Basiskennis Beveiliging van Informatie. Dit boek is geschikt als studieboek voor het ISFS examen van de EXIN

Transcriptie

1

2 Dit boek is geschikt als studieboek voor het ISFS examen van de EXIN EXIN is een onafhankelijk, internationaal exameninstituut voor ICT ers. De missie van EXIN is de bevordering van de kwaliteit van het ICT-vakgebied en de daarin werkzame ICT-professionals. Om dat doel te bereiken ontwikkelt EXIN exameneisen en ICT-examens. EXIN biedt vier Information Security-examens. Deze examens zijn gebaseerd op ISO/IEC U kunt examen doen op Foundation, Advanced en Expert niveau. Op Expert niveau wordt naast kennis van ISO/IEC ook kennis van de ISO/IEC getoetst. ISBN/EAN: Titel: Basiskennis beveiligen van informatie Versie: 18e Datum: Dit boek mag in deze vorm niet zondermeer worden gewijzigd. This work is licensed under a Creative Commons Attribution-No Derivative Works 3.0 Netherlands License 2

3 1. Voorwoord Over de schrijvers Inleiding basiskennis beveiliging van informatie Informatie, bedrijfsdoelstellingen en kwaliteitseisen Verschijningsvormen Informatiesystemen Waarde van informatie Informatie als productiefactor Beschikbaarheid, Integriteit en Vertrouwelijkheid Informatiearchitectuur Bedrijfsprocessen en informatie Informatieanalyse Informatiemanagement Informatica Samenvatting Casus Dreigingen en risico s (risicoanalyse) Risicoanalyse Soorten risicoanalyses Maatregelen die het risico verminderen Soorten dreigingen Soorten schade Soorten risicostrategieën Richtlijnen bij het invoeren van beveiligingsmaatregelen Samenvatting Casus Informatiebeveiligingsincidenten en -zwakheden Beheer van informatiebeveiligingsincidenten Incidentcyclus Rollen Samenvatting Casus Fysieke maatregelen Fysieke beveiliging In de ban van de ring Alarm

4 7.4 Brandbeveiliging Emergency planning Samenvatting Casus Technische maatregelen (ICT-beveiliging) Beheer van bedrijfsmiddelen Logisch toegangsbeheer Beveiligingseisen voor informatiesystemen Cryptografie Soorten cryptografische systemen Beveiliging van systeembestanden Uitlekken van informatie Samenvatting Casus Organisatorische maatregelen Beveiligingsbeleid Personeel Bedrijfscontinuïteitsbeheer Beheer van communicatie- en bedieningsprocessen Samenvatting Casus Wet- en regelgeving Naleving van wettelijke voorschriften Compliancy Intellectuele eigendomsrechten (Intellectual Property Rights, IPR) Bescherming van bedrijfsdocumenten Bescherming van gegevens en geheimhouding van persoonsgegevens Voorkomen van misbruik van IT-voorzieningen Naleving van beveiligingsbeleid en -normen Controlemaatregelen Audits van informatiesystemen Bescherming van hulpmiddelen voor audits van informatiesystemen Samenvatting Casus...91 Index...92 Voorbeeldvragen examen ISFS (EXIN)

5 1. Voorwoord Het woord beveiliging heeft van nature een negatieve klank. Beveiliging wordt immers alleen toegepast als er reden is om dat te doen; als er een risico of een kans bestaat dat iets niet gaat zoals het bedoeld is. Beveiliging heeft dan ook alles te maken met bescherming. Er is iets ingericht om de kans op ellende te verkleinen of om de gevolgen daarvan te verminderen. Zo zijn een reservewiel, het onbrandbaar maken van kinderpyjama's of een verzekeringspolis vormen van beveiliging. Een reservewiel zorgt ervoor dat we minder last hebben van de lekke band, de verzekeringspolis dekt de financiële gevolgen en onbrandbare pyjama's maken de kans op groot menselijk letsel kleiner. Informatie is in onze samenleving een kostbaar goed geworden. Dit wordt des te meer zichtbaar als we ons realiseren dat geen enkel zakelijk proces uitgevoerd kan worden zonder informatie. Besturing van processen gaat immers altijd op basis van (management)informatie. Veel bedrijven doen niets anders dan informatie verwerken. Dat geldt vooral voor de financiële sector en de overheid. Ook de zakelijke dienstverlening doet niet veel meer dan informatie verzamelen en in een andere vorm naar buiten brengen. Zelfs onze vrije tijd draait om informatie. Muziek, boeken en films in digitale vorm (mp3, cd, dvd), internet en gaming maken allemaal gebruik van digitale informatie. De bijna explosieve groei van het aantal digitale camera's, ook op mobiele telefoons, heeft een onschatbare hoeveelheid foto's opgeleverd die in de vorm van informatie zijn opgeslagen op harde schijven, draagbare spelers, cd's, dvd's en USB-sticks. Het is dan ook niet vreemd dat vooral de afgelopen tien jaar het onderwerp informatiebeveiliging actueel geworden is in het bedrijfsleven, bij de overheid en thuis. In dit boek wordt het onderwerp informatiebeveiliging op een hanteerbare wijze behandeld. Daarvoor is een hoofdstukindeling gekozen die het onderwerp langs duidelijke lijnen opdeelt. Verder is de behandeling van bijvoorbeeld de technische maatregelen gericht op de niet-automatiseerder. Er is een verband tussen risico en beveiliging: als er geen sprake is van risico, dan hoeft er geen beveiliging te worden ingericht. Dat doen we thuis ook niet. Beveiliging kost geld en moeite en als we dat kunnen vermijden, dan doen we dat graag. Hoeveel en welke maatregelen genomen moeten worden hangt af van het risico. Na de algemene inleiding en de uitleg over informatie en de waarde daarvan, begint het boek met dreigingen en risico's. Het nagaan welke risico's het grootst zijn en welke gevolgen niet acceptabel zijn, is onderwerp van de risicoanalyse. In het vakgebied informatiebeveiliging wordt hierdoor bepaald welke maatregelen getroffen moeten worden. Verder wordt in de analyse vastgesteld wat de argumenten zijn om iets aan de risico's te gaan doen. Voorafgaand aan het bespreken van de maatregelen, wordt in hoofdstuk 4 stilgestaan bij het omgaan met informatiebeveiliging in een organisatie. Onderwerpen als organisatie, beheer en kwaliteitseisen komen daarbij aan de orde. In hoofdstuk 5 wordt ingegaan op dreigingen en de risicoanalyse. Vervolgens wordt in hoofdstuk 6 ingegaan op informatiebeveiligingsincidenten en zwakheden. De daaropvolgende drie hoofdstukken gaan over maatregelen. Het is onmogelijk om alle maatregelen te bespreken, alleen al omdat er vandaag weer nieuwe bij gekomen zijn. De meest gebruikte principes komen aan de orde. Voor het vinden van meer (technische) details is het handig contact op te nemen met de betreffende producent. De maatregelen zijn in dit boek in drie groepen onderverdeeld: Fysieke maatregelen, zoals sloten en hekken, maar ook kasten en een receptie; Technische maatregelen, zoals back-ups, software voor geheimschrift en antivirusfuncties; 5

6 Organisatorische maatregelen zoals het scheiden van functies, geheimhoudingsverklaringen en autorisaties waarmee geregeld is wat iemand mag op het informatiesysteem. Het boek wordt afgesloten met een bespreking van wet- en regelgeving zoals die in Nederland van toepassing is. Er zijn wetten die het toepassen van beveiligingsmaatregelen verplicht stellen. Denk daarbij bijvoorbeeld aan de Wet Bescherming Persoonsgegevens (WBP) die eisen stelt aan de bescherming van de privacy. Jacques Cazemier 6

7 2. Over de schrijvers Dit boek is geschreven door dezelfde groep auteurs als van het boekje "Nederland gaat digitaal, maar wel veilig", dat in 2002 als gezamenlijke uitgave van het Ministerie van Economische Zaken en het Genootschap van Informatiebeveiligers is verschenen. De auteurs zijn allen lid van het PvIB en beogen het vakgebied informatiebeveiliging toegankelijker te maken voor startende informatiebeveiligers en medewerkers van afdelingen. Hans Baars CISSP, is van 1999 tot 2002 bij de politie werkzaam geweest als informatiebeveiligingsfunctionaris en als intern EDP-Auditor. In 2002 werd hij adviseur integrale veiligheid bij het Korps Landelijke Politiediensten. In die functie was hij betrokken bij de vormgeving van het informatiebeveiligingsbeleid van de Nederlandse politie. Sinds 2006 is hij als beveiligingsconsultant werkzaam binnen het bedrijfsleven. Hij adviseert overheden en commerciële bedrijven over de wijze waarop zij hun fysieke en informatiebeveiliging betaalbaar en werkbaar kunnen inrichten. Kees Hintzbergen is accountmanager bij 3-Angle. Kees heeft meer dan 20 jaar ervaring in de ICT en IV en werkt sinds 1999 in het vakgebied informatiebeveiliging. In 1998 heeft hij zijn AMBI-master gehaald op het gebied van Exploitatie en Beheer. Daarnaast heeft hij opleidingen gevolgd bij de Hogeschool van Amsterdam (HEAO-BI) en de Hogeschool Dirksen (System Engineer). Ook heeft hij de complete VAX-VMS training gevolgd bij het toenmalige Digital. Kees is in het dagelijkse leven adviseur, coach en spiegel waarbij hij de Gezond Verstand Methode hanteert. Dankzij zijn ervaring en zijn oosterse inslag (een man een man, een woord een woord) is hij in staat te verkopen vanuit advies. Jule Hintzbergen CISSP PSP, is, na 21 jaar bij Defensie, sinds 1999 werkzaam bij Capgemini als consultant public security. Jule heeft meer dan 20 jaar ervaring in de ICT en houdt zich een groot deel van de tijd bezig met informatiebeveiliging. Na het behalen van AMBI op het gebied van Exploitatie en Beheer in 1997 heeft hij diverse rollen vervuld op het grensvlak van projectmanagement, informatiemanagement en fysieke en informatiebeveiliging. Hij is al geruime tijd verbonden aan EXIN (Examination Institute for Information Science) als vraagproducent en reviewer. Jule is sinds 2003 CISSP (Certified Information Systems Security Professional) bij ISC2 en sinds 2007 PSP (Physical Security Professional) bij ASIS International. Ir. André Smulders (CISSP) is senior consultant informatiebeveiliging bij TNO Informatie- en Communicatietechnologie. André is na zijn studie Technologie Management aan de TU Eindhoven in 1996 gestart in het werkveld van innovatie en ICT en specialiseert zich sinds 2000 in informatiebeveiliging. In zijn huidige rol als adviseur en projectleider heeft hij te maken met informatiebeveiligingsprojecten variërend van technologisch tot strategisch niveau. Dit boek is gereviewd door de volgende personen die wij daar voor danken: Ing. John van Huijgevoort, Capgemini Nederland B.V. Drs. Erno Duinhoven CISSP, Capgemini Nederland B.V. Ing. Ben Elsinga CISSP, Capgemini Nederland B.V. Ing. Marcel Oogjen, Capgemini Nederland B.V. Ir.drs. Jurgen van der Vlugt RE CISA, Noordbeek IT Audit Dr. J. Hulstijn, Vrije Universiteit, Postgraduate IT Audit Opleiding Drs. Fred van Noord, Verdonck, Klooster & Associates (VKA) Drs. Rita Pilon, EXIN International Examination Institute for Information Science 7

8 Het voorwoord is geschreven door Jacques A. Cazemier: Jacques A. Cazemier is als executive consultant op het gebied van informatiebeveiliging en Business Continuity Management (BCM) actief bij Verdonck, Klooster & Associates (VKA). Hij heeft aan de wieg gestaan van de invoering van Informatiebeveiliging en Business Continuity Management in Nederland in het midden van de negentiger jaren. De laatste jaren is hij vooral betrokken geweest bij beleids-, organisatorische en planningsaspecten van informatiebeveiliging op werkterreinen bij de overheid, het bedrijfsleven en bij financiële instellingen. Ook het uitvoeren van onderzoek naar de status van informatiebeveiliging, het begeleiden van onderzoek naar computerinbraak of het inrichten van Business Continuity Management heeft deel uitgemaakt van zijn werkzaamheden. Hij is hoofddocent binnen de MSIT (Master of Security in Information Technology) en het MISM (Master of Information Security Management) programma s die bij de TiasNimbas Business School in samenwerking met de TU/Eindhoven gegeven worden. Verder is hij verbonden aan TopTech van TU Delft en is hij gastdocent aan de Haagse Hogeschool en Saxion. Hij is een van de auteurs van het ITIL Security Management boek. 8

9 3. Inleiding basiskennis beveiliging van informatie Dit boek geeft een algemeen overzicht van informatiebeveiliging. Informatiebeveiliging omvat het vakgebied dat zich richt op de kwaliteit (betrouwbaarheid) van informatievoorziening en de continuïteit van de bedrijfsvoering. Met kwaliteit wordt in dit verband bedoeld de beschikbaarheid, de vertrouwelijkheid en de integriteit van informatie. In dit boek wordt uitgelegd wat deze kwaliteitseisen inhouden, hoe ze vastgesteld kunnen worden en wat er voor nodig is om deze vervolgens te borgen in de organisatie. Het geheel omvat het vakgebied van de informatiebeveiliger. De onderwerpen die hierbij een rol spelen worden in de afzonderlijke hoofdstukken nader toegelicht. Daarbij wordt per hoofdstuk aangegeven waarom het specifieke onderwerp relevant is. Dat zal toegelicht worden aan de hand van cases uit de alledaagse praktijk. Deze cases zullen zoveel mogelijk generiek van aard zijn en dus niet zijn toegespitst op een specifiek organisatietype. Na het lezen van het boek heeft u een globaal overzicht van de onderwerpen die informatiebeveiliging omvatten, weet u waarom deze onderwerpen relevant zijn en heeft u inzicht in de meest gangbare begrippen. Dit boek is geschikt voor iedereen in een organisatie die behoefte heeft aan basiskennis over de beveiliging van informatie. Deze basiskennis is van belang voor alle medewerkers in een bedrijf of bij de overheid omdat zij omgaan met informatie. Lijnmanagers hebben deze kennis nodig omdat zij verantwoordelijk zijn voor de beveiliging van de informatie op hun afdeling. Deze basiskennis is ook van belang voor ondernemers en voor zelfstandigen zonder personeel (ZZP) omdat zij zelf hun informatie moeten beschermen. Enige kennis van informatiebeveiliging is ook nodig voor de thuisomgeving. En natuurlijk vormt deze kennis een goede basis voor iemand die overweegt een rol te gaan vervullen als informatiebeveiliger, zowel als ICT er of als procesbeheerder. Ieder van ons heeft in zijn of haar dagelijks leven te maken met informatiebeveiliging, vaak in de vorm van maatregelen. Die maatregelen zijn ons opgelegd of hebben we zelf ingevoerd. Denk bijvoorbeeld aan het gebruik van wachtwoorden op de computer. Maatregelen ervaren we vaak als lastig omdat ze tijd kosten en omdat we niet altijd weten waar de maatregel ons tegen beschermt. De kunst van het implementeren van informatiebeveiliging is het in balans brengen van een aantal aspecten: De kwaliteitseisen die door de organisatie aan de informatie worden gesteld; De risico s voor deze kwaliteitseisen; De maatregelen die nodig zijn om deze risico s te beperken; De zorg voor het voortbestaan (de continuïteit) van de organisatie in geval van een calamiteit. Het primaire doel van dit boek is te dienen als opleidingsmateriaal. Daarom eindigt ieder hoofdstuk met een casus. Om het begrip en de samenhang van de onderwerpen te versterken zijn in deze casussen vragen over de behandelde stof opgenomen. U treft ook veel voorbeelden uit de praktijk aan en recente gebeurtenissen die de kwetsbaarheid van informatie laten zien. Met deze gebeurtenissen willen we u niet bang maken, alleen bewust. Door het algemene karakter is dit boek ook geschikt als materiaal voor een bewustwordingstraining of als naslagwerk in een bewustwordingscampagne. In het kader van dit boek hebben we het over grote organisaties, maar de onderwerpen zijn ook van toepassing op de dagelijkse thuisomgeving en kleine organisaties/bedrijven die geen aparte informatiebeveiligingsfuncties kennen. In dergelijke situaties zullen de verschillende informatiebeveiligingsfuncties belegd zijn bij één persoon. 9

10 4. Informatie, bedrijfsdoelstellingen en kwaliteitseisen Inleiding Zoals de naam al doet vermoeden gaat informatiebeveiliging over het beveiligen van informatie. Wat beveiliging is wordt verderop uitgelegd, eerst kijken we wat informatie eigenlijk is. Informatie is een breed begrip, waarbij voor het begrip informatie al veel definities zijn gegeven. Vaak zijn deze interpretaties vakgebied- of toepassingsspecifiek. In het kader van dit boek gebruiken we de definitie uit de Dikke van Dale, die informatie omschrijft als: kennis die iemand bereikt. Voor het begrip informatiebeveiliging gebruiken we de definitie van het Platform voor Informatiebeveiliging (PvIB): Informatiebeveiliging betreft het definiëren, implementeren, onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen. 4.1 Verschijningsvormen Kennis die iemand bereikt onderscheidt informatie van gegevens en van data. Data zijn gegevens die in de informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie als deze gegevens geïnterpreteerd kunnen worden tot een zinvolle boodschap. Er zijn oneindig veel verschijningsvormen van informatie waar we dagelijks mee omgaan. Dat kan in de vorm van tekst zijn maar ook in de vorm van gesproken woord en videobeelden. In het kader van informatiebeveiliging moeten we rekening houden met alle verschijningsvormen waarin informatie zich kan manifesteren. Het gaat immers om het beveiligen van de informatie zelf en niet de wijze waarop deze zich manifesteert. De wijze waarop informatie zich manifesteert legt wel beperkingen op aan de maatregelen die nodig zijn om de informatie te beschermen. 4.2 Informatiesystemen Overdracht en verwerking van informatie vindt plaats met behulp van een informatiesysteem. Let hierbij op dat een informatiesysteem niet per definitie een ICT(informatie en communicatietechnologie)-systeem is. Elk systeem dat tot doel heeft informatie over te dragen is een informatiesysteem. Voorbeelden van informatiesystemen zijn dossiers in archiefkasten, de mobiele telefoon en de printer. In het kader van informatiebeveiliging is een informatiesysteem het geheel van middelen, procedures, regels en mensen dat de informatievoorziening voor een bedrijfsproces verzorgt. In toenemende mate zijn dit ICT-systemen waardoor we in de informatievoorziening steeds afhankelijker zijn geworden van het goed functioneren van deze ICT-systemen. Een ICT-systeem bestaat zoals gezegd uit middelen die een bepaalde samenhang hebben. Deze middelen zijn bijvoorbeeld: De werkplek, bestaande uit de pc met besturingssoftware en programma's; Datatransport via een netwerk, bekabeld of niet (wireless); Centrale servers, bestaande uit de server met een besturingssysteem en programma's; Gegevensopslag, bijvoorbeeld schijfruimte, en databases; Telefoons met hun centrales en antennes. 10

11 In het nieuws Gebruikers van een smartphone met het Symbian OS S60 worden gewaarschuwd voor de worm Beselo. Deze worm verspreidt zich via mms en bluetooth. De worm is vermomd als het bestand sex.mp3, love.jpg of beaty.rm, waardoor gebruikers denken dat het een multimediabestand is en daarom de worm installeren. Na installatie verspreid de worm zich verder. Ook kopieert het zich naar de geheugenkaartjes die in het toestel zitten. F-Secure raadt gebruikers aan om het installatieverzoek te negeren. "Een plaatje heeft geen reden tot een installatieverzoek. Dus ieder plaatje of geluidsbestand dat dit wel doet, is een ander soort bestand dan dat het zich voordoet", schrijft F-Secure. Bron: Waarde van informatie Zoals al eerder opgemerkt is informatie kennis die iemand bereikt. Informatie die betekenisloos is noemen we immers gegevens. Of iets informatie is of gegevens zijn wordt hoofdzakelijk door de ontvanger van die informatie bepaald. Zo zal voor de ene partij een bepaalde set gegevens niet interessant zijn terwijl een andere partij daar waardevolle informatie uit kan halen. De waarde van informatie wordt daarmee bepaald door de waarde die de ontvanger van deze informatie daaraan toekent. 4.4 Informatie als productiefactor De standaard productiefactoren van een bedrijf of organisatie zijn: kapitaal, (handen)arbeid en grondstoffen. In de informatietechnologie en in de informatiebeveiliging is het gebruikelijk ook informatie als productiefactor te zien. Bedrijven kunnen niet zonder informatie. Een groothandel die zijn klant- en voorraadinformatie verliest komt deze klap meestal niet te boven. Sommige bedrijven, zoals een accountantskantoor, hebben informatie zelfs als enig product. 4.5 Beschikbaarheid, Integriteit en Vertrouwelijkheid Bij het beschermen van de waarde van informatie kijken we naar drie factoren, dit zijn de kwaliteitseisen die we stellen aan informatie. Informatie moet betrouwbaar zijn, dat wil zeggen beschikbaar, integer en vertrouwelijk (BIV). Voor vertrouwelijkheid wordt in sommige organisaties de term exclusiviteit gebruikt. Dan wordt de afkorting BEI gebruikt: beschikbaar, exclusief en integer. In het Engels zijn dit de CIA eisen: confidentiality, integrity, availibility. Bij ieder verzoek om een risicoanalyse uit te voeren of een beveiligingsadvies te geven, zal de adviseur op basis van deze drie pijlers zijn of haar advies uitbrengen. Uitgangspunt is de invloed die de BIV-eisen hebben op de waarde van de informatie: Het belang van de informatie voor de bedrijfsprocessen; De onmisbaarheid van de informatie binnen bedrijfsprocessen; De herstelbaarheid van de informatie. 11

12 Wat we verstaan onder beschikbaarheid, integriteit en vertrouwelijkheid wordt hieronder nader uitgelegd Beschikbaarheid Beschikbaarheid is de mate waarin informatie beschikbaar is voor de gebruiker en het informatiesysteem in bedrijf is op het moment dat de organisatie deze nodig heeft. Kenmerken van beschikbaarheid zijn: Tijdigheid. De informatiesystemen zijn beschikbaar gedurende werktijd; Continuïteit. De medewerkers kunnen doorwerken; Robuustheid. Er is voldoende capaciteit om alle medewerkers in het systeem te kunnen laten werken. Voorbeelden van voorzieningen voor beschikbaarheid: Het beheer en de opslag van gegevens is zodanig dat de kans op het verliezen van informatie minimaal is. Data worden bijvoorbeeld op een netwerkschijf opgeslagen, niet op de harde schijf van de pc; Er worden back-upprocedures opgesteld. Hierbij wordt rekening gehouden met wettelijke bewaartermijnen. De plaats van de back-up is fysiek gescheiden van het bedrijf om de beschikbaarheid in noodgevallen te waarborgen; Er worden noodprocedures opgesteld om de werkzaamheden na een grootschalige verstoring zo spoedig mogelijk weer in gang te kunnen zetten Integriteit Integriteit is de mate waarin de informatie actueel en zonder fouten is. Kenmerken van integriteit zijn de juistheid en de volledigheid van de informatie. In het nieuws Computercriminelen verkopen via Argentijnse en Maleisische "crimeware servers" de logins van ziekenhuizen en andere zorgverleners, zo beweert beveiligingsbedrijf Finjan. De beveiliger vindt regelmatig allerlei interessante informatie op gehackte servers. Dit keer gaat het om data afkomstig uit ziekenhuizen en zorgverleners, zakelijke informatie van een luchtvaartmaatschappij en via identiteitsdiefstal verkregen Sofi-nummers Met de gestolen patiëntgegevens kunnen fraudeurs medicijnen en behandelingen krijgen, om die dan weer door te verkopen. Voor de slachtoffers kan dit gevolgen voor de dekking hebben en een vervuiling van het eigen dossier betekenen, met schadelijke en foutieve behandelingen als mogelijk gevolg, aldus Finjan. Het bedrijf vond op de crimeware server de Citrix logins van een Amerikaans ziekenhuis en andere medische instellingen. Bron: 12

13 Voorbeelden van voorzieningen voor integriteit: Wijzigingen in systemen en data worden geautoriseerd, bijvoorbeeld een medewerker voert een nieuwe prijs in voor een artikel op de website, een andere medewerker controleert de juistheid van die prijs voordat deze gepubliceerd wordt; Waar mogelijk worden mechanismen ingebouwd die het correcte gebruik van termen afdwingen, bijvoorbeeld een klant wordt altijd klant genoemd, de term customer kan niet worden ingevoerd in de database; Gebruikershandelingen worden vastgelegd (gelogd) zodat gecontroleerd kan worden wie een wijziging in de informatie heeft aangebracht; Vitale systeemhandelingen, bijvoorbeeld het installeren van nieuwe software, mogen niet door één persoon worden uitgevoerd, door het scheiden van functies en bevoegdheden kan afgedwongen worden dat minstens twee personen nodig zijn voor een wijziging met grote gevolgen; Integriteit van gegevens kan in belangrijke mate gewaarborgd worden door encryptie technieken, het versleutelen van informatie; Het beleid en beheer voor encryptie kan in een afzonderlijk beleidsdocument vastgesteld worden Vertrouwelijkheid Vertrouwelijkheid is de mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep die daar rechten toe heeft. Hieronder vallen ook maatregelen die de privacy beschermen. Voorbeelden van voorzieningen voor vertrouwelijkheid: Toegang tot informatie wordt gegeven op basis van need to know, bijvoorbeeld een financieel medewerker hoeft geen verslagen van gesprekken met de klant te zien; Medewerkers treffen maatregelen om te voorkomen dat informatie terecht komt bij personen die deze informatie niet nodig hebben. Zij zorgen er bijvoorbeeld voor dat op hun bureau geen vertrouwelijke informatie ligt in hun afwezigheid (clear desk policy); Logisch toegangsbeheer zorgt ervoor dat ongeautoriseerde personen of processen geen toegang krijgen tot de geautomatiseerde systemen, gegevensbestanden en programmatuur. Een gebruiker heeft bijvoorbeeld niet de rechten om instellingen op de pc veranderen, dit wordt geregeld door deze instellingen onzichtbaar te maken voor de gebruiker; Er zijn functiescheidingen aangebracht tussen de systeemontwikkelings-, verwerkings- en gebruikersorganisatie. Een systeemontwikkelaar kan bijvoorbeeld geen salarisaanpassing doen; Er zijn strikte scheidingen aangebracht tussen de ontwikkelingsomgeving, de test- en acceptatieomgeving en de productieomgeving (OTAP); Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van personeel en derden te waarborgen. Personeelszaken (HR) heeft bijvoorbeeld een eigen netwerkschijf die voor overige afdelingen niet toegankelijk is; Computergebruik door eindgebruikers is omgeven door zodanige maatregelen, dat de vertrouwelijkheid van de informatie gegarandeerd is. Denk bijvoorbeeld aan het wachtwoord voor toegang tot de computer en het netwerk. 13

14 4.6 Informatiearchitectuur Informatiebeveiliging heeft een nauwe relatie met informatiearchitectuur. Informatiearchitectuur is het proces dat zich richt op de inrichting van de informatievoorziening binnen een organisatie. Zoals hierboven kort geschetst worden er eisen gesteld aan de informatievoorziening. Informatiebeveiliging kan helpen waarborgen dat de gestelde eisen in de informatiearchitectuur worden gerealiseerd. Informatiearchitectuur richt zich primair op het invullen van de informatiebehoefte van een organisatie en de wijze waarop dit georganiseerd kan worden. Informatiebeveiliging kan dit proces ondersteunen door de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie te waarborgen. In het nieuws De nieuwe 787 Dreamliner van Boeing heeft mogelijk een serieus beveiligingsprobleem. Volgens de Amerikaanse Federal Aviation Administration (FAA) is het in theorie mogelijk dat passagiers van het vliegtuig inloggen op het bedieningssysteem van het vliegtuig. Het blijkt dat er een fysieke verbinding bestaat tussen het computernetwerk dat passagiers internettoegang verschaft, en de computers die de navigatie, communicatie en bediening van het vliegtuig regelen. Deze fysieke verbinding is een groot veiligheidsprobleem, omdat het hackers potentieel toegang geeft tot de belangrijkste systemen in het vliegtuig. Volgens de FAA is de beste oplossing om de fysieke verbinding volledig te verwijderen. Boeing heeft aangegeven dat het bedrijf al op de hoogte was van het bericht van de FAA en dat aan een oplossing gewerkt wordt. Volgens Boeing is er echter geen 'volledige' verbinding tussen het passagiersnetwerk en de vliegtuigsystemen en zou het al onmogelijk moeten zijn om in te loggen. Ictspecialisten hebben daar op gereageerd dat elke softwarematige firewall onvoldoende is om een dergelijk belangrijk systeem te beveiligen. Bron: Bedrijfsprocessen en informatie In een bedrijfsomgeving is er een nauw verband tussen bedrijfsprocessen en informatie. Een bedrijfsproces is het proces dat voor het bedrijf de basis is van zijn bestaan. In een bedrijfsproces wordt door mensen gewerkt aan een product of een dienst voor een klant. Een bedrijfsproces kent de volgende stappen: input, proces, output. Er zijn verschillende soorten bedrijfsprocessen: Het primaire proces, bijvoorbeeld het maken van fietsen of het beheren van geld; Sturende processen, bijvoorbeeld het plannen van de strategie van het bedrijf; Ondersteunende processen, bijvoorbeeld inkoop en verkoop of HR. Informatie is een belangrijke productiefactor geworden in het uitvoeren van bedrijfsprocessen. Eén van de methoden om de waarde van informatie te bepalen is na te gaan welke rol de informatie speelt in de verschillende bedrijfsprocessen. Elk bedrijfsproces stelt zijn specifieke eisen aan de 14

15 informatievoorziening. Zo zijn er processen die sterk afhankelijk zijn van de beschikbaarheid van informatie, denk aan de website van het bedrijf, terwijl andere processen juist gebaat zijn bij de absolute correctheid van informatie zoals de prijzen van de producten. 4.8 Informatieanalyse Informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met informatie. Hoe loopt de informatie door de organisatie heen. Bijvoorbeeld een gast heeft zich via de website ingeschreven bij een hotel. Deze informatie is doorgegeven aan de administratie die een kamer vastlegt. De receptie weet dat de gast vandaag zal arriveren. De huishoudelijke dienst weet dat de kamer op tijd schoon opgeleverd moet worden. Bij al deze stappen is het belangrijk dat de informatie betrouwbaar is. Het resultaat van een informatieanalyse kan gebruikt worden om tot een ontwerp te komen voor een informatiesysteem. 4.9 Informatiemanagement Informatiemanagement formuleert en richt het beleid in rondom de informatievoorziening van een organisatie. Daarbij kan een informatiemanager gebruik maken van de informatiearchitectuur en een informatieanalyse. Informatiemanagement is veel breder dan alleen de geautomatiseerde informatieverwerking door een organisatie. In veel gevallen zijn ook de externe communicatie en communicatie met de media onderdeel van de informatiemanagementstrategie Informatica De term informatica heeft betrekking op de wetenschap die zich bezighoudt met de logica die gebruikt wordt bij het structureren van informatie en systemen. Daarbij is van belang dat deze kennis ingezet kan worden in het ontwikkelen van programmatuur Samenvatting In dit hoofdstuk heeft u geleerd wat de verschillende verschijningsvormen van informatie en informatiesystemen zijn. U hebt kennis gemaakt met de drie-eenheid Beschikbaarheid, Vertrouwelijkheid en Integriteit. Tot slot heeft u gezien wat het belang van informatiebeveiliging is voor de bedrijfsprocessen, de informatiearchitectuur en informatiemanagement Casus Een autofabrikant heeft gepland dit jaar vijftienduizend auto s van een bepaald type te bouwen. De fabrikant heeft een tweede model in ontwikkeling. Dit model bevindt zich nog op de tekentafel en enkele zogenaamde kleimodellen zijn gemaakt om de ideeën verder uit te werken. Deze autofabrikant heeft een groot aantal toeleveranciers voor de fabricage van zijn producten. Zowel bij de aanlevering van onderdelen voor de te bouwen auto s als bij de ontwikkeling van het nieuwe model wordt veel samengewerkt met de toeleveranciers. Bedenk aan de hand van deze casus op welke manier de BIV-eisen die gesteld worden aan informatie, een rol spelen bij de bouw en ontwikkeling van een auto. Werk de BIV-eisen uit op de beide genoemde informatiestromen. Kijk ook naar de bedrijfsprocessen en hoe de informatiearchitectuur en het informatiemanagement daar een rol in spelen. 15

16 5. Dreigingen en risico s (risicoanalyse) Inleiding Er wordt geen huis meer gebouwd zonder deugdelijk hang- en sluitwerk. Of de deur op slot zit bepaalt u echter zelf. Deze keuze wordt gemaakt uit gewoonte of op basis van een risicoafweging. In gebieden waar veel wordt ingebroken zullen de deuren door de bewoners meestal op slot worden gedaan. De dreiging is in dit geval het verdwijnen van persoonlijke eigendommen. Het risico dat er bij u wordt ingebroken wordt bepaald door de frequentie waarmee dit in de omgeving voorkomt. De vraag is of het een objectief risico is. Zijn er werkelijk veel inbraken in de buurt? De risico-inschatting is subjectief als u alleen handelt op grond van geruchten. In het proces van informatiebeveiliging worden ongewenste effecten (dreigingen) zo goed mogelijk in kaart gebracht. Vervolgens wordt bepaald of er iets, en zo ja, wat er moet gebeuren om deze te voorkomen. De ongewenste effecten die voorkomen moeten worden zijn niet altijd duidelijk voor degenen die de maatregelen moeten uitvoeren. Waarom moeten we iedere drie maanden ons wachtwoord veranderen? Andere maatregelen zijn minder zichtbaar, zoals de back-ups die 's nachts van de bestanden op de server worden gemaakt. Het voordeel daarvan merken we pas als we een bestand kwijt zijn. We gaan nu globaal in op hoe maatregelen tot stand komen en waar ze voor dienen. Voordat we gaan beveiligen moeten we weten waartegen beveiligd moet worden. De methodiek die helpt om hier inzicht in te krijgen heet risicoanalyse. Er zijn verschillende vormen van risicoanalyses waarvan een aantal in dit hoofdstuk aan bod zullen komen. Met een risicoanalyse worden de risico s voor een organisatie in kaart gebracht. Een risico, het gevaar voor schade aan of verlies van informatie, wordt bepaald door een aantal factoren. Dit zijn de dreiging, de kans dat een dreiging zich daadwerkelijk voordoet en de gevolgen daarvan. In de praktijk In het bedrijf waar u werkt kan brand uitbreken; Een medewerker die niet op de HR afdeling werkt, heeft toegang tot delen van het HR programma; Iemand doet zich voor als een collega en probeert informatie te verkrijgen; Uw bedrijf wordt getroffen door een stroomstoring; Een hacker weet toegang te krijgen tot het bedrijfsnetwerk. In de informatiebeveiliging worden lijsten met standaarddreigingen gebruikt. Bovengenoemde dreigingen maken hier deel van uit. In voorgaand voorbeeld is brand een dreiging. Wanneer een dreiging manifest wordt, zoals de hacker die op het bedrijfsnetwerk komt, spreken we van een incident. Een stroomstoring, zoals in begin 2008 toen een helikopter een hoogspanningskabel beschadigde, is zo'n groot incident dat de continuïteit van het bedrijf in gevaar is. Dit noemen we een calamiteit. Als een dreiging werkelijkheid wordt, ontstaat er een risico voor de organisatie. De grootte van het risico maar ook de inschatting van het management, bepaalt of en hoeveel maatregelen genomen moeten worden om het risico in te perken. 16

