ANTI-MALWARE BELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Anti-malware beleid Versienummer 1.0 Versiedatum oktober 2013 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright © 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met:
2
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van zo’n project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en PUN, maar ook de archiefwet. -
Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
-
De gemeente stelt dit normenkader vast, waarbij er in de naleving van dat kader ruimte is voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.
3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit document geeft een mogelijke invulling van beleidsuitgangspunten voor het Anti-Malware Beleid weer. Deze beleidsuitgangspunten zijn afkomstig uit de BIG en het beleid is daarmee compliant aan de BIG. Deze beleidsuitgangspunten zijn opgenomen in de bijlage ‘Anti-Malware Beleid Gemeente’. Doelgroep Dit document is van belang voor bestuur (voor het beleid), management, systeembeheer en gebruikers. Relatie met overige producten
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o
Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten
o
Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten
Incident management en response
Mobiele gegevensdragers
BCM
Gedragsregels gebruikers
Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 10.4.1 7.1.3 10.6.1 10.8.1 10.10.2 11.7.1 11.7.2 12.6.1 13
4
Inhoud 1
Anti-malware beleid
6
1.1 1.2 1.3 1.4 1.5 1.6
6 6 6 7 7 7
Wat is malware of virus? Malware-varianten Bestaansrecht malware Forum standaardisatie maatregelen Samenhang anti-malware maatregelen Verantwoordelijkheden en taken
Bijlage: Anti-Malware beleid gemeente
5
9
1 Anti-malware beleid Dit document geeft een mogelijke invulling van beleidsuitgangspunten voor het Anti-malware beleid weer. Deze beleidsuitgangspunten zijn afkomstig uit de BIG en het beleid is daarmee compliant aan de BIG. Deze beleidsuitgangspunten zijn opgenomen in de bijlage ‘Anti-Malware beleid gemeente’’. In dit document wordt de term malware gebruikt, maar de meeste mensen zullen virus zeggen. In feite is een virus een soort malware.
1.1
Wat is malware of virus?
Malware is een verzamelnaam voor kwaadaardige en/of schadelijke software. Het woord is een samenvoeging van het Engelse malicious software (kwaadwillende software). Malware behoort tot de grootste bedreigingen van de ICT-infrastructuur en de daarbinnen aanwezige bedrijfsinformatie. De gevolgen van een malware-infectie kunnen zeer schadelijk en riskant zijn en leiden tot uitval van systemen, vertraging bij het gebruik van systemen, overname van controle over systemen, het niet beschikbaar zijn van informatie of zelfs het verlies van informatie. Malware maakt gebruik van zwakheden in software (en soms hardware) en van de onachtzaamheid van gebruikers.
1.2
Malware-varianten
Er zijn verschillende malware-varianten en in de meeste gevallen zegt men ook wel virus. De volgende varianten behoren tot de meest voorkomende malware: virus, worm, spyware, adware, trojan, tracking cookie, dropper, dialer, rootkit, backdoor, rogueware, ransomware. In de laatste jaren wordt tijdens een malware-aanval tegelijkertijd gebruik gemaakt van verschillende soorten malware om zo de kans op en besmetting van een systeem te vergroten. Deze aanvallen doen zich meestal voor in een zogenaamde drive-by aanval, waarbij een kleine besmetting in bijvoorbeeld een advertentie, bijlage of web link zorgt voor het ophalen van verschillende malware van speciaal daarvoor ingerichte servers en het plaatsen ervan op uw systemen. Deze code kan op twee manieren worden geactiveerd: automatisch of door een muisklik. De drive-by aanval is anno 2013 de1 meest gebruikte manier om systemen te besmetten en informatie te stelen.
1.3
Bestaansrecht malware
In het begin van de desktop automatisering bestond malware vooral uit bootsector virussen, gewone virussen en eenvoudige wormen 2. Het doel van deze virussen was schade aan te richten op hun gastheer en zichzelf te vermenigvuldigen. In deze tijd werd er nog veel gewerkt met floppy’s en dus was een bootsector virus 3 de manier om ervoor te zorgen dat de besmetting overal terecht kwam. In deze tijd was er al een fenomeen in opkomst om geld te verdienen met malware en dat was de zogenaamde ‘Dialer’. Deze vorm van malware gaf de computer instructie om via het modem verbinden met betaalde telefoonnummers waardoor aanzienlijke kosten ontstonden. De insteek van de huidige malware is anders. Partijen die malware inzetten hebben vaak het belang om informatie te stelen, informatie is immers geld waard (indirect en direct door de verkoop van deze informatie). Om dit doel te bereiken zullen deze partijen er voor zorgen dat deze malware zo lang mogelijk niet ontdekt blijft. Alternatief is dat deze partijen geld verdienen door het 1
Zie: https://www.enisa.europa.eu/activities/risk-management/evolving-threatenvironment/ENISA_Threat_Landscape/at_download/fullReport 2 Met gewoon en eenvoudig wordt hierbij bedoelt de complexiteit van de gebruikte code. Door de relatieve eenvoud van de code konden oude virussen en wormen relatief eenvoudig ontdekt worden. 3 Een virus die zich nestelt in de eerste sector van een disk 6
versleutelen van documenten en andere content en vervolgens voor het ontsleutelen door om geld te vragen.
1.4
Forum standaardisatie maatregelen
Mail omvat een binnenkomende kant en een uitgaande kant. Over het algemeen wordt er bij antimalware geschreven over de binnenkomende mail en dat wat er op de desktop getoond wordt. Er zijn echter nog meer maatregelen, maar deze hebben vooral betrekking op de uitgaande kant. Het is een goed gebruik om SPF in te richten en daarnaast gebruik te maken van DKIM binnen het DNS-record van de gemeentelijke websites als via die domeinnaam mail verstuurd wordt. DKIM staat op de lijst met open standaarden, zie ook: https://lijsten.forumstandaardisatie.nl/
1.5
Samenhang anti-malware maatregelen
Anti-malware maatregelen werken in samenhang en ieder voor zich richten ze zich op een (facet van een) beveiligingslaag. Voor de organisatie is beleid, en het naleven daarvan, van wezenlijk belang evenals en het oefenen van scenario’s waarbij de bedrijfsvoering verstoord wordt. Voor systeembeheer is de belangrijkste maatregel het patchmanagement en het technisch laten functioneren van anti-malware software op de verschillende ICT-componenten. Voor gebruikers is bewustwording van het risico essentieel om zo de benodigde aanpassing van het gedrag te bereiken.
1.6
Verantwoordelijkheden en taken
Bestuurder De bestuurder dient actief het beleid uit te dragen en te controleren of aan het beleid de juiste invulling gegeven wordt. Een bestuurder dient zich te beseffen dat het een voorbeeld functie heeft en ook gebruiker is van dezelfde ICT-voorzieningen. Management Het management is verantwoordelijk voor het aansturen van het personeel in de meest brede zin en moet ervoor zorgen dan alle gebruikers zich bewust zijn van de gevaren van internet en computergebruik. Het management heeft een actieve rol in het aansturen van bijvoorbeeld systeembeheer en zij ontