieke en algemene dreigingen Bedreigingen kunnen een effect hebben op IT-hulpmiddelen of de daardoor ondersteunde processen. Het effect van een bedreiging op IT-hulpmiddelen is vaak hetzelfde als voor niet- IT-hulpmiddelen. Brand bijvoorbeeld heeft op een computer hetzelfde effect als op een productiemachine, namelijk het effect van vernietiging. 14 Mr. P van Dijken in een lezing voor de KPMG EDP Audit Conference, Barcelona november Een bewerking hiervan is opgenomen in Compact, tijdschrift EDP-Auditing 1998/3 14

16 Specifieke bedreigingen die op de IT betrekking hebben, bestaan uitsluitend door de aanwezigheid van IT-hulpmiddelen. Deze vormen voor het optreden van de bedreiging vaak zelfs een voorwaarde. Het nut van dit onderscheid kan worden gevonden in de verantwoordelijkheid voor maatregelen. Indien in de analyse alleen rekening kan worden gehouden met bedreigingen die specifiek zijn voor IT, dan zal de analyse niet alle gevolgen voor de IT kunnen omvatten. Hierdoor wordt het inzicht dat door de analyse kan worden verkregen beperkt. Het is daarom verstandig bij het selecteren van bedreigingen voor een risicoanalyse te letten op de mogelijke effecten van de bedreigingen. Aard bedreiging Algemene Effect op IT Algemeen IT Specifiek hulpmiddelen? kan hulpmiddelen kan steeds Fysieke en niet-fysieke dreigingen Een andere indeling van dreigingen is die naar fysieke en niet-fysieke. De reden voor deze indeling is de relatie met de gevolgen die de dreiging kan veroorzaken, namelijk de vernietiging van waarden. Voorbeeld van een dergelijke indeling: Fysiek algemeen (vernietiging van een deel der waarde waarschijnlijk) 1. Brand 2. Wateroverlast 3. Sabotage 4. Diefstal 5. Vandalisme 15

17 Niet-fysiek algemeen (vernietiging onwaarschijnlijk) 6. Stroomstoring 7. Personeelsverlies 8. Apparatuurfouten 9. Fraude Niet-fysiek algemeen en IT specifiek (vernietiging onwaarschijnlijk) 10. Programmatuurfouten 11. Invoerfouten 12. Ongeautoriseerde ontsluiting van gegevens Dreigingen voor de reputatie Op grond van geheel andere overwegingen kunnen weer andere indelingen ontstaan. Als voorbeeld nemen we het geval van bedreigingen die kunnen leiden tot het aantasten van de reputatie (het imago) van een bedrijf. 15 Daarvoor kunnen de volgende voorbeelden gelden: 1. Natuurramp: bliksem treft vliegtuig, boorplatform geraakt door aardbeving. 2. Fouten van de mens: vliegtuigongeval door fout piloot, olievervuiling door fout bij productie. 3. Ontwerp-, productie-, verpakkingsfouten: in de media verschijnen regelmatig waarschuwingen voor producten die een mankement vertonen en oproepen om deze terug te brengen naar de winkel. 4. Product sabotage door consumenten-, politieke of andere groepen. 5. Bedrijfsspionage: het lekken van informatie, bewust of onbewust, opzettelijke spionage. 6. Berichtgeving in de media: bewuste verspreiding van een verkeerde voorstelling van zaken of door slechte kennis van zaken veroorzaakt. 15 Zie bijvoorbeeld: Peter Sheldon Green Reputation Risk Management, Pitman publishing, 1992 London 16

18 Oorzaak en gevolg Afhankelijk van de vraag in welke mate men de relatie tussen oorzaak en gevolg wil analyseren, kan in een risicoanalyse meer of minder gedetailleerd worden ingegaan op verschillende dreigingen. Om hier een praktisch illustratie van te geven wordt het volgende voorbeeld geïntroduceerd: Voorbeeld van dreigingen Bij het gebruik van moderne netwerkverbindingen wordt veelal rekening gehouden met de dreiging dat ongeautoriseerde personen trachten toegang te krijgen tot de ICT infrastructuur van de eigen organisatie. Meestal wordt deze dreiging aangeduid met: Hacking. Soms wordt evenwel ook het mogelijke gevolg van de poging tot hacking als dreiging genoemd, zoals bij Uitval van diensten (denial of services) hetgeen het resultaat kan zijn van overmatig berichtenverkeer (overigens ook van geautoriseerde personen). Poging tot het verkrijgen van toegang Mogelijke gevolgen 1. Vormen van onbevoegde toegang Overnemen van de autoriteit over (delen van) de infrastructuur 2. Kwaadaardige programmatuur Diefstal, openbaarmaking of vernietiging van data en/of programmatuur 3. Acties gericht op uitval van diensten Uitval van diensten Ad 1: onbevoegde toegang kan optreden in de volgende (combinaties van) verschijningsvormen: Brute force, het gebruik van hulpmiddelen, zoals kraakprogramma s, om toegang te verkrijgen. Ook het systematisch afbellen van telefoonnummers ( war-dialing ) valt onder deze techniek. Sniffing, het afluisteren van communicatieverkeer met als doel om waardevolle informatie te onderscheppen. IP-spoofing, het omzeilen van de authenticatie op basis van IP-adressen door het creëren van pakketten met gefingeerde IP-adressen. Security flaws and bugs, tekortkomingen in de systeem- en beveiligingsprogrammatuur van computersystemen, waarvan derden gebruik maken om toegang tot systemen te verkrijgen; Highjacking, het (tijdelijk) overnemen van een besturing van een computersysteem en het uitvoeren van schadelijke activiteiten gedurende deze periode. 17