17 In het nieuws Het SANS Institute (System, Audit, Network, Security) heeft zijn lijstje van de tien grootste computerdreigingen opgesteld. De meest opvallende dreigingen zijn cyberspionage door overheden, aanvallen op mobiele telefoons en het verspreiden van malware via consumentenproducten als USB-sticks. Volgens het SANS Institute komt de grootste computerdreiging dit jaar van websites die zwakheden in browsers en bijbehorende plugins (zoals Flash en QuickTime) proberen uit te buiten. Op de tweede plaats verwacht SANS een geavanceerder inzet van botnets, in navolging van de Storm worm die vorig jaar de wereld wakker schudde. Opvallend is de derde plaats op het lijstje: cyberspionage door grote organisaties of zelfs overheden. In 2007 was China al vaak in het nieuws vanwege vermeend spioneren. SANS verwacht op dit vlak meer activiteit van nog meer organisaties. Ook het risico van aanvallen op mobiele telefoons en VoIP-systemen staan hoog op de lijst (vierde plek). Telefoons worden steeds geavanceerder, hebben vaak een compleet besturingssysteem en worden daardoor steeds kwetsbaarder. De gebruiker zelf Een oude bekende staat op de vijfde plek: de gebruikers/werknemers zelf blijven een zwakke schakel in de beveiliging van (bedrijfs)gegevens. SANS raadt bedrijven onder meer aan om de toegang tot systemen strikt te beperken tot wat de gebruiker nodig heeft om zijn werk goed te kunnen doen. Op de zesde plaats staat het risico van bots die pc's drie tot vijf maanden inspecteren om gegevens als wachtwoorden, adressen, bankgegevens, surfgeschiedenis en dergelijke te verzamelen. Op de zevende plaats staat het kwaadaardiger worden van spyware. De software zal volgens SANS ook steeds beter worden in het identificeren en uitschakelen van antimalwareprogramma's, waardoor het een stuk lastiger wordt om spyware van een pc te verwijderen. In de lagere regionen van het lijstje vinden we nog het uitbuiten van kwetsbaarheden in webapplicaties (achtste plaats), social engineering' (het inschakelen' van de gebruikers van systemen om toegang te krijgen tot die systemen, bijvoorbeeld door phishing) op de negende plaats en op de tiende plaats het verspreiden van malware via consumentenproducten als USB-sticks, fotolijstjes en gps-systemen. Bron: Het proces om van dreigingen naar risico s en naar beveiligingsmaatregelen te gaan heet risicomanagement. Risicomanagement is een continu proces waarin de risico s worden onderzocht, geïdentificeerd en gereduceerd tot een acceptabel niveau. Dit doorlopende proces is op alle onderdelen van de bedrijfsprocessen van toepassing. De taak om dit proces te bewaken wordt in grote organisaties uitgevoerd door een speciaal daartoe aangestelde informatiebeveiligingsdeskundige, bijvoorbeeld de Chief Information Security Officer (CISO), die direct verantwoording schuldig is aan het hoogste management, of de Information Security Officer (ISO). 17

18 In dit hoofdstuk wordt uitgelegd hoe een risicoanalyse in zijn werk gaat. 5.1 Risicoanalyse De risicoanalyse is een middel in risicomanagement. Het uitvoeren van een risicoanalyse heeft als doel inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risico s hiermee gepaard gaan. Het beveiligingsniveau met de daarbij passende beveiligingsmaatregelen worden vastgesteld. Een risicoanalyse wordt gebruikt om zeker te stellen dat beveiligingsmaatregelen op een kosteneffectieve en tijdige manier worden ingezet en daarmee een goed antwoord vormen op de dreigingen. Beveiliging is een complexe zaak, zelfs voor ervaren beveiligingsdeskundigen. Het is niet eenvoudig de balans te vinden tussen te zware beveiligingsmaatregelen en te weinig of de verkeerde maatregelen. Veel geld kan worden uitgegeven aan onnodige beveiligingsmaatregelen omdat er geen doordacht beveiligingsconcept aan ten grondslag ligt. Een hulpmiddel om tot een doordacht beveiligingsconcept te komen is bijvoorbeeld de risicoanalyse. Een risicoanalyse helpt het bedrijf de risico s juist in te schatten en daarbij de juiste, evenwichtige beveiligingsmaatregelen vast te stellen. Het management krijgt inzicht in de kosten die gemoeid zijn met het nemen van de juiste maatregelen. Een risicoanalyse heeft vier hoofddoelen: Het identificeren van middelen en hun waarde; Het vaststellen van kwetsbaarheden en dreigingen; Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces verstoren; Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een beveiligingsmaatregel. De risicoanalyse voorziet in een kosten/batenverhouding. De jaarlijkse kosten die de beveiligingsmaatregelen met zich mee brengen worden vergeleken met het potentiële verlies dat optreedt wanneer dreigingen werkelijkheid worden. Het mag natuurlijk niet zo zijn dat een server inclusief de data EUR ,= waard is en er voor EUR ,= aan beveiligingsmaatregelen worden genomen. Overigens gaat dit niet altijd op. Er kan een wettelijke eis van kracht zijn om de data te beschermen of maatregelen te nemen. Het gevolg hiervan kan zijn dat de waarde van de maatregelen de waarde van de bedrijfsmiddelen overstijgt. Overigens is de waarde van data niet gemakkelijk vast te stellen. Denk bijvoorbeeld aan imagoverlies na een beveiligingsincident. De schade daarvan is moeilijk te berekenen. 5.2 Soorten risicoanalyses Er bestaan twee hoofdgroepen risicoanalyses: de kwantitatieve en de kwalitatieve risicoanalyse Kwantitatieve risicoanalyse De kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen wat het financiële verlies is en hoe groot de kans is dat een dreiging een incident wordt. Voor alle elementen in een bedrijfsproces wordt de waarde vastgesteld. Deze waarden kunnen de kosten van beveiligingsmaatregelen bevatten, maar ook de waarde van eigendommen zoals gebouwen, 18

19 hardware, software, informatie en bedrijfsmatige impact. Ook worden hierbij betrokken de tijdspanne voordat een dreiging uitkomt, de effectiviteit van beveiligingsmaatregelen en het risico dat een kwetsbaarheid benut wordt. Zo wordt het totale financiële risico in kaart gebracht, passende maatregelen worden bepaald en, niet onbelangrijk, vastgesteld welk restrisico geaccepteerd wordt door de verantwoordelijke managers. Het is de bedoeling dat de kosten van de maatregelen niet de waarde van het te beveiligen object en het risico overstijgen. Een puur kwantitatieve risicoanalyse is vrijwel onmogelijk. Een kwantitatieve risicoanalyse probeert waarden aan alle zaken te koppelen en dat is niet altijd mogelijk. Een defecte server is naar bedragen om te zetten: de aankoopwaarde en de afschrijving van de server, de waarde van de software die geïnstalleerd moet worden, het arbeidsloon bij reparatie, dat alles is vast te stellen. Maar probeert u imagoschade eens aan een waarde te koppelen! Hoe stellen we vast wat het verlies is door imagoschade? Hoeveel waardeverlies heeft een bedrijf doordat bepaalde data verloren gaan? Soms is dat vast te stellen, soms ook niet. Dat maakt het ook moeilijk om de juiste maatregelen vast te stellen voor bepaalde schades. In de praktijk U hebt een verzekeringskantoor en de gegevens van verzekerden komen op straat te liggen door een fout van een medewerker. Hoeveel klanten gaat u verliezen door dit voorval? Gegevens van getuigen in een strafzaak lekken uit. Hoeveel mensen zullen nog bereid zijn vrijwillig te getuigen in een strafzaak? Een medewerker heeft een USB-stick verloren en dit wordt breed uitgemeten in de pers. Hoe betrouwbaar is uw organisatie nog in de ogen van het publiek? Kwalitatieve risicoanalyse Een kwalitatieve risicoanalyse gaat uit van scenario s en situaties. Hierbij worden de kansen dat een dreiging uitkomt bekeken op gevoel. Dan wordt gekeken naar het bedrijfsproces waarop de dreiging betrekking heeft en naar de beveiligingsmaatregelen die al genomen zijn. Dit alles levert een subjectief dreigingsgevoel op. Hierop worden vervolgens maatregelen genomen die het risico moeten inperken. Het beste resultaat wordt bereikt door de analyse in een groepssessie uit te voeren, omdat dit leidt tot een discussie waarin niet het beeld van een persoon of een afdeling leidend is. Kwantitatieve en kwalitatieve risicoanalyses hebben hun voor- en nadelen. Het management, in overleg met de deskundigen, bepaalt welke methode in welke situatie het best toegepast kan worden. 5.3 Maatregelen die het risico verminderen De risicoanalyse levert een lijst op met dreigingen en hun relatieve belang. De volgende stap is voor elke serieuze dreiging één of meer maatregelen te vinden die het risico verminderen. Dat kan door de kans op de gebeurtenis kleiner te maken of door de gevolgen te minimaliseren, of door een combinatie van beide. Theoretisch hebben we daarvoor de volgende mogelijkheden: Typen beveiligingsmaatregelen Hoe bouwen we de beveiliging op? Dat kan op diverse manieren en hangt af van de doelstellingen die bereikt moeten worden. Wat vaststaat, is dat de beveiligingsmaatregelen altijd samenhangen met de uitkomsten van een risicoanalyse en gebaseerd zijn op de betrouwbaarheidsaspecten en kenmerken van informatie. Wat willen we bereiken? 19

20 Preventieve maatregelen zijn gericht op het voorkomen van incidenten; Detectieve maatregelen zijn bedoeld om incidenten waar te kunnen nemen; Repressieve maatregelen zijn bedoeld om de gevolgen van een incident te stoppen; Correctieve maatregelen zijn bedoeld om de ontstane schade te herstellen. Het is mogelijk ons te verzekeren tegen bepaalde incidenten, bijvoorbeeld omdat het zelf nemen van maatregelen te kostbaar is. Afhankelijk van de omvang van de risico s kunnen we er ook voor kiezen bepaalde risico s te accepteren Preventie Maak de dreiging onmogelijk. Verbreek de verbinding met internet en metsel de deur dicht. Dit is praktisch onuitvoerbaar, maar er ook zijn heel eenvoudig uitvoerbare maatregelen. Het in een kluis leggen van gevoelige informatie valt onder preventieve maatregelen Detectie Als de directe gevolgen niet te groot zijn of er is tijd om gevolgschade te beperken, dan kan detectie een goed middel zijn. Zorg ervoor dat elk incident zo snel mogelijk wordt gedetecteerd en zorg dat iedereen daarvan op de hoogte is. Een voorbeeld hiervan is videobewaking waarover door middel van plakkers op het raam geïnformeerd wordt. De simpele mededeling dat al het internetgebruik wordt vastgelegd, weerhoudt veel medewerkers van ongeoorloofd surfgedrag. Traceerbaarheid speelt een steeds grotere rol in de maatschappij. Daarmee lijkt ook de bewijslast te verschuiven. Bij verdenking moet de organisatie aantonen dat er géén onregelmatigheden waren. 20

21 5.3.4 Repressie (Onderdrukken) Het vaststellen dat iets gebeurt is niet voldoende. Wanneer er onverhoopt toch iets mis gaat, is het zaak de gevolgen van het incident te beperken. Het heeft bijvoorbeeld geen zin brandmelders te hebben als vervolgens niemand initiatief neemt om een beginnende brand te blussen. Onderdrukkende maatregelen, zoals het blussen van een beginnende brand, zijn erop gericht de schade die ontstaat zoveel mogelijk te beperken. Het maken van een back-up is ook een onderdrukkende maatregel. Immers door periodiek een back-up te maken tijdens het werken aan een document, wordt voorkomen dat het werk geheel verloren gaat bij een incident. Doordat de back-up teruggezet kan worden zal slechts een deel van het werk verloren zijn gegaan. Ook uitwijk is een voorbeeld van een repressieve maatregel Correctie (Herstel) Als een incident heeft plaatsgevonden, dan is er altijd iets dat hersteld moet worden. Afhankelijk van de onderdrukkende maatregelen is de schade beperkt of zeer groot. Maakt een medewerker per ongeluk een nieuwe database aan die de volle database overschrijft dan hangt de schade af van een back-up. Hoe langer het is geleden dat een back-up werd gemaakt, hoe groter de schade Verzekeren Voor gebeurtenissen die niet zijn uit te sluiten en waarvan de gevolgen onaanvaardbaar zijn, zoeken we methoden om de gevolgen te verzachten, ook wel mitigatie genoemd. Een brandverzekering beschermt ons tegen de financiële gevolgen van de brand. Dagelijks een kopie van alle belangrijke gegevens buiten de organisatie brengen zorgt ervoor dat we na de brand in ieder geval de onvervangbare gegevens nog hebben. Beide maatregelen zijn niet goedkoop maar worden doorgaans als gerechtvaardigd gezien Accepteren Wanneer alle maatregelen bekend zijn, kan besloten worden om bepaalde beveiligingsmaatregelen niet uit te voeren omdat de kosten niet in verhouding zijn tot het rendement, of omdat er geen passende maatregelen mogelijk zijn die de risico s het hoofd bieden. 5.5 Soorten dreigingen Dreigingen kunnen worden onderverdeeld in menselijke dreigingen en niet-menselijke dreigingen. Ook hierbij wordt vaak gebruik gemaakt van standaardlijsten met dreigingen. Het is noodzakelijk om vast te stellen welke dreigingen relevant zijn en welke niet. Beveiliging vraagt immers (financiële) offers van een organisatie en het is niet verstandig te investeren in beveiliging tegen dreigingen die niet zullen optreden. In de praktijk Is uw bedrijf gevestigd in een gebied waar nog nooit aardbevingen zijn voorgekomen, dan heeft het geen zin hier rekening mee te houden en hoeven hier geen maatregelen tegen getroffen te worden. We gaan hier wat verder in op de soorten dreigingen Menselijke dreigingen Opzettelijk. Mensen kunnen opzettelijk schade toebrengen aan informatiesystemen. Dat kan om diverse redenen zijn. Meestal wordt eerst aan oorzaken van buitenaf gedacht, zoals een hacker die een zekere aversie tegen een bedrijf heeft en daarom binnendringt en schade veroorzaakt. 21

22 Maar wat te denken van een medewerker die ontslagen wordt en voor vertrek data vernietigd, een medewerker die de verwachte promotie niet krijgt en uit boosheid data vernietigt of een medewerker die data verkoopt aan de concurrent. We spreken hier weer in computertermen, maar het kan natuurlijk ook gaan over het fysiek vernietigen van informatie of apparatuur. Wie kent de reclame niet van de gefrustreerde medewerker die zijn pc door het raam naar buiten gooit? Onopzettelijk. Mensen kunnen onopzettelijk schade toebrengen. Druk op de delete-toets en let niet goed op de vraag of je het zeker weet. Steek een USB-stick met een virus in de machine en breng op die manier het virus over op een heel netwerk. Gebruik in paniek een poederblusser om een beginnend brandje te blussen en vernietig daarmee een server. Een typisch geval van menselijk handelen dat bij de juiste brandwerende maatregelen niet nodig was geweest. In het nieuws Opzettelijk of onopzettelijk? Hoe het Witte Huis tien miljoen s verloor zal voor altijd een raadsel blijven, nu een Amerikaanse rechter heeft geoordeeld dat het Executive Office of the President hier geen informatie over hoeft prijs te geven. De burgerrechtenbeweging 'Citizens for Responsibility and Ethics in Washington' (CREW) wilde via de Freedom of Information Act (FOIA) wat er in de berichten stond en waarom die zijn verdwenen. Volgens de rechter valt het Executive Office niet onder deze wet, iets wat de Bush-regering in 2006 en 2007 liet aanpassen. CREW denkt dat het Witte Huis mogelijk geprobeerd heeft om lobby schandalen, vermoedelijke politieke invloed op de General Services Administration, verantwoordelijk voor overheidsaanbestedingen, en andere problemen in de doofpot te stoppen door de berichten te verwijderen. "De Bush-regering gebruikt het juridische systeem om te voorkomen dat het Amerikaanse volk de waarheid over de miljoenen verloren s van het Witte Huis ontdekt," aldus een teleurgestelde CREW-directeur Melanie Sloan. Bron: Social Engineering. Social engineering maakt gebruik van mensen door ze informatie te ontfutselen, bijvoorbeeld bedrijfsgeheimen. De social engineer maakt gebruik van zwakheden in de mens om zijn doel te bereiken. Vaak zijn we ons hier niet van bewust en we weten dan ook niet dat een social engineer actief is. Als u op uw werk een vreemde tegenkomt in de gang, vraagt u dan of u hem of haar kunt helpen? Als u een telefoontje krijgt van de helpdesk met de vraag waar een bepaald bestand staat, vraagt of controleert u of het werkelijk de helpdesk is? Voert u in de trein wel eens een gesprek over uw werk en weet u zeker dat daar geen gevoelige informatie in voorkomt? Een social engineer gaat volgens een bepaald patroon te werk. Over social engineering kan een apart boek worden geschreven, we gaan hier niet verder op in Niet-menselijke dreigingen Zo zijn er ook niet-menselijke dreigingen, invloeden van buitenaf zoals blikseminslag, brand, overstroming, stormschade. Veel van deze schades zullen mede bepaald worden door de plaats van de apparatuur in het pand. Bevindt de serverruimte zich pal onder het platte dak dat gevoelig is voor lekkages of juist in de kelder onder het maaiveld, in een bodemstructuur waar het grondwater hoog 22

23 staat. Zijn er ramen in de gevel of staan de servers in een bunker. Dit alles heeft invloed op de risico s die de organisatie loopt en wil lopen. Binnen de menselijke en niet-menselijke dreigingen kunnen we een onderverdeling maken in storingen in de basisinfrastructuur zoals computerapparatuur, programmatuur of gegevensbestanden en storingen in de fysieke omgeving zoals gebouwen, papieren dossiers, elektrische installaties, watervoorzieningen, verwarming, ventilatie en koeling. In het nieuws Een gecorrumpeerd bestand heeft een vuurwerkshow in Seattle bijna verknald. Het team dat de show leidde ontdekte het probleem één minuut voor twaalf uur en besloot op het laatste nippertje om de ontstekingsmechanismen handmatig te bedienen. Niet alleen duurde de show hierdoor langer dan gepland (11,5 in plaats van 8,5 minuten), maar ook verlichtten de vuurpijlen het werk in een ander ritme dan de begeleidende muziek. Omstanders waren desondanks tevreden over de vuurwerkshow, zo bericht een lokale krant. Volgens een woordvoerder van het bedrijf is dit de eerste keer in veertien jaar dat een dergelijk probleem optrad. Bron: Soorten schade Schades als gevolg van het manifest worden van genoemde dreigingen kunnen we verdelen in Directe schade; Indirecte schade; Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE); Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE). Een voorbeeld van directe schade is diefstal. Diefstal heeft direct gevolgen voor het zakendoen (de business). Indirecte schade is gevolgschade die kan optreden, bijvoorbeeld waterschade van het blussen of het niet kunnen voldoen aan een contract omdat de IT-infrastructuur door brand is vernietigd. 23

24 In het nieuws Een werknemer van een Amerikaans bedrijf heeft voor 2,5 miljoen dollar aan bedrijfsgegevens gewist, omdat ze dacht dat haar baas haar wilde ontslaan. De vrouw vermoedde het ontslag na het lezen van een personeelsadvertentie. De vrouw las een personeelsadvertentie voor een functie die erg op die van haar leek. Ze dacht dan ook dat haar functie werd aangeboden. Uit woede besloot de vrouw in te loggen op de server van het bedrijf en alle tekeningen en ontwerpen van de laatste zeven jaar te wissen. Hoewel een it-consultant de gegevens weer boven water heeft weten te krijgen, is de vrouw aangeklaagd voor het beschadigen van computers. Bovendien hebben de gegevens die de werkneemster wilde wissen een waarde van ongeveer 2,5 miljoen dollar. De advertentie die de vrouw gelezen had, was overigens niet geplaatst door het bedrijf waarvoor zij werkte. Naar haar baan kan ze nu waarschijnlijk fluiten. Bron: Enkelvoudige schadeverwachting is de schade van een incident dat eenmalig optreedt. De jaarlijkse schadeverwachting is de hoeveelheid schade, in geld uitgedrukt, die door een incident in een jaar kan optreden. Bijvoorbeeld, er wordt een maatregel voorgesteld tegen diefstal van laptops. Er worden gemiddeld 10 laptops per jaar gestolen. De jaarlijkse schadeverwachting is dan de schade van 10 laptops (en de data en programmatuur) en niet van 1. De te kiezen maatregel kan dus duurder worden dan de waarde van een laptop. Maar als een incident statistisch gezien één maal per vijf jaar optreedt, dan is de jaarlijkse schadeverwachting één vijfde van de enkelvoudige schadeverwachting. Indirecte schade ligt anders, denk bijvoorbeeld aan imagoschade. In de praktijk Het onbehoorlijke gedrag van medewerkers verschijnt uitgebreid in de pers en bezorgt de organisatie en negatief imago. Geen reclamecampagne kan dat goedmaken. Producten moeten worden teruggehaald omdat er gifstoffen in zijn aangetroffen. Een bepaald automodel blijkt een constructiefout te hebben en overleeft de elandproef niet. 5.7 Soorten risicostrategieën We kunnen op verschillende manieren met risico s omgaan. De meest voorkomende strategieën zijn: Risicodragend; Risiconeutraal; Risicomijdend. Onder risicodragend wordt verstaan dat we sommige risico s accepteren. Dat kan zijn omdat de kosten van de beveiligingsmaatregelen de mogelijke schade overstijgen. Maar het management kan ook besluiten niets te doen ondanks dat de kosten niet hoger zijn dan de schade die kan optreden. 24

25 De maatregelen die een risicodragende organisatie neemt op het gebied van informatiebeveiliging zijn veelal van repressieve aard. Onder risiconeutraal wordt verstaan dat er dusdanige beveiligingsmaatregelen worden genomen dat dreigingen of niet meer manifest worden of, wanneer de dreiging wel manifest wordt, de schade als gevolg hiervan geminimaliseerd is. De meeste maatregelen die een risiconeutrale organisatie neemt op het gebied van informatiebeveiliging is een combinatie van preventieve, detectieve en repressieve maatregelen. Onder risicomijdend verstaan we dat er zodanige maatregelen worden genomen dat de dreigingen zoveel mogelijk worden geneutraliseerd, de dreiging leidt niet meer tot een incident. Denk hierbij aan het invoeren van nieuwe software waardoor de fouten in de oude software geen dreiging meer vormen. In simpele bewoordingen: een ijzeren emmer kan roesten. Neem een kunststof emmer en de dreiging, roest, valt weg. Veel van de maatregelen binnen deze strategie hebben een preventief karakter. Welke strategie een organisatie ook kiest, de keuze zal bewust door het management moeten worden gemaakt en de gevolgen zullen moeten worden gedragen. 5.8 Richtlijnen bij het invoeren van beveiligingsmaatregelen Het invoeren van beveiligingsmaatregelen is, wanneer dit vanaf de basis gedaan moet worden, veel werk. Bij veel bedrijven is de automatisering in de loop der jaren van één pc op de administratie uitgegroeid tot een grootschalig netwerk met soms wel tienduizenden pc s en vele servers. Er bestaan richtlijnen die helpen bij het kiezen van maatregelen. Een bedrijf kan zich ook profileren door duidelijk te maken dat het aan deze richtlijnen voldoet. De ISO/IEC 27001:2005 standaard gaat over de inrichting van het informatiebeveiligingsproces. ISO/IEC is de wereldwijde standaard voor IT-servicemanagement. Beide normeringen bieden houvast om de bedrijfsprocessen doelmatig en beveiligd in te richten. In de ISO/IEC 27002:2007 standaard, ook wel bekend onder de naam Code voor de Informatiebeveiliging, staan richtlijnen voor maatregelen op het gebied van informatiebeveiliging. De richtlijnen in de ISO/IEC 27002:2007 standaard bestrijken het organisatorisch vlak, het procedurele vlak, het fysieke vlak en het logische vlak van informatiebeveiliging. In de praktijk De overheid heeft regels opgelegd voor de beveiliging van bepaalde informatie. Denk bijvoorbeeld aan de Wet Bescherming Persoonsgegevens (WBP). Voor overheidsinstellingen is er het Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007) en de VIR-BI voor het omgaan met bijzondere informatie. Voor Nederlandse beursgenoteerde bedrijven geldt een dwingende afspraak: de Code Tabaksblat. Voor bedrijven die genoteerd staan aan de Dow Jones Stock Exchange in New York geldt de Sarbanes-Oxley Act (SOx), waaraan ook buitenlandse bedrijven moeten voldoen. Dit zijn enkele voorbeelden van wet- en regelgeving die bedrijven er toe dwingen hun informatiebeveiliging op orde te hebben. Een middel hiervoor is het voldoen aan de ISO/IEC normen op dit gebied. 25

26 5.9 Samenvatting In dit hoofdstuk heeft u veel nieuwe begrippen geleerd, we zijn tevens ingegaan op de verschillende soorten dreigingen en hoe daar mee om te gaan. De risicoanalyse geeft een duidelijk beeld van het risico dat een organisatie loopt. Welke dreigingen zijn er en welke soorten schade kennen we. Welke risicostrategieën hebben we tot onze beschikking. Moeten we wel ieder risico met een maatregel afdekken of kunnen we sommige risico s accepteren? 5.10 Casus De fictieve gemeente Betuwegaard omvat een groot deel van het Gelders rivierengebied. Deze gemeente is ontstaan na een gemeentelijke herindeling, waarbij zeven voorheen zelfstandige gemeenten zijn samengevoegd. De oude gemeentehuizen zijn als bijkantoor voor serviceverlening open voor het publiek. Centraal in het gebied wordt een nieuw gemeentehuis gebouwd waarin de centrale administratie en onderhoudsdiensten gevestigd worden. Ook is hier het rekencentrum gepland. De automatisering zal samengevoegd worden van zeven afzonderlijke computersystemen naar één centraal computersysteem. Als locatie is gekozen voor een prachtig gelegen terrein direct naast een groot binnendijks waterrecreatiegebied (voormalige zandafgravingen). Ambtenaren en bezoekers kijken uit over de Waal en de medewerkers kunnen in hun middagpauze genieten van de waterrecreatie naast het pand. Een veerpont zorgt voor een goede verbinding naar de overzijde van de Waal. Een goede verbindingsweg garandeert de bereikbaarheid van het nieuwe gemeentehuis vanuit de omliggende plaatsen. Een brug over de Rijn ligt slechts anderhalve kilometer verderop, van waaruit de hoofdwegen ook goed bereikbaar zijn. U krijgt de opdracht een risicoanalyse uit te voeren op de nieuwbouwplannen van de gemeente Betuwegaard. Wat voor soort risicoanalyse voert u uit? Wat zijn de voornaamste risico s die u onderkent? Wat zijn de zaken waarmee de gemeente Betuwegaard in het bijzonder rekening moet houden wanneer zij tot nieuwbouw besluit? Controlevragen: Wat is het doel van een risicoanalyse? Wat is het verschil tussen een dreiging en een risico? Welke typen maatregelen zijn er te onderscheiden? Welke risicostrategieën zijn er? Wat is het verschil tussen risicoanalyse en risicomanagement? Welke soorten risicoanalysemethodieken zijn te onderscheiden? Welke schadevormen zijn te onderscheiden? 26

27 6. Informatiebeveiligingsincidenten en -zwakheden Inleiding Het informatiebeveiligingsproces is niet eenmalig. Het is een doorlopend proces. Iedere organisatie is voortdurend aan verandering onderhevig en daarmee ook de dreigingen, risico s en maatregelen. Informatiebeveiliging moet verankerd zijn in de organisatie en heeft doorlopend aandacht nodig. Het is van belang dat informatiebeveiliging wordt gedragen door het hoogste management binnen een bedrijf, en dat dit voor alle medewerkers zichtbaar is. Bij het informatiebeveiligingsproces horen ook andere processen, bijvoorbeeld incidentmanagement of risicomanagement. Daarnaast kunnen de verschillende taken in de informatiebeveiliging, afhankelijk van de grootte van de organisatie, bij verschillende meer of minder gespecialiseerde personen zijn belegd. 6.1 Beheer van informatiebeveiligingsincidenten Medewerkers spelen een belangrijke rol in het waarnemen van zwakheden in de beveiliging en beveiligingsincidenten. Zij zijn immers vaak de eerste die het incident zien. Iemand heeft een vertrouwelijk stuk op de printer laten liggen. Een bestand met persoonlijke gegevens is verdwenen. Er hangt een vreemde geur in de ruimte van de papierversnipperaar. Een deur die op slot moet zijn staat open. Een collega gedraagt zich afwijkend. De pc geeft vreemde schermboodschappen. Medewerkers moeten incidenten kunnen melden en de meldingen moeten worden opgevolgd. Meestal zal een melding van medewerkers bij de servicedesk (helpdesk) binnenkomen. De medewerker van de servicedesk onderkent dat het om een informatiebeveiligingsincident gaat en voert de daarbij behorende procedure voor oplossing en doormelden uit. Wanneer de medewerker bij de servicedesk het beveiligingsincident niet zelf kan of mag afhandelen, kan een incident gemeld worden aan iemand die meer expertise heeft en het probleem misschien wel kan oplossen. Dit heet een functionele (horizontale) escalatie. Een voorbeeld van functionele escalatie is een melding over vreemde meldingen op het scherm. Een incident kan ook gemeld worden aan iemand die meer autoriteit heeft en die een beslissing kan nemen. Dit heet een hiërarchische escalatie. Een voorbeeld van hierarchische (verticale) escalatie is een melding aan de eigen manager over verdacht gedrag van een collega. Het doel van dit incidentbeheerproces is het inzicht krijgen in incidenten en daarvan te leren voor de toekomst. Een melding kan ook een ander informatiebeveiligingsproces in gang zetten, bijvoorbeeld het herstellen van een bestand, een beveiligingsonderzoek, of zelfs het uitwijken naar een andere locatie Rapportage van informatiebeveiligingsincidenten en zwakke plekken Incidenten bestaan in vele soorten en maten. In de ISO/IEC standaard wordt beschreven hoe incidenten kunnen worden beheerd in het incidentmanagementproces. Maar niet ieder incident is een beveiligingsincident. In de praktijk De IT-servicedesk van een grote organisatie krijgt de vraag: Kunt u mij vertellen hoe ik in Word de optie vette letters terug krijg in de werkbalk bovenin mijn scherm. Deze vraag wordt als een incident geregistreerd in het servicedesksysteem. Een beveiligingsincident kunnen we dit echter niet noemen. Tenzij er sprake is van een vetteletterknop-vernietigend-virus maar daar heeft niemand ooit van gehoord. 27

28 Het doel van het incidentmanagementproces is ervoor zorgen dat gebeurtenissen en -zwakheden die verband houden met informatiesystemen bekend worden zodat op tijd maatregelen worden genomen. Werknemers, ingehuurd personeel en externe gebruikers horen op de hoogte te zijn van de procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de betrouwbaarheid van de informatie en de beveiliging van de bedrijfsmiddelen. Zij behoren te worden verplicht alle gebeurtenissen en zwakke plekken zo snel mogelijk te melden aan de servicedesk of een contactpersoon. De nadruk ligt natuurlijk bij het belang dat iedereen in de organisatie heeft bij een snelle reactie. Twee zaken zijn van groot belang en moeten door de directie duidelijk worden gemaakt: Het melden van beveiligingsincidenten is primair bedoeld om van te leren. Met deze kennis kunnen soortgelijke incidenten worden voorkomen; Het melden van een incident is geen middel voor een afrekening, om de veroorzaker van een beveiligingsincident te straffen. Het laatste gaat natuurlijk niet altijd op. Wanneer een medewerker doelbewust informatiesystemen heeft gesaboteerd, informatie heeft gelekt of op een andere wijze (grote) schade heeft veroorzaakt is het niet te vermijden dat aangifte bij de politie wordt gedaan. Waar het om gaat is te voorkomen dat incidenten niet gemeld worden omdat men bang is voor de reactie van het management, of omdat men niet als verklikker te boek wil staan. Het proces moet er ook voor zorgen dat degene die een informatiebeveiligingsgebeurtenis meldt wordt geïnformeerd over de resultaten nadat de kwestie is afgehandeld. Dit is ook nuttige informatie bij het uitvoeren van een (hernieuwde) risicoanalyse. Het kan zijn dat de al genomen maatregelen niet afdoende zijn om bepaalde incidenten te voorkomen. Een standaardformulier op het intranet voor het rapporteren van een dergelijk incident kan de drempel om te melden verlagen. Het formulier kan ook gebruikt worden om instructies te geven voor de noodzakelijke directe handelingen. Het formulier kan helpen veel details te vragen. Op een incident melding formulier zouden minimaal de volgende zaken gemeld moeten worden: Datum en tijd Naam van de melder Locatie (waar is het incident) Wat is er aan de hand? (beschrijving van het incident: Virusincident, diefstal, inbraak, data verlies etc.) Wat is het effect van het incident? Hoe is het ontdekt? En indien mogelijk de volgende zaken: Soort systeem (desktop, printer, server, mailserver etc.) Systeem nummer / systeem naam (indien aanwezig) Wie is nog meer geïnformeerd? Men kan natuurlijk nog meer vragen bedenken, afhankelijk van het soort melding. Waar het bij het melden in ieder geval om moet gaan, is dat men voldoende gegevens verkrijgt om het incident op de juiste manier af te kunnen handelen. 28

29 In de praktijk Er wordt geen onderhoud op apparatuur uitgevoerd; De noodstroomvoorzieningen worden niet getest; Een medewerker verliest de laptop; Een medewerker leeft de clear desk policy niet na; Een medewerker neemt een niet-geautoriseerde bezoeker mee; Nieuwe software wordt uitgerold zonder dat deze grondig werd getest; Een virus is het informatiesysteem binnengedrongen; Door onvolledige bedrijfsgegevens zijn de winstresultaten niet betrouwbaar; De toegangsrechten van een medewerker worden niet gewijzigd na verandering van functie; Medewerkers schrijven hun wachtwoord op een notitieblaadje en dat ligt bij de pc. De afspraken over wat te doen bij een incident worden over het algemeen vastgelegd in procedures. Immers een procedure beschrijft wie wat moet doen. De aandachtsgebieden in een dergelijke procedure zijn: Het analyseren van het incident en het vaststellen van de oorzaak; Welke stappen worden uitgevoerd om de gevolgen van het incident te beperken; Welke stappen worden uitgevoerd om te bepalen of en zo ja welke corrigerende maatregelen nodig zijn om herhaling van het incident te voorkomen; Welke partijen worden geïnformeerd in geval van een incident. Dit kunnen partijen zijn die getroffen zijn of die helpen bij het oplossen van het incident; Wat en aan wie wordt gerapporteerd over het incident Rapportage van zwakke plekken in de beveiliging Wanneer medewerkers, ingehuurd personeel en externe gebruikers van informatiesystemen en diensten merken dat er (verdachte) zwakke plekken in systemen of diensten aanwezig zijn, is het belangrijk dat zij deze zo spoedig mogelijk melden. Alleen dan kunnen beveiligingsincidenten voorkomen worden. Wanneer een informatiebeveiligingsincident net is ontdekt, zal het vaak niet duidelijk zijn of het incident zal leiden tot gerechtelijke stappen. Het gevaar bestaat dan ook dat het benodigde bewijsmateriaal opzettelijk of per ongeluk wordt vernietigd, voordat de ernst van de situatie wordt onderkend. Het is daarom belangrijk het incident eerst te melden en advies te vragen over hoe te handelen. Het kan zijn dat in een vroeg stadium een advocaat of de politie bij de zaak betrokken moet worden en dat bewijsmateriaal nodig is. In de praktijk Als iemand vermoedt dat op de werkplek van een medewerker kinderporno wordt bewaard, moet met de melding van dit incident voorzichtig worden omgegaan om te voorkomen dat bewijsmateriaal wordt verwijderd. 29