19 Ad 2: kwaadaardige programmatuur kan optreden in de volgende (combinaties van) verschijningsvormen: Computervirus, programmacode die zich via kopiëren verspreidt en op vooraf bepaalde tijdstippen en/of condities schadelijke acties uitvoert. Trojan horse, gebruik van een computerprogramma dat normaal kan worden toegepast maar gedurende de toepassing of op een later, door de maker bepaald, moment vernietigend werk doet. Logical bom, een op het computersysteem geïnstalleerd programma die op vooraf bepaalde tijdstippen en/of condities schadelijke acties uitvoert. Nukers, programma s die adreslabels van pakketjes veranderen. Hierdoor raakt de besturing in de war als het totaal van de adreslabels niet klopt. Web-agents, programmatuur die zelfstandig ten behoeve van de eigenaar bruikbare informatie op het Internet opzoekt. Ad 3: de volgende acties kunnen leiden tot (tijdelijk) uitval van computer diensten door overbelasting van het netwerk: Buffer overflow, het beïnvloeden van de opslag van gegevens en programmatuur in het geheugen van het computersysteem met als doel de werking van dit systeem te ontregelen. Spamming, het laten vollopen van mailboxen door overvloedige (niet gewenste) berichten. Flaming, het uit de hand lopen van een discussie waardoor verschijnselen zoals bij spamming beschreven optreden. Hoaxes, (on)terechte waarschuwingen via , bijvoorbeeld voor virussen die veel worden doorgestuurd en daardoor het netwerk onnodig belasten. Ping flood, het sturen van een groot aantal controleberichten ( ping ) naar het targetsysteem. SYN flood, het doen van een groot aantal pogingen voor het opzetten van een verbinding, waardoor connectietabellen vollopen. smurf attack, misbruik maken van broadcastadressen met als doel massaal netwerkverkeer te genereren. Parameters Dreigingen worden beschreven door hun parameters. De frequentie (hoe vaak treedt de dreiging op?) is daarvan een bekend voorbeeld. Andere parameters zijn de duur van de dreiging of de omvang van het optreden. Voorbeelden hiervan zijn: wateroverlast: hoeveelheid water; 18

20 stroomstoring: lengte van de periode; fouten: tijd nodig om de fout op te sporen en te herstellen. Statistische gegevens zijn beperkt beschikbaar omdat alleen de algemeen en regelmatig optredende dreigingen worden geregistreerd. Bovendien vindt registratie niet systematisch plaats. Als gevolg daarvan wordt vaak met benaderingen of aannames gewerkt. Ook is het mogelijk met kwalitatieve aanduidingen te werken als: Grote kans en Kleine kans. Opdracht 1: bedreigingen van Bedreigingen 1 t/m 17 vanuit de optiek van de Zender. Legenda: V = Vertrouwelijkheid, I = Integriteit, B = Beschikbaarheid Nr. Bedreiging Beveiligingsaspect (V\I\B) 1. Vertraging in transport van berichten 2. Verlies van een bericht 3. Verkeerde bezorging 4. Ongewenste wijziging van de berichtinhoud 5. Technische verminking van een bericht 6. Vermenigvuldigen van een bericht 7. Ongewenste kennisname berichtinhoud 8. Transport mislukt 9. Ontvangst geweigerd 10. Ontkenning van ontvangst (door de ontvanger) 11. Identiteit ontvanger onbekend 12. Uitvallen van faciliteiten 13. Bewijskracht elektronische handtekening juridisch niet erkend 14. Inhoud bericht juridisch niet beschermd door briefgeheim 15. Misbruik van door aanname valse identiteit 16. Onbevoegde kennisname berichtenstroom (route en aantal berichten) 17. Onterecht claimen van bericht ontvangst Vragen: 1. Geef in de betreffende kolom voor iedere bedreiging aan of er een relatie is met het beveiligingsaspect: V = Vertrouwelijkheid, I = Integriteit, B = Beschikbaarheid. 2. Maak een opstelling van de bedreigingen vanuit het gezichtspunt van de ontvanger. 19