30 6.1.3 Registratie van storingen Om een storing te kunnen analyseren worden relevante gegevens vastgelegd. Deze gegevens worden vaak opgeslagen in zogeheten logbestanden. Dit is de moderne variant van het traditionele logboek dat overigens nog steeds toepasbaar is. Denk bijvoorbeeld aan gevallen waarin de stroom uitvalt of een systeem uitvalt en er geen andere manieren zijn dan het op papier vastleggen van de gebeurtenissen en uitgevoerde activiteiten. In grote organisaties zullen storingen altijd gemeld worden bij de servicedesk (helpdesk). Deze zal, wanneer het binnen de mogelijkheden ligt, een storing meteen oplossen. Wanneer dat niet mogelijk is zullen zij de informatie over de storing doorgeven aan een afdeling die dat wel kan. 6.2 Incidentcyclus Beveiligingsmaatregelen zijn gericht op een bepaald moment in de incidentcyclus. De maatregelen zijn gericht op het voorkomen van bedreigingen (preventief) of het reduceren van bedreigingen (reductief), detecteren van incidenten (detectief), reageren op incidenten, doen ophouden van bedreigingen (repressief)en het corrigeren van dreigingen (correctief). De maatregelen worden genomen: Ter waarborging van de beschikbaarheid; Ter waarborging van de integriteit; Ter waarborging van de vertrouwelijkheid. 6.3 Rollen Afhankelijk van de omvang van de organisatie zijn voor de verschillende taken in de informatiebeveiliging verschillende rollen te vinden. Deze rollen of functies kunnen in hun namen afwijken maar komen op onder andere de volgende neer: De Chief Information Security Officer (CISO) bevindt zich op het hoogste managementniveau van de business. De CISO ontwikkelt het beleid en de strategie op hoofdlijnen voor het hele bedrijf. De information security officer (iso) ontwikkelt bij een bedrijfseenheid het beleid gebaseerd op het bedrijfsbeleid en ziet toe op de naleving bij zijn bedrijfseenheid. De Information Security Manager (ISM) ontwikkelt het informatiebeveiligingsbeleid binnen de ICTorganisatie en ziet toe op de naleving. Naast deze functies die specifiek gericht zijn op informatiebeveiliging kunnen in een organisatie bijvoorbeeld een Beleidsmedewerker Informatiebeveiliging of een Functionaris voor de Gegevensbescherming (FG) voorkomen. 30

31 Wie meer wil lezen over rollen in de informatiebeveiligingsorganisatie, verwijzen wij graag naar een publicatie van het PvIB Functies en Rollen in de Informatiebeveiliging van december Deze publicatie is te downloaden op Samenvatting In dit hoofdstuk heeft u kennis gemaakt met incidentmanagement. Hoe gaat een organisatie om met beveiligingsincidenten? Het melden van beveiligingsincidenten is van groot belang. Niet alleen om de incidenten op te kunnen lossen en daarmee de dreigingen en de risico s voor een organisatie onder controle te krijgen en te houden, maar ook om er van te leren. Zonder kennis van beveiligingsincidenten kunnen we ze immers in de toekomst niet voorkomen. 6.5 Casus Bij een grote overheidsorganisatie met meerdere vestigingen verspreid in Nederland, komen beveiligingsincidenten regelmatig voor. Zo heeft kort geleden een medewerker zijn laptop op het dak van de auto laten liggen. Die laptop werd gevonden en de informatie die er op stond was niet voor iedereen bestemd. Ook USB-sticks worden nog wel eens verloren. De directie heeft het idee dat er nog veel meer gebeurt, maar weet niet wat. De auditdienst van het ministerie was onaangenaam verrast toen zij tot de ontdekking kwam dat informatiebeveiliging niet geregeld was. Het antwoord van de verantwoordelijke directeur was dat de medewerkers zelf toch ook wel weten wat wel en niet mag! De directie besluit, gedwongen door de audit, een aantal functionarissen voor informatiebeveiliging aan te stellen. Na een spannende sollicitatieronde heeft u de eer de eerste Information Security Officer (ISO) binnen deze overheidsdienst te worden. Uw primaire opdracht is er zorg voor te dragen dat: 1. Informatiebeveiliging volgens de geldende overheidsregels wordt uitgevoerd; 2. De medewerkers zich bewust zijn van het nut en de noodzaak van informatiebeveiliging; 3. Bij de volgende ministeriële audit, over twee jaar, de informatiebeveiliging op orde is en de incidenten tot het verleden behoren. Wat zijn de werkzaamheden die u uit gaat voeren en hoe gaat u dat doen? 31

32 7. Fysieke maatregelen Inleiding In de voorgaande hoofdstukken is ingegaan op de organisatie van de informatiebeveiliging en de risicoanalyse. Uit de risicoanalyse komt een pakket beveiligingsmaatregelen voort die passend zijn voor het risicoprofiel dat voor de organisatie is vastgesteld. Een deel van de maatregelen die vastgesteld wordt heeft betrekking op de fysieke beveiliging van de organisatie. Alles hangt af van het soort organisatie. Bij een organisatie die een publieke functie heeft zal de toegang tot gebouwen en terreinen vrijwel onbeperkt zijn. Een voorbeeld hiervan is een openbare bibliotheek. Een andere organisatie maakt misschien producten die alleen onder zwaar beveiligde omstandigheden geproduceerd kunnen worden. Denk hierbij bijvoorbeeld aan de farmaceutische industrie, waar bijzondere eisen worden gesteld aan hygiënische omstandigheden en aan het geheim houden van de recepten. In dit hoofdstuk gaan we in op fysieke beveiligingsmaatregelen. 7.1 Fysieke beveiliging Fysieke beveiliging is een onderdeel van informatiebeveiliging omdat alle bedrijfsmiddelen ook fysieke beveiliging nodig hebben. Fysieke beveiliging is eigenlijk ouder dan informatiebeveiliging, denk dan aan de bescherming van mensen in een kasteel. Informatie beschermen speelt pas later een rol. Traditioneel wordt fysieke beveiliging in organisaties geregeld door de facilitair manager. Deze gebruikt eigen methoden en technieken om fysieke beveiliging in te richten. In veel organisaties is de coördinatie tussen de informatiebeveiliger en de verantwoordelijke voor fysieke beveiliging van groot belang. We gaan ook in op de verschillende verantwoordelijkheidsgebieden waar de informatiebeveiliger rekening mee moet houden. In de fysieke beveiligingswereld wordt de term OBE-mix gebruikt, dit is de mix van Organisatorische, Bouwkundige en Elektronische maatregelen. Ook fysieke maatregelen moeten met elkaar samenhangen. Bijvoorbeeld, het ophangen van beveiligingscamera's helpt alleen als daar bouwkundige maatregelen voor zijn genomen en als er goed wordt nagedacht over het doel van de camera en de plaats waar deze wordt opgehangen. Er dient ook follow-up te zijn als er iets wordt gedetecteerd of gezien, anders is het ophangen van een camera zinloos. Wat vaak vergeten wordt is dat technische maatregelen ook gelden voor tijdelijke (nood)ruimten of locaties Apparatuur Onder fysieke beveiliging valt de bescherming van apparatuur door bijvoorbeeld klimaatbeheersing (airco, luchtvochtigheid), het toepassen van speciale blusmiddelen en het zorgen voor 'schone' stroom. Onder schone stroom wordt verstaan dat pieken en dalen (vuile stroom) in de stroomvoorziening worden voorkomen en dat stroom wordt gefilterd. 32

33 7.1.2 Bekabeling Bekabeling hoort zo gelegd te worden dat geen interferentie kan optreden. Onder interferentie wordt verstaan dat de netwerkkabels ruis en storing overnemen van stroomkabels die parallel lopen. Vaak zijn deze effecten niet zichtbaar of hoorbaar. Een voorbeeld waarbij dit effect wel waargenomen kan worden is bij mobiele telefoons die storing doorgeven via luidsprekers of radio s. Kabelgoten moeten goed worden afgeschermd. In serverruimtes worden vaak gescheiden stroomaansluitingen gebruikt. Het is niet ongebruikelijk een server te voorzien van twee voedingen die ieder op een eigen groep zijn aangesloten Materiaal / media Voor medewerkers van de organisatie moet duidelijk zijn hoe ze met gegevensdragers om moeten gaan. Voor bepaalde materialen kunnen specifieke maatregelen gelden, denk bijvoorbeeld aan het wissen van vertrouwelijke gegevens op de gegevensdragers als deze de organisatie verlaten. Gegevensdragers zijn niet alleen voor de hand liggende zaken als USB-sticks, en de harddisk uit de desktop pc. Ook veel printers bevatten tegenwoordig opslag in de vorm van een harddisk. Hierop worden documenten tijdelijk opgeslagen en zijn voor een deel weer te reconstrueren. Het is ook mogelijk veel informatie op te slaan op mobiele apparatuur, denk hierbij aan telefoons, USB-sticks, geheugenkaartjes, organizers, blackberries en laptops. Het is belangrijk dat als een medewerker uit dienst treedt, al zijn of haar apparatuur wordt ingeleverd en de informatie die er op staat wordt verwijderd. Er moeten ook procedures zijn voor als dergelijke apparatuur is verloren of gestolen. 7.2 In de ban van de ring Alle bedrijfsmiddelen hebben waarde en afhankelijk van die waarde, de dreigingen en risico's, worden maatregelen genomen. Fysieke beveiligingsmaatregelen worden genomen om informatie te beschermen tegen brand, diefstal, vandalisme, sabotage, ongeautoriseerde toegang, ongelukken en natuurgeweld. Waar begint fysieke beveiliging? Fysieke beveiliging begint niet op de werkplek maar al buiten het pand waar de organisatie is gehuisvest. De te beschermen bedrijfsmiddelen mogen niet eenvoudig bereikt kunnen worden. We kunnen hierbij het eenvoudigst denken in ringen: Buitenring - Omgeving pand; Gebouw - De toegang tot het pand; Werkruimte - De ruimtes in het pand; Object - Het te beschermen bedrijfsmiddel. 33

34 7.2.1 De buitenring De buitenring om het pand heen kan worden beschermd met natuurlijke en bouwkundige hindernissen. Natuurlijke hindernissen zijn bijvoorbeeld dikke begroeiing of een rivier. Bouwkundige hindernissen zijn bijvoorbeeld hekken, prikkeldraad, concertina's (opgerold prikkeldraad dat als een harmonica uiteen wordt getrokken) en muren. Voor alle bouwkundige hindernissen bestaan strikte regels. De buitenring moet wel toegang bieden aan geautoriseerde personen en bij hindernissen moet altijd persoonlijke en/of elektronische controle worden toegepast. Er zijn tegenwoordig veel typen elektronische sensoren maar daar gaan we hier niet verder op in. Het gebied tussen de buitenring en het pand kan gebruikt worden voor bewaking door een persoon en bijvoorbeeld als parkeerplaats, waarbij de parkeerplaats bij voorkeur wordt afgeschermd van het gebouw. In dit gebied moet ook aandacht zijn voor verlichting en eventueel cameraobservatie Het gebouw Er zijn situaties waarin er geen buitenring is. In dat geval zijn de bouwkundige maatregelen belangrijk zoals ramen, deuren en andere openingen. Het beste is natuurlijk om deze maatregelen bij nieuwbouw toe te passen. Het aanpassen van een bestaand gebouw is een kostbare zaak. Bouwkundige maatregelen zijn ook aan strikte regels gebonden. Er zijn diverse mogelijkheden om openingen in het pand te beschermen, denk hierbij aan het gebruik van braakwerend glas en deuren met het juiste hang- en sluitwerk. De maatregelen moeten passen bij het niveau van bescherming dat nodig is. Naast de traditionele sloten, die er in diverse soorten zijn, wordt de laatste jaren meer gebruik gemaakt van elektronische hulpmiddelen bij toegang tot gebouwen, met behulp van kaartsystemen en code- en cijfersloten. Biometrische apparatuur wordt nog niet veelvuldig gebruikt. 34

35 Bij de bescherming van het gebouw moet ook aandacht zijn voor het dak en de muren. Ook hier kunnen camera's een dienst bewijzen Toegangsbeheer Om de toegang tot het pand te beheren zijn er verschillende mogelijkheden: Elektronisch toegangsbeheer Bij veel organisaties worden passystemen toegepast met draadloze, zogenaamde RFID-passen. Dit zijn momenteel de meest gebruikte systemen. De passen zijn onderwerp van discussie omdat bijvoorbeeld de OV-chipkaart, maar ook andere toegangspassen kunnen worden 'afgeluisterd' en nagemaakt of nagebootst. In het nieuws In meer dan de helft van de verloskundige afdelingen in de Amerikaanse staat Ohio krijgen zowel moeder als kind een rfid-tag in de vorm van respectievelijk een armband of enkelbandje. Op deze manier hopen de afdelingen te voorkomen dat er baby s zoekraken, ontvoerd worden of aan de verkeerde ouders worden meegegeven. Baby's krijgen een enkelbandje om en moeders een armband. Het HUGS-systeem alarmeert de afdeling wanneer het enkelbandje breekt of wanneer de rfid-tag van moeder en kind niet met elkaar overeenkomen. Privacybeschermingsorganisatie Consumers Against Supermarket Privacy Invasion and Numbering (Caspian) ageert hiertegen. HUGS zou ziekenhuizen alleen maar minder waakzaam maken, omdat ziekenhuispersoneel te veel op de technologie zou vertrouwen. Bron: Naast RFID-passen zijn er andere soorten passen die niet af te luisteren zijn. Bij gebruik van toegangspassen zijn er een paar regels die men in overweging kan nemen: 1. Plaats op de pas een pasfoto. Dit maakt namaken iets moeilijker. Zowel de bewaking als het personeel is in staat te controleren of de pas en de drager bij elkaar horen; 2. Zet op de pas geen bedrijfsnaam of logo maar gebruik in plaats daarvan een herkenbaar maar neutraal ontwerp. Het mag voor een vinder niet duidelijk zijn waar de pas voor dient; 3. Voer draagplicht in. Draagplicht betekent dat iedereen zijn/haar pas zichtbaar moet dragen. Dit geldt ook voor bezoekers en het betekent dat het personeel en de bewaking anderen hier op aan kunnen spreken. Zorg ook voor een procedure waarin wordt geregeld dat mensen zonder pas worden begeleid naar de bewaking. Er kan ook gebruik gemaakt worden van sterke authenticatie, meestal voor speciale ruimten, waarbij naast een toegangspas aanvullende maatregelen worden gebruikt, dus: 35

36 1.Iets dat je weet, bijvoorbeeld een pincode 2.Iets dat je hebt, bijvoorbeeld een pas 3.Iets dat je bent, een biometrisch gegeven bijvoorbeeld een vingerafdruk of een irisscan In het nieuws In 2006 was het nog toekomstmuziek, maar vandaag zijn Albert Heijn en Equens een pilot gestart waarbij consumenten hun boodschappen met een vingerafdruk kunnen betalen. De test loopt de komende zes maanden en moet uitwijzen hoe consumenten de nieuwe betaalmethode ervaren. "Met Tip2Pay kunnen consumenten snel, simpel en veilig betalen door hun vingerafdruk op de scanner bij de kassa te leggen." Die vingerafdruk is gekoppeld aan het adres, rekeningnummer en bonuskaart. Als de pilot is afgelopen volgt er een evaluatie. Bron: Bewaking Persoonlijke bewaking is de kostbaarste maatregel voor fysieke beveiliging van een object. Bewaking kan worden aangevuld met goedkopere maatregelen zoals sensoren en camera's. Ook is het mogelijk sensoren en camera's op afstand te monitoren. In dat geval moet er altijd gereageerd worden (followup) als een alarm afgaat. De bewaking van een pand dient bij voorkeur ook toegangspassen op zicht te controleren zodat het moeilijker wordt gebruik te maken van nagemaakte passen De werkruimte Werkruimten kunnen een eigen functie hebben en zullen dan ook apart beveiligd moeten worden. Neem bijvoorbeeld een publiek gebouw zoals een gemeentehuis. We kunnen wel het publieke deel van het gemeenthuis in maar de werkruimten zijn niet voor iedereen toegankelijk Indringerdetectie In ruimten op de begane grond en overige bijzondere ruimten zijn diverse soorten van indringerdetectie mogelijk. Dit is afhankelijk van het soort ruimte (grootte, wandsoort, hoogte, inhoud). De meest gebruikte methode is passieve infrarooddetectie. Bij indringerdetectie moet uiteraard wel gereageerd worden op alarmsignalen Speciale ruimten Het is aan te raden aparte ruimtes te hebben voor het afleveren en afhalen van goederen zodat toeleveranciers niet bij dezelfde middelen en informatie kunnen komen als de eigen medewerkers. Het beperken van toegang is een preventieve maatregel. Er zijn nog enkele andere speciale ruimten van belang: Serverruimten Serverruimten en netwerkruimten worden apart genoemd omdat die in de fysieke beveiliging apart bekeken moeten worden. In serverruimten en netwerkruimten staat gevoelige apparatuur die niet tegen vocht en warmte kan en die ook nog eens warmte produceert. Daarnaast kan een informatiesysteem uitvallen door stroomstoringen. Eén van de grootste bedreigingen van een serverruimte is brand. Server- of netwerkruimten kennen naast bouwkundige eisen ook eisen voor toegangscontrole. Media zoals back-up tapes mogen niet worden bewaard in netwerkruimten. Bewaar tapes liever in een fysiek gescheiden locatie zodat bij een calamiteit in het pand de tapes niet beschadigd raken. 36

37 Niets is erger dan dat na een brand ontdekt wordt dat er niets te herstellen valt omdat de back-ups ook verloren zijn gegaan. Koeling In serverruimten moet de lucht worden gekoeld en warmte van de aanwezige apparatuur worden afgevoerd. Daarnaast wordt deze lucht ook nog eens van vocht ontdaan en gefilterd. Wat vaak gebeurt, is dat er wel apparatuur wordt bijgeplaatst, maar men vergeet vervolgens de koelcapaciteit te verhogen. In de praktijk In een organisatie werd jaren geleden een koelinstallatie in de serverruimte geplaatst. in de jaren erna werd wel materiaal bijgeplaatst maar het vermogen van de koelinstallatie werd niet verhoogd. Op een gegeven moment viel de koeling uit en toen de temperatuur begon te stijgen vielen ook de servers uit met als gevolg dat er dagenlang geen centrale computer systemen beschikbaar waren. Noodstroom Apparatuur gebruikt stroom, vaak veel stroom. In serverruimten is het raadzaam verschillende groepen stroom te gebruiken. Daarnaast wordt nog een aantal voorzieningen gebruikt: Accupacks of een Uninterruptible Power Supply (UPS) die naast het opvangen van spanningsdips ook de stroom filtert en pieken afvangt. Accupacks hebben niet het eeuwige leven, daarom is het verstandig daarnaast een noodstroomaggregaat te hebben om de stroomvoorziening langer te kunnen waarborgen. Het aggregaat moet wel regelmatig worden getest en de brandstof moet voor langere tijd voldoende zijn. Stroomstoringen zijn niet alleen een probleem voor computerapparatuur, ook productiebedrijven hebben hier last van. 37

38 In het nieuws STEENWIJK - Donderdagochtend werden alle huishoudens in de Kop van Overijssel en een deel van Drenthe getroffen door een stroomstoring. Inmiddels hebben de huishoudens en bedrijven weer stroom. De stroomstoring ontstond toen rond uur brand uitbrak in een hoofdvoedingsstation van de stroomleverancier in Steenwijk. Het betrof meer dan huishoudens en bedrijven. Via geluidswagens werden de bewoners door de politie geïnformeerd. Ook werden er speciale politieposten ingericht. De directie van een kunststoffenbedrijf in Steenwijk begint inmiddels problemen te krijgen met de continuïteit van het bedrijf. Zij kunnen een spanningsdip nog opvangen gedurende maximaal 10 minuten, maar daarna gaat de kunststof in de mallen uitharden en vormen zich bijproducten die de mallen beschadigen. De stroom was al eerder deze week een keer uitgevallen. Winkels konden niet geopend worden en als ze wel open waren, dan kon er alleen handmatig worden opgeteld en contant worden betaald. De voorraadsystemen konden niet worden bijgewerkt en de logistieke planning was een drama. Vocht Vocht hoort niet thuis in serverruimten, daarom wordt de toegevoerde lucht van vocht ontdaan. Daarnaast moeten we er op letten dat er geen waterleidingen of cv-installaties in server ruimten gemonteerd zijn. Tegenwoordig is waterkoeling mogelijk voor apparatuur maar deze moet goed gecontroleerd worden. Brand Zie ook: Brandbeveiliging Brand is een van de belangrijkste bedreigingen van een speciale ruimte zoals een serverruimte of netwerkruimte. Bepaalde maatregelen zijn hierbij altijd relevant: Rookmelders om rook te detecteren; Brandblusmiddelen, als er brand uitbreekt moet deze snel worden geblust met een speciaal brandblusmiddel; Geen opslag van verpakkingsmateriaal, een serverruimte is geen magazijn; Geen opslag van back-uptapes in de serverruimte of het gebouw; De bekabeling die gebruikt wordt kan extra brandvertragend zijn gemaakt. Opslag gevoelig materiaal Aparte ruimten kunnen worden gebruikt voor opslag van gevoelig materiaal. Dit kan informatie zijn, maar ook medicijnen of dure goederen. Deze ruimten vragen om extra maatregelen die de veiligheid waarborgen. De toegang tot speciale ruimten moet worden gecontroleerd, bij voorkeur door deze ruimten op te nemen in de toegangscontrolesystemen van het pand, bijvoorbeeld met een extra pasopener Het object Met het object wordt hier het meest gevoelige te beschermen deel bedoeld, de binnenste ring. Voor opslag en bescherming van gevoelig materiaal zijn diverse mogelijkheden aanwezig: Clear desk policy Om er voor te zorgen dat gevoelig materiaal niet voor het grijpen ligt is een clean desk policy nodig. In afwezigheid van een medewerker ligt geen informatie op het bureau en na werktijd wordt alle informatie opgeborgen in een afsluitbare kast. 38

39 Kasten Een kast is de meest eenvoudige opslagmogelijkheid. Een kast moet dan wel afgesloten worden en de sleutel mag niet in de directe omgeving te vinden zijn. Een kast is niet speciaal beveiligd tegen brand en een kast heeft een lage braakwerendheid. Brandkast of waardekast Een brandkast beschermt de inhoud tegen brand. Brandkasten zijn er in klassen waarmee de brandvertragendheid of waardebescherming wordt aangegeven. Brandkasten zijn geen kluizen maar ze kunnen ook gecombineerd worden met extra braakwerende eigenschappen. Brandkasten zijn een prima opbergmiddel voor bijvoorbeeld back-up tapes, papieren en geld. Hierbij moet opgemerkt worden dat de back-up tapes van een systeem niet in hetzelfde pand moeten worden bewaard als het informatiesysteem. Bij volledige schade van een pand mogen de tapes niet ook beschadigd raken. Brandkasten of kluizen kunnen worden ingemetseld en soms zijn het hele ruimtes. Brandkasten of kluizen kennen vele soorten sloten en beschermingsmogelijkheden tegen braak. 7.3 Alarm Sensoren In de fysieke beveiliging kunnen vele soorten sensoren worden toegepast. De meest gebruikte zijn: Passieve infrarooddetectie. Deze sensoren worden meestal binnenshuis gebruikt en nemen temperatuurswijzigingen waar binnen een bepaald bereik van de sensor: Camera's. Deze sensoren nemen beeld op welke opgeslagen en bekeken kunnen worden. Met slimme software kunnen automatische controles worden uitgevoerd; Trillingdetectie. Deze sensoren detecteren trilling; Glasbreuksensoren. Deze sensoren detecteren het breken van een ruit; Magneetcontacten. Sensoren die het openen van een deur of raam detecteren Alarmmonitoring De sensoren moeten worden aangesloten op indringerdetectiesystemen en goed worden gemonitord. Er zijn systemen die zelf een alarmcentrale kunnen bellen van een derde partij zoals een bewakingsdienst, die de monitoring voor zijn rekening neemt. In alle gevallen moet bij een alarm worden nagekeken waarom het alarm is afgegaan. Van alarmmeldingen wordt een logboek bijgehouden. 7.4 Brandbeveiliging Brandbeveiliging is een speciaal aandachtsgebied binnen de fysieke beveiliging. Daarnaast zijn er natuurlijk verplichte brandbeveiligingseisen waaraan altijd moet worden voldaan. Brand is één van de dreigingen die altijd kan voorkomen. Er moeten dus ook altijd maatregelen tegen worden getroffen. Brand kan op verschillende manieren ontstaan, bijvoorbeeld door kortsluiting, defecten aan verwarmingsketels, menselijk handelen, defecten aan apparatuur. Voor brand (vuur) zijn altijd de volgende factoren nodig: een brandbare stof, zuurstof en ontbrandingstemperatuur. Dit is de 'branddriehoek'. Brand kan bestreden worden met blusmiddelen. Het doel van de blusmiddelen is het doorbreken van deze branddriehoek. Welke soorten schade kennen we bij brand? 39

40 Schade door verbranding; Schade door warmte; Schade door rook; Schade door gebruikte blusmiddelen Signalering Voor de signalering van brand worden meestal rookmelders gebruikt die op een apart systeem zijn aangesloten. Het is van groot belang de rookmelders periodiek te controleren. Binnen organisaties worden als het goed is regelmatig brand- en ontruimingsoefeningen gehouden zodat iedereen bekend is met de alarmsignalen en de ontruimingsprocedures Blusmiddelen Blusmiddelen zijn er op gericht één of meer van de drie componenten van vuur te bestrijden en zo het vuur te doven. Er zijn verschillende soorten brand en dus ook verschillende blusmethoden. De verschillende soorten branden zijn bijvoorbeeld: brand ontstaan door elektriciteit, chemische stoffen die branden en vloeistofbrand. Verschillende blusmiddelen zijn: Inert gas (een gas dat als functie heeft zuurstof te verdringen), zoals: Koolstofdioxide; Argon (edelgas); Halonen (niet meer toegestaan); Inergen (merknaam); Argonite (merknaam). Schuim (gebaseerd op water, niet geschikt voor elektriciteit); Poeder (geschikt voor elektriciteit, veroorzaakt schade aan metaal); Water (niet geschikt voor elektriciteit); Zand. Hieronder is de blusinstallatie van een serverruimte te zien. 40

41 7.5 Emergency planning Emergency planning is het proces dat er voor moet zorgen dat in het geval van een calamiteit, bijvoorbeeld het uitvallen van een hele serverruimte, maatregelen worden genomen. Het hele emergency planningproces uitleggen gaat hier te ver. Later gaan we wel in op Business Contingency Planning. 7.6 Samenvatting Het hoofdstuk Fysieke beveiliging is veelomvattend. U hebt kennis gemaakt met de wijze waarop wij onze bezittingen proberen te beschermen. We bepalen eerst wie er op ons terrein mogen komen, daar wordt al vastgesteld of er een hek om het terrein heen komt of niet. Als er een hek geplaatst wordt, hoe hoog moet dat dan worden? Plaatsen we camera s binnen en buiten het gebouw? Mag iedereen binnen rondlopen, of maken we ook binnen het gebouw gebruik van toegangscontrolesystemen? Zoals u gelezen heeft, is fysieke beveiliging lang niet altijd bescherming tegen diefstal. Het gaat ook om de koeling van de apparatuur. Een oververhitte server gaat gauw kapot. Dat gaat dan weer ten koste van de continuïteit. Kabels beschermen tegen storingen betekent een betere werkomgeving. Noodstroomapparatuur zorgt ervoor dat we kunnen blijven werken wanneer de stroom (tijdelijk) uitvalt. Uiteindelijk lopen de verschillende onderwerpen, zoals beschikbaarheid, fysieke beveiliging en ICTbeveiliging naadloos in elkaar over. 7.7 Casus Een groot farmaceutisch bedrijf gaat een nieuwe vestiging bouwen op een industrieterrein voor schone industrieën. Het wordt een campusachtig terrein met een parkachtige structuur. De gebouwen van het bedrijf moeten op het oog vrij toegankelijk zijn voor het publiek, anderzijds mogen bezoekers niet onopgemerkt de gebouwen kunnen naderen. Toegang tot de gebouwen dient op een vriendelijke doch zeer sluitende manier geregeld te worden, zodat mensen alleen toegang hebben tot die delen van de gebouwen waartoe zij geautoriseerd zijn. De vertrouwelijkheid van de informatie, bijvoorbeeld van de recepten die gebruikt worden, staat hoog in het vaandel. Bekendmaking aan derden kan de concurrentiepositie ernstige schade toebrengen. Binnen in de gebouwen worden verschillende zones gehanteerd: een publieke zone en meerdere, steeds vertrouwelijker zones. In het productiedeel is absolute hygiëne vereist, daar is alles volkomen stofvrij. De lucht moet permanent gezuiverd worden en op de juiste temperatuur, luchtdruk en luchtvochtigheid gehouden worden. De geautomatiseerde systemen worden in een rekencentrum in eigen beheer onderhouden. Deze apparatuur is van zeer groot belang voor het productieproces en voor de ontwikkeling van nieuwe producten. U krijgt de opdracht, in overleg met de architecten en aannemers, een sluitend plan te maken waarin aan alle genoemde eisen wordt voldaan. 41

42 8. Technische maatregelen (ICT-beveiliging) Inleiding Uit een risicoanalyse komen technische maatregelen voort. De maatregelen bevinden zich op het vlak van fysieke beveiliging, die veelal ook technisch van aard zijn, maar ook op het gebied van de beveiliging van de ICT-infrastructuur. Dit hoofdstuk gaat in op het beheer van de bedrijfsmiddelen, de beveiliging van de ICT-infrastructuur en de beveiliging van de data tegen ongewenste inzage door middel van toegangscontrole en door middel van cryptografische toepassingen. De correcte werking van een toepassing en de correcte verwerking van informatie komen ook aan bod. Informatie moet betrouwbaar zijn. Wat hebben we aan informatie wanneer we er niet op kunnen vertrouwen dat die informatie juist en volledig is? Hoewel informatiesystemen niet per definitie geautomatiseerde systemen zijn, zien we in de praktijk wel steeds vaker dat geautomatiseerde systemen een belangrijke rol spelen in de informatievoorziening. Daardoor speelt de beveiliging van deze geautomatiseerde systemen en de daarbij behorende infrastructuur in toenemende mate een belangrijke rol. ICT-beveiliging richt zich dan ook hoofdzakelijk op het beveiligen van de ICT-infrastructuur. Dit hoofdstuk gaat in op de beveiligingsmaatregelen die op het ICT-vlak genomen kunnen worden. 8.1 Beheer van bedrijfsmiddelen Een van de manieren om risico s te beheersen c.q. te managen is door controle uit te oefenen op veranderingen die mogelijk risicovol zijn. Deze controle kan op verschillende manieren ingevuld worden. Er zijn verschillende modellen en methoden die handvatten geven voor het uitoefenen van controle, denk bijvoorbeeld aan COBIT en ITIL. In elk van de toegepaste modellen of methoden is een aantal basiselementen te vinden die helpen deze controle uit te kunnen oefenen. De basiselementen zijn: Afspraken over hoe met bedrijfsmiddelen omgegaan wordt; Afspraken (processen) over hoe veranderingen tot stand komen; Afspraken over wie de wijzigingen (changes) mag initiëren en uitvoeren en hoe de wijzigingen getest zullen worden. Een valkuil bij het vastleggen van deze, initieel vaak als bureaucratisch geïnterpreteerde, afspraken is dat deze tot doel worden verheven, in plaats van de nadruk te leggen op de betekenis. COBIT staat voor: Control Objectives for Information and related Technology en is een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving. ITIL staat voor: Information Technology Infrastructure Library en is ontwikkeld als een referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie Afspraken over omgaan met bedrijfsmiddelen Het doel van het vastleggen hoe met bedrijfsmiddelen omgegaan moet worden is het voorkomen van fouten door verkeerd gebruik. Verkeerd gebruik kan ook tot onnodige schade leiden. Denk hierbij alleen maar aan een simpel voorschrift om geen papier met metaal (zoals paperclips en nietjes) in een papierversnipperaar te doen. Hoe complexer middelen worden hoe nuttiger het is duidelijke gebruiksaanwijzingen en instructies op te stellen. 42

43 8.1.2 Wat zijn bedrijfsmiddelen Bedrijfsmiddelen zijn noodzakelijk voor een organisatie. Bedrijfsmiddelen kosten geld of vertegenwoordigen een bepaalde waarde. Bedrijfsmiddelen zijn onder andere: Informatie in de vorm van bijvoorbeeld documenten, databases, contracten, systeemdocumentatie, procedures, handleidingen, systeemlogs, plannen en handboeken; Programmatuur zoals systeemprogrammatuur, gebruikersprogrammatuur en ontwikkel programmatuur; Apparatuur zoals servers, pc's, netwerkcomponenten en bekabeling; Media; Diensten; Mensen en hun kennis; Immateriële zaken zoals imago of reputatie van de organisatie. Bedrijfsmiddelen hebben een classificatie nodig om er beveiligingsniveaus voor te kunnen vaststellen. De eigenaar dient hier voor te zorgen. Ieder bedrijfsmiddel moet een eigenaar hebben. Een goede registratie van bedrijfsmiddelen is noodzakelijk voor de risicoanalyse, zie : Dreigingen en risico s (risicoanalyse). Daarnaast is registratie soms nodig voor de verzekering, financiële verantwoording en wettelijke vereisten (bijvoorbeeld registratie persoonsgegevens bestanden in het kader van de Wet Bescherming Persoonsgegevens WBP). Registraties van bedrijfsmiddelen worden bij voorkeur twee maal per jaar gecontroleerd en hiervan wordt een verslag gemaakt voor het management. De informatie die vastgelegd wordt over bedrijfsmiddelen is: Soort, type bedrijfsmiddel; Eigenaar; Locatie; Formaat; Classificatie; Bedrijfswaarde. Deze informatie is nodig voor bijvoorbeeld herstel na een incident of calamiteit. De eigenaar is iemand die verantwoordelijk is voor een bedrijfsproces of deelproces of bedrijfsactiviteit en draagt zorg voor alle aspecten van de bedrijfsmiddelen. Denk hierbij aan de beveiliging, het beheer, de productie of de ontwikkeling Het gebruik van bedrijfsmiddelen Het gebruik van bedrijfsmiddelen is aan regels gebonden. Deze regels zijn bijvoorbeeld vastgelegd in een handleiding, maar ook in hoe om te gaan met mobiele apparatuur wanneer deze buiten de organisatie wordt gebruikt Classificatie Allereerst een paar begrippen: Classificeren is het indelen van informatie naar gevoeligheid; Rubricering is de classificatie die aan informatie wordt toegekend, zoals geheim, confidentieel, en personeelsvertrouwelijk. De term rubriceren wordt vaak binnen de overheid gebruikt; 43

44 Merking is een bijzondere aanduiding, bijvoorbeeld een indeling naar zaak of organisatie of kring van gerechtigden. De eigenaar is degene die verantwoordelijk is voor een bedrijfsmiddel. Een folder op het netwerk kan bijvoorbeeld een eigenaar hebben. Wanneer iemand toegang wil tot de informatie in die folder, moet de eigenaar daar toestemming voor geven. Van een laptop wordt meestal de gebruiker geregistreerd als eigenaar. De eigenaar van een bedrijfsmiddel kent hieraan een juiste rubricering toe volgens een vooraf afgesproken lijst met classificaties. De rubricering geeft aan welke vorm van beveiliging noodzakelijk is. Dit wordt onder andere bepaald door gevoeligheid, waarde, wettelijke eisen en belang voor de organisatie. De rubricering is in overeenstemming met de wijze waarop het bedrijfsmiddel wordt gebruikt in het bedrijf. De eigenaar van het bedrijfsmiddel zorgt ook voor herclassificatie als dat nodig is. Als binnen een bedrijf of organisatie bedrijfsmiddelen zijn geclassificeerd kan alleen de eigenaar deze classificatie verlagen of hiervoor toestemming te geven. Bijvoorbeeld informatie wordt geclassificeerd als vertrouwelijk tot het moment van publicatie. Daarna wordt de classificatie verlaagd; de informatie is immers publiek geworden. Als een bedrijfsmiddel een rubricering heeft, wordt het gemerkt of gelabeld. Dit kan fysiek, zichtbaar op het bedrijfsmiddel, of erin, zoals bij elektronische documenten, databases, records, berichten, op het beeldscherm waar de informatie staat en tenslotte verzendkanalen. Bij documenten kan een maatregel zijn dat de rubricering aan de boven- en onderzijde is opgenomen. Alle documenten met geclassificeerde informatie horen een exemplaar- of versienummer te hebben en iedere pagina is genummerd. Het moet ook duidelijk zijn uit hoeveel pagina s het gehele document bestaat. Dit is wel een vrij zware maatregel, te meer omdat maatregelen ook gecontroleerd moeten kunnen worden. Binnen de overheid worden rubriceringen gebruikt die te vinden zijn in het document VIR-BI (Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie). Deze zijn: Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim, Staatsgeheim Zeer Geheim. De rubricering kan worden aangevuld met een merking. Door middel van een merking kan een specifieke kring van gerechtigden worden aangegeven. Een voorbeeld hiervan is: Politie Zeer Vertrouwelijk, Crypto. Een document met deze rubricering en merking is alleen bedoeld voor behandeling door personeel met een autorisatie voor het werken met encryptiemiddelen. Binnen de overheid worden mensen gescreend tot het niveau dat de classificatie aangeeft. Daarnaast worden nog andere richtlijnen gehanteerd, zoals toegang tot informatie op basis van 'need to know' en uiteraard een 'clean desk policy'. De eigenaar stelt vast wie toegang heeft tot welke gemerkte bedrijfsmiddelen. De rubricering van een bedrijfsmiddel bepaalt ook hoe deze fysiek opgeslagen mag worden. Hiervoor worden bedrijfspanden soms in compartimenten ingedeeld, met per compartiment verschillende beveiligingseisen en toenemende beveiliging, zie: In de ban van de ring. Het gebruik van een rubricering is erg lastig te implementeren in een organisatie omdat mensen er bij na moeten denken om ze goed toe te passen. Er kan ook voor worden gekozen alle nietgeclassificeerde informatie niet te voorzien van een rubricering. Deze informatie is openbaar. 8.2 Logisch toegangsbeheer Logisch toegangsbeheer betreft het verlenen van toegang tot digitale informatie en informatiediensten aan die personen die daartoe geautoriseerd zijn, maar ook het voorkomen dat niet-gerechtigden toegang krijgen tot deze digitale informatie. De eigenaar van de gegevens, over het algemeen een manager, zal in het autorisatieproces de autorisatie verlenen. Deze autorisatie kan door software automatisch verwerkt worden of door de systeem/applicatie beheerder worden verleend. 44

45 8.2.1 Discretionary Access Control (DAC) Bij Discretionary Access Control ligt het besluit om toegang te verlenen tot informatie bij de individuele eindgebruiker. Een voorbeeld hiervan is anderen toegang geven op de eigen home directory. Een ander voorbeeld is het versturen van informatie aan personen die niet zelf direct toegang hebben tot deze informatie. Omdat dit een flexibele vorm van toegangscontrole is, is deze moeilijk te controleren en is de informatie moeilijk te beveiligen Mandatory Access Control (MAC) Bij mandatory access control wordt centraal bepaald en gereguleerd welke personen en systemen toegang krijgen tot informatiesystemen Verlenen van toegang Bij het verlenen van toegang wordt vaak onderscheid gemaakt tussen identificatie, authenticatie en autorisatie. Identificatie is de eerste stap in het toegangsverleningsproces. Bij de identificatie biedt de persoon of het systeem een token aan, bijvoorbeeld een sleutel of gebruikersnaam/wachtwoord. Vervolgens bepaalt het systeem waar toegang tot verkregen moet worden en of het token authentiek is. Zodra dit is vastgesteld kunnen autorisaties toegekend worden. In de praktijk Bij de grensbewaking op het vliegveld bied ik ter identificatie een paspoort aan. De controleur (marechaussee) authenticeert vervolgens dit token door deze te controleren op echtheidskenmerken. Voor een informatiesysteem is het van belang dat deze controle op echtheidskenmerken (authenticatie) eenduidig vastligt. Iemand kan namelijk op verschillende manieren de authenticiteit van een paspoort controleren. Zo kan hij de foto vergelijken met mijn gezicht. Ook kan hij vaststellen dat de pasfoto terugkomt in het gaatjespatroon op de houderpagina. Om meer zekerheid te krijgen over de authenticiteit van het paspoort zou hij echter een centrale administratie kunnen raadplegen om vast te stellen dat het paspoort niet ingetrokken is of gestolen. De gewenste zekerheid over de authenticiteit van een token bepaalt welke controles uitgevoerd moeten worden voordat het token authentiek bevonden kan worden. In de laatste stap worden autorisaties toegekend. Zo kan op het vliegveld aan mij de autorisatie toegekend worden om de vertrekterminal te betreden. Deze controle is echter onvoldoende om autorisatie te krijgen tot andere delen van het vliegveld zoals de bagageafhandeling Bewaken van toegang Naast de toegangscontrole is het van belang te bewaken wie waar toegang tot krijgt en of deze geen misbruik maakt van de toegekende autorisatie. Op het vliegveld zal bewaakt moeten worden dat ik niet probeer toegang te krijgen tot zones waarvoor ik niet geautoriseerd ben. Deze toegangsbewaking kan verschillende redenen hebben zoals het beperken van risico s maar ook het tegemoetkomen aan wettelijke verplichtingen. Het kan zijn dat aangetoond moet worden dat alleen geautoriseerde personen toegang gekregen hebben tot bepaalde informatie. Dit maakt meteen duidelijk dat toegangsverlening niet alleen een systeemaangelegenheid is maar ook procedureel en organisatorisch. 8.3 Beveiligingseisen voor informatiesystemen Vanaf het eerste moment dat een bedrijf gaat nadenken over de aanschaf en het (laten) ontwikkelen van informatiesystemen is het noodzakelijk dat beveiliging deel uitmaakt van het nieuwe project. 45

46 Informatiesystemen omvatten besturingssystemen, infrastructuur, bedrijfstoepassingen, kant-en-klare producten, diensten en toepassingen die voor de gebruiker zijn ontwikkeld. Ontwerp en implementatie van het informatiesysteem dat het bedrijfsproces ondersteunt kunnen van doorslaggevend belang zijn voor de wijze waarop de beveiliging wordt ingericht. Beveiligingseisen moeten voorafgaand aan de ontwikkeling en/of implementatie van informatiesystemen worden vastgesteld en overeengekomen. De beveiligingseisen worden in een risicoanalyse vastgesteld en tijdens de specificatie van de eisen voor het project verantwoord, overeengekomen en gedocumenteerd als onderdeel van de totale business case voor een informatiesysteem. Het is beduidend goedkoper beveiligingsmaatregelen tijdens de ontwerpfase te implementeren en te onderhouden dan tijdens of na de implementatie. In de praktijk Een grote organisatie laat een nieuw intranet ontwerpen. Twee weken voor de ingebruikneming wordt aan de Information Security Manager (ISM) gevraagd of zij nog even naar de beveiligingsmaatregelen kan kijken. Een gedegen onderzoek brengt zoveel zwakheden aan het licht dat het intranet totaal opnieuw ontworpen moet worden en er ruim een jaar vertraging optreedt in de implementatie. Vele honderdduizenden euro s gaan onnodig verloren door een gebrek aan communicatie! Bij de aanschaf van producten hoort een formeel test- en inkoopproces te worden gevolgd. In de contracten met de leverancier zijn de eisen die aan de beveiliging van het product worden gesteld, opgenomen. Wanneer de beveiligingsfunctionaliteit in het product niet voldoet aan de gestelde eis, dan moeten het risico dat dit met zich mee brengt en de beveiligingsmaatregelen die daarbij horen worden heroverwogen. Of er wordt besloten dit product niet aan te schaffen Correcte verwerking in toepassingen Toepassingen (software, computerprogramma's) moeten werken zoals bedoeld in het ontwerp en de ontwikkeling. Een programma dat mogelijk maakt dat fouten worden gemaakt, dat gegevens verloren gaan, dat een onbevoegde persoon wijzigingen kan aanbrengen of informatie kan misbruiken is een groot risico. In toepassingssystemen, ook toepassingen die door de gebruiker zelf zijn ontwikkeld, horen geschikte beheersmaatregelen te zijn ingebouwd. Zo'n beheersmaatregel betreft bijvoorbeeld de validatie van invoergegevens, interne verwerking en uitvoergegevens. Hiermee wordt bedoeld dat de informatie eenduidig wordt ingevoerd en dat de gegevens controleerbaar correct zijn. Voor de eenduidige invoer wordt vaak gebruik gemaakt van zogenaamde stamtabellen en begrippenlijsten. Deze lijsten, die in de software/database zijn ingebouwd, kunnen helpen voorkomen dat voor één begrip, meerdere woorden gebruikt worden. In de praktijk Een politieman neemt een aanrijding op en vermeldt in het systeem: voetganger op trottoir aangereden door bromfiets. De volgende dag neemt een andere politieman op dezelfde locatie een aanrijding op en vermeldt in het systeem: wandelaar aangereden door bromscooter op het voetpad. Wanneer nu in de database gegevens worden gezocht voor een onderzoek naar verkeersgevaarlijke 46

47 situaties zal niet de juiste informatie boven water komen. Het systeem moet afdwingen dat alleen de woorden voetganger, trottoir en bromfiets ingevoerd kunnen worden en de woorden wandelaar, voetpad en bromscooter niet. Wanneer vervolgens op de juiste woorden gezocht wordt, zullen alle aanrijdingen die aan de criteria voldoen uit het systeem komen Validatie van in- en uitvoergegevens Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om ervoor te zorgen dat ze betrouwbaar zijn. Zakelijke transacties en vaste gegevens kunnen automatisch worden gecontroleerd. Denk bijvoorbeeld aan een invoerveld voor de postcode dat altijd een vast formaat kan hebben. Dit geldt ook voor verkoopprijzen, wisselkoersen, belastingtarieven en kredietlimieten. Validatie is een belangrijk middel om gebruikersfouten en misbruik te voorkomen. 8.4 Cryptografie De term cryptografie (geheimschrift) komt uit het Grieks en is een samenvoeging van de woorden kryptós dat verborgen betekent en gráfo dat schrijven betekent. Voorbeelden van cryptografie zijn zo oud als de spreekwoordelijke weg naar Rome. Het werd onder andere toegepast door de Romeinen om militaire boodschappen over te brengen. Zelfs als de boodschap in vijandelijke handen zou vallen, kon de vijand daar geen informatie uit afleiden omdat de boodschap op het oog nietszeggende gegevens bevatte. Onderzoek naar cryptoalgoritmen wordt ook wel cryptoanalyse genoemd en werd niet alleen toegepast om algoritmen te ontwikkelen maar ook om algoritmen van vijanden te kraken. Cryptoanalyse heeft zich vooral gedurende en na de tweede wereldoorlog sterk ontwikkeld. Vaak wordt cryptografie gezien als middel om informatie geheim te houden, maar ook andere toepassingsgebieden, zoals het beschermen van de vertrouwelijkheid, authenticiteit of integriteit van informatie zijn te danken aan cryptografie. In het nieuws Een student van de Radboud Universiteit in Nijmegen is erin geslaagd met een zelf gebouwd apparaatje ter waarde van veertig euro een wegwerpversie van de OV-chipkaart te kopiëren. De kopie is onbeperkt te gebruiken als vervoersbewijs. De student luisterde het berichtenverkeer tussen een origineel wegwerpkaartje en de chiplezer bij een poortje elektronisch af. Daarbij bleek dat de informatie die wordt overgestuurd niet is versleuteld, zoals dat wel gebeurt bij de ov-chipkaarten voor abonnementen die op naam van de reiziger staan. Voor wegwerpkaartjes is een chip met versleuteling blijkbaar te duur. Bron: Cryptografiebeleid Cryptografie is een maatregel die ingezet kan worden door de organisatie als bijvoorbeeld gegevens vertrouwelijk zijn. Over het gebruik van cryptografie moet goed worden nagedacht en dit moet in een beleidsdocument worden beschreven. 47

48 In dit document komt aan de orde: Waarvoor gebruikt de organisatie cryptografie; Welke soorten cryptografie gebruikt de organisatie, voor welke toepassingen; Beheersing en beheer van sleutelmateriaal; Back-up; Controle Sleutelbeheer Het beheer van de sleutels is een belangrijk onderdeel van het beleid in het gebruik van cryptografische technieken. Cryptografische sleutels behoren te worden beschermd tegen wijziging, verlies en vernietiging. Bovendien horen geheime en persoonlijke sleutels te worden beschermd tegen onbevoegde openbaarmaking. Apparatuur die wordt gebruikt voor het genereren, opslaan en archiveren van sleutels behoort fysiek te worden beschermd. Onderdeel van het sleutelbeheer is ook de registratie van de sleutelparen. Welke paren zijn wanneer en aan wie uitgegeven. Tot wanneer zijn de sleutels geldig? Wat te doen als sleutels openbaar worden bij onbevoegden? Een groot risico is wanneer veel verschillende apparaten binnen een organisatie van dezelfde sleutelsets gebruik maken. Worden deze sleutels buiten de organisatie bekend, dan zullen alle apparaten (vaak laptops) opnieuw van sleutelmateriaal voorzien moeten worden. Dit kan een zeer kostbare operatie zijn die bovendien in zeer korte tijd uitgevoerd moet worden. 8.6 Soorten cryptografische systemen Om gebruik te kunnen maken van een cryptografisch systeem moeten zowel de zender als ontvanger beschikken over het algoritme. Een kenmerk van een goed cryptografisch systeem is dat het algoritme zelf openbaar is. In hoofdlijnen zijn er drie vormen van cryptografische algoritmen te onderscheiden: symmetrisch, asymmetrisch en eenrichtingsvercijfering. Het algoritme dient de toets der kritiek te doorstaan en open te zijn. Als veel mensen er goed naar kijken is het moeilijker om er een gat in te schieten. De sleutels zijn het geheime deel van de cryptografie. De OV chipkaart bevatte een geheim algoritme en een bepaald getal, deze waren de zwakheid. Als het ontwerp van de myfare chip ook publiek door de wetenschap was beoordeeld, had dit er zo nooit ingezeten Symmetrisch Iedereen kent wel een symmetrisch cryptografisch systeem. Kenmerk van zo n systeem is dat er een algoritme is en een geheime sleutel die zender en ontvanger delen. In de praktijk Een simpele manier om een bericht te versleutelen is door het alfabet met getal x te verschuiven. Met x=+5 wordt A > F. Iedereen die de geheime sleutel heeft kan de boodschap decoderen door het alfabet met x=-5 te verschuiven. Zoals dit voorbeeld illustreert wordt de geheime sleutel gebruikt om zowel de boodschap te vercijferen als te ontcijferen. De sterkte van dit cryptografische systeem hangt direct samen met het vermogen van de zender en ontvanger de gedeelde sleutel geheim te houden. 48

49 8.6.2 Asymmetrisch Een asymmetrisch systeem lost de kwetsbaarheid van het delen van een geheime sleutel op. Het kenmerk van een asymmetrisch systeem is dat voor het vercijferen en ontcijferen twee verschillende sleutels gebruikt worden. Dit systeem is eind 1970 bedacht door Ron Rivest, Adi Shamir en Len Adleman en werkt op basis van priemgetallen en modulo rekenen. Het meest opmerkelijke bij dit algoritme is dat het niet meer nodig is dat de zender en ontvanger dezelfde sleutel te bezitten. Het algoritme werkt met zogeheten sleutelparen. Hierbij zorgt de private sleutel van het sleutelpaar voor de vercijfering en alleen de publieke sleutel van dit sleutelpaar kan het bericht ontcijferen. Het mooie van dit systeem is dat de publieke sleutel bekend gemaakt kan worden aan de hele wereld. Dit systeem kan op twee manieren toegepast worden. De eerste manier is om berichten te ondertekenen met de private sleutel. De ontvanger kan met behulp van de publieke sleutel verifiëren 49

50 dat het bericht afkomstig is van de eigenaar van de bijbehorende private sleutel. De tweede manier is om berichten bestemd voor een persoon te versleutelen met diens publieke sleutel. Alleen de houder van de private sleutel behorende bij deze publieke sleutel is in staat dit bericht te ontcijferen. Merk hierbij op dat het gebruik van de private sleutel beperkt is tot de houder van private sleutel, terwijl iedereen gebruik kan maken van de publieke sleutel. Asymmetrische algoritmen kunnen op deze manier zowel ingezet worden om zowel de integriteit als de vertrouwelijkheid van berichten te garanderen. Digitale handtekening Asymmetrische cryptografie wordt bijvoorbeeld toegepast bij een digitale handtekening. Een digitale handtekening is een methode voor het bevestigen van de juistheid van digitale informatie, vergelijkbaar met het ondertekenen van papieren documenten door middel van een geschreven handtekening. Over het algemeen bestaat een digitale handtekening uit twee algoritmen: een om te bevestigen dat de informatie niet door derden veranderd is, de ander om de identiteit te bevestigen van degene die de informatie "ondertekent". In Europa is een digitale handtekening dankzij Richtlijn 99/93/EG nu gelijkgeschakeld aan een "papieren" handtekening. In de meeste gevallen moet die digitale handtekening dan wel met behulp van een gewaarmerkt certificaat te verifiëren te zijn en moet deze met een veilig middel (bijvoorbeeld een smartcard) zijn gemaakt Public Key Infrastructure Asymmetrische cryptografie wordt ook wel Public Key Crypto genoemd. Let op dat dit niet hetzelfde is als Public Key Infrastructure (PKI). Bij een PKI komt veel meer kijken. Een kenmerk van een PKI is dat deze door afspraken, procedures en een organisatiestructuur waarborgen biedt over welke persoon of systeem hoort bij een specifieke publieke sleutel. Een Public Key Infrastructure wordt vaak beheerd door een onafhankelijke autoriteit. Vecozo is een Nederlands voorbeeld van een dergelijke autoriteit. Vecozo voorziet in het uitwisselen van vertrouwelijke informatie in de gezondheidszorg. In de praktijk Een huisarts wil haar behandelingen elektronisch gaan declareren bij de zorgverzekeraars. De zorgverzekeraars hebben een contract met een Certification Authority (CA). De huisarts vraagt bij de CA een certificaat aan. De CA controleert, voor de zorgverzekeraars, of de huisarts is wie zij claimt te zijn, bijvoorbeeld door haar diploma s op te vragen en een handtekening. De huisarts krijgt toegang tot de website om het certificaat te kunnen downloaden. Dit is een bestandje dat op de computer wordt geïnstalleerd. Als de huisarts wil declareren gaat ze naar de website van de CA. Bij het inloggen wordt het certificaat op de PC gecontroleerd en wordt gevraagd naar de gebruikersnaam en het wachtwoord die horen bij het certificaat. De huisarts krijgt toegang en ze kan haar declaratiebestanden uploaden. Ook kan ze bijvoorbeeld controleren of een bepaalde patient wel verzekerd is en bij welke zorgverzekeraar. 50

51 8.6.4 Eenrichtingsvercijfering Deze vorm van vercijferen wordt ook wel hashfunctie genoemd en is te vergelijken met het mengen van verf. Zodra twee verfkleuren vermengd raken is het zo goed als onmogelijk deze kleuren weer te scheiden. Dit soort algoritmen wordt hoofdzakelijk gebruikt om vast te stellen of bepaalde gegevens niet veranderd zijn. Het bericht wordt omgezet in een numerieke waarde. Met een bekend algoritme kan de ontvanger controleren of de boodschap de juiste hashwaarde heeft gehouden. Deze methode wordt gebruikt om de integriteit van berichten te controleren, bijvoorbeeld het wachtwoord op een computer. Er wordt geen vertrouwelijkheid mee geregeld. 51

52 8.7 Beveiliging van systeembestanden Bescherming van testdata Het is belangrijk dat testgegevens van apparatuur en programma's zorgvuldig worden gekozen, beschermd en beheerst. Het is niet de bedoeling dat echte data, die immers gevoelige informatie zoals persoonsgegevens kan bevatten, wordt gebruikt om mee te testen. In testsystemen mag uitsluitend fictieve data voorkomen Toegangsbeheer voor broncode van programmatuur Systeembestanden vormen de bron van de automatisering van een organisatie. Wanneer de broncode van deze bestanden in verkeerde handen valt, kan een kwaadwillende toegang tot vertrouwelijke informatie krijgen. Deze bestanden dienen dus zeer zorgvuldig behandeld te worden. De toegang tot broncode van programmatuur behoort te worden beperkt tot alleen de hoogst noodzakelijke medewerkers Beveiliging bij ontwikkelings- en ondersteuningsprocessen Managers die verantwoordelijk zijn voor toepassingssystemen, zijn verantwoordelijk voor de beveiliging van de projectomgeving waarin de toepassingen worden ontwikkeld en de omgeving waarin de toepassingen worden ondersteund. Zij bekijken ook of voorgestelde wijzigingen deze beveiliging niet in gevaar brengen. 8.8 Uitlekken van informatie Hoe voorkomen we dat gelegenheden zich voordoen om vertrouwelijke informatie te laten uitlekken? Bewustwording van medewerkers is één van de mogelijkheden om de medewerkers te doordringen van het belang bedrijfsinformatie niet naar buiten te brengen. Het bekende circuit van verjaardagen, de vereniging, vrienden en vooral onbekende vrienden van vrienden vormt een risico. In een ontspannen sfeer wordt gemakkelijk informatie gedeeld die dan ook in verkeerde handen kan vallen. Een bewuste poging om vertrouwelijke informatie los te krijgen is de zogenaamde social engineering. Voor deze Engelse term is geen goede Nederlandse benaming in gebruik. Iemand weet het vertrouwen te winnen van een medewerker door zich voor te doen als een collega of leverancier maar is in werkelijkheid uit op vertrouwelijke informatie. In een grote organisatie waar niet iedereen elkaar kent, is de kans op succes groot. De social engineer maakt gebruik van menselijke zwakheden. We denken bijvoorbeeld dat als iemand het juiste jargon gebruikt, hij of zij wel van binnen de organisatie zal zijn. Maar de social engineer kan de termen hebben afgeluisterd in het café. Daarnaast kan informatie uitlekken via verborgen communicatiekanalen. De kans dat de gewone medewerker van het bestaan van dit soort communicatiekanalen af weet is gering. Geheime communicatiekanalen zijn kanalen die niet zijn bedoeld voor het verwerken van informatiestromen, maar die desondanks kunnen bestaan in een systeem of netwerk. Het voorkomen van alle mogelijke geheime communicatiekanalen is moeilijk, zo niet onmogelijk. Er zijn immers altijd verbindingen naar binnen en naar buiten. Het gebruik van dergelijke kanalen wordt vaak in gang gezet door Trojaanse paarden (zie ook het hoofdstuk over malware). Het kan ook zijn dat de leverancier van een maatwerkprogramma een geheime toegang voor onderhoud in de applicatie heeft ingebouwd zonder dit door te geven aan de koper. Dit wordt ook wel een maintenance door of onderhoudstoegang genoemd. Deze praktijk wordt door de afnemer niet gewaardeerd. Wanneer de maatwerkapplicatie wordt gebruikt voor het verwerken van zeer vertrouwelijke informatie, kan een onafhankelijk bureau de broncode van de applicatie onderzoeken op dergelijke geheime communicatiekanalen. 52

53 8.8.1 Uitbesteden van ontwikkeling van programmatuur Wanneer de ontwikkeling van programmatuur wordt uitbesteed is het belangrijk dat de ontwikkeling wordt gesuperviseerd en gecontroleerd door de organisatie die de opdracht geeft. En wie wordt de eigenaar van de broncode? De opdrachtgever moet indien mogelijk de intellectuele eigendomsrechten krijgen. De kwaliteit en nauwkeurigheid van het uitgevoerde werk kan door certificering van een onafhankelijke instantie worden vastgesteld. Denk hierbij ook aan de opmerking hierboven met betrekking tot het controleren van verborgen communicatiekanalen. 8.9 Samenvatting Toegang tot de gebouwen wordt gereguleerd, toegang tot de netwerkinfrastructuur ook. Hoe gaan we om met de toegangsrechten die de medewerkers op de ICT-omgeving krijgen. De ene medewerker krijgt andere rechten dan de ander. Op welke wijze wordt nu bepaald wie wat mag doen? Waarom mag niet iedereen inzage hebben in alle informatie? Wanneer dat allemaal bepaald is, wordt het tijd de beschikbare informatie te verdelen over de medewerkers die gerechtigd zijn inzage in bepaalde systemen te hebben. Dit gebeurt door middel van toegangscontrole. Hoe gaan we met onze bezittingen om? We regelen dat in gestandaardiseerde processen. Wanneer informatie echt beveiligd moet worden tegen inzage door ongeautoriseerden, dan komt het gebruik van cryptografische toepassingen om de hoek kijken. U hebt een inleiding gekregen in cryptografie en weet nu wat het verschil is tussen symmetrische en asymmetrische cryptografie en PKI-oplossingen Casus Een middelgrote bank heeft grote uitbreidingsplannen voor de ICT-omgeving. De directie heeft besloten dat het noodzakelijk is alle ICT-voorzieningen te vervangen door nieuwe apparatuur. Open source wordt overwogen. Wel is het noodzakelijk dat alle nieuwe hardware goed ondersteund wordt. De huidige bankspecifieke programmatuur voldoet niet meer. De IT-afdeling gaat in eigen beheer of door middel van uitbesteding nieuwe programmatuur ontwikkelen die flexibel op verschillende Operating Systems (OS) moet kunnen draaien. Deze bank kent een groot aantal medewerkers die echter maar in een beperkt aantal functies werken. Er bestaat een verschil in autorisatieniveaus. Een beperkt aantal medewerkers heeft inzage in strategische informatie zoals de jaarcijfers en de financiële administratie. Deze medewerkers hebben geen inzage in klantgegevens. Zo zijn er meerdere gescheiden autorisatieniveaus aanwezig. De data die opgeslagen worden moeten uiteraard beveiligd worden tegen inzage door ongeautoriseerden. Uitwisseling van bepaalde gevoelige gegevens met externe partijen moet versleuteld gedaan kunnen worden. Belangrijk is dat het nieuwe systeem controlemiddelen kent zodat alleen de juiste informatie ingevoerd wordt. Boekingen kennen, afhankelijk van de hoogte van het bedrag, meerdere controlemomenten. Zeer hoge bedragen worden door meer dan één persoon geaccordeerd. Aan u wordt de taak gegeven een onderzoek in te stellen naar de beveiliging van het nieuw aan te schaffen netwerk en de computersystemen. Kiest u normale pc s of een thin client principe? Motiveer deze keuze. Welk OS kiest u en waarom? Hoe gaat u de autorisatiestructuur inregelen? Welke technieken gebruikt u om de verschillende niveaus vast te stellen? 53

54 Kiest u voor ontwikkeling van software in eigen beheer of kiest u een extern bedrijf? Geef de voor- en nadelen van beide opties en geef aan waar de valkuilen voor de bank liggen. Binnen de casus staan meer aspecten waar rekening mee gehouden moet worden. Licht deze aspecten eruit en motiveer waarom u bepaalde keuzes maakt. 54

55 9. Organisatorische maatregelen Inleiding We hebben het in de voorgaande hoofdstukken uitgebreid gehad over de fysieke beveiliging van de werkomgeving en de technische beveiliging van de ICT-infrastructuur. Organisatorisch valt er echter ook het nodige te regelen. Sommige zaken gaan hand in hand. Technische en organisatorische beveiligingsmaatregelen zijn vaak onlosmakelijk met elkaar verbonden. In dit hoofdstuk wordt verder ingegaan op diverse organisatorische maatregelen. Daar waar nodig wordt verwezen naar de technische maatregelen die nodig zijn om de organisatorische maatregelen uitvoerbaar te maken of af te dwingen. Zo gaan we het hebben over (beveiligings)beleid, de PDCA-cyclus, de onderdelen van ISO/IEC en 27002, een belangrijke internationale standaard voor informatiebeveiliging. Verder gaan we het hebben over de organisatie van de informatiebeveiliging en de wijze waarop informatiebeveiliging kan worden uitgedragen in de organisatie. Hoe gaan we om met calamiteiten? Wat zijn calamiteiten eigenlijk en hoe bereiden we ons er op voor? Mocht een calamiteit zich voordoen, wat is dan de procedure om mensen en middelen veilig te stellen en zo snel mogelijk weer werkend te zijn? Communicatie- en bedieningsprocessen, testprocedures en het beheer van de IT-omgeving door een externe provider komen aan bod. 9.1 Beveiligingsbeleid Informatiebeveiligingsbeleid Door beleid voor de beveiliging van informatie vast te stellen geeft het management van de organisatie richting en ondersteuning. Dit beleid wordt vastgesteld in overeenkomst met de bedrijfsmatige eisen en de relevante wetten en voorschriften. Een document met het informatiebeveiligingsbeleid hoort door de directie te worden goedgekeurd, gepubliceerd en kenbaar gemaakt aan alle werknemers en alle relevante externe partijen zoals klanten en leveranciers. Het laatste houdt in de praktijk vaak in dat er een ingekorte versie van het beleid met de belangrijkste punten, in de vorm van een flyer aan iedere medewerker wordt uitgereikt en onderdeel is van de introductie voor nieuwe medewerkers. De volledige versie kan op het intranet van het bedrijf zijn geplaatst of in ieder geval op een plaats waar iedere medewerker toegang tot heeft. In het nieuws Virgin Media, de entertainment arm van Richard Branson's Virgin Group, is een CD met de gegevens van 3000 klanten verloren. Op de onversleutelde schijf stonden de bankgegevens, namen en adresgegevens van drieduizend klanten die sinds januari bij verschillende winkels een abonnement hadden afgesloten. In strijd met het bedrijfsbeleid was de data op een CD gezet. Bron: 55

56 9.1.2 Hiërarchie Het is gebruikelijk om in de beleidsdocumenten een hiërarchische volgorde aan te brengen. Vanuit corporate beleid worden verschillende beleidsstukken uitgewerkt. Deze conformeren zich echter altijd aan het corporate beleid en geven een nadere richtlijn op een specifiek gebied. Een voorbeeld hiervan is een beleidstuk over het gebruik van encryptiemiddelen. Vanuit deze verschillende beleidsdocumenten komen achtereenvolgens voort: Regelingen. Een regeling is meer gedetailleerd dan een beleidsdocument; Procedures, soms ook wel leidraden genoemd. Hierin wordt tot in detail vastgelegd hoe bepaalde maatregelen moeten worden genomen, eventueel uitgewerkt in werkinstructies; In de praktijk Binnen het algemene encryptiebeleid kan een procedure bestaan waarin vastgelegd wordt hoe met een bepaald encryptiemiddel om moet worden gegaan. Dat is dan verplicht. In de procedure wordt bijvoorbeeld vastgelegd hoe de gebruiker met versleutelingssoftware en het sleutelmateriaal om moet gaan. In een procedure kan ook worden vastgelegd hoe de systeembeheerder de encryptiesoftware moet installeren. Deze instructies gaan tot op het niveau van de vinkjes die wel of niet worden aangezet, het aantal tekens dat een wachtwoord moet bevatten en hoe lang het wachtwoord geldig is. Richtlijnen, het woord zegt het al, geven een richting aan. Hierin wordt beschreven welke aspecten moeten worden bekeken bij een bepaald beveiligingsonderwerp. Richtlijnen zijn niet verplichtend maar adviserend van aard; Standaarden kunnen bijvoorbeeld de standaardinrichting van bepaalde platformen bevatten. In de praktijk In een richtlijn kan advies worden gegeven over waar een classificatiebeleid aan moet voldoen. Vervolgens is de verantwoordelijke medewerker vrij in de wijze waarop hij of zij dat classificatiebeleid voor de organisatie uit gaat werken. Een standaard is bijvoorbeeld ook de ISO/IEC 27001:2005. Hierin wordt een standaard beschreven voor het inrichten van informatiebeveiliging in de organisatie. In deel I, de ISO/IEC wordt het managementsysteem (Information Security Management System, ISMS) beschreven. Deel II, ISO/IEC 27002:2007, ook wel de Code voor Informatiebeveiliging genoemd, werkt dit managementsysteem uit in praktische richtlijnen. Een organisatie kan zich laten certificeren voor ISO/IEC 27001:2005 en laat daarmee aan leveranciers en klanten zien dat het aan kwaliteitseisen voor informatiebeveiliging voldoet. De Code voor Informatiebeveiliging is geschikt voor alle organisaties, groot of klein, overheid of bedrijfsleven Beoordeling van het informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid maken is één, het implementeren in de organisatie en controleren of het nageleefd wordt is een ander onderwerp. Veel organisaties werken met de zogenaamde PDCA-cyclus. (zie figuur PDCA model op pagina 57). Het informatiebeveiligingsbeleid is het hoofddocument. Onder het informatiebeveiligingsbeleid komen beleidsdocumenten, procedures en richtlijnen die op een bepaald deel van de informatiebeveiliging 56

57 gericht zijn en nadere richtlijnen geven. Deze documenten zijn een belangrijk onderdeel van het Information Security Management System (ISMS) PDCA-model Het PDCA-model, ook wel de kwaliteitscirkel van Deming genoemd, wordt gebruikt als basis voor het vaststellen, implementeren, monitoren, controleren en onderhouden van het Information Security Management System (ISMS). Figuur - PDCA model gekoppeld aan de ISMS processen Plan (ontwerp het ISMS) In de ontwerpfase wordt een informatiebeveiligingsbeleid ontwikkeld en vastgesteld. Hierin worden de informatiebeveiligingsdoelstellingen, de relevante processen en procedures vastgesteld, die er voor zorgen dat de risico s gemanaged worden. Deze doelstellingen ondersteunen uiteraard de business doelstellingen van de organisatie. De beveiligingsmaatregelen kunnen genomen worden op basis van de eerder genoemde risicoanalyse en een kosten/batenanalyse. Er zijn nog andere methoden die we niet verder zullen behandelen. De Planfase geldt niet alleen voor het hoofdbeleid maar voor alle ondersteunende beleidsdocumenten en onderliggende regelingen. Do (implementeer het ISMS) In deze fase worden het informatiebeveiligingsbeleid en de onderliggende procedures en maatregelen geïmplementeerd. Per informatiesysteem en/of proces worden verantwoordelijken aangewezen. Check (monitor en controleer het ISMS) In deze fase wordt door middel van self assessment (interne audit) gecontroleerd en waar mogelijk 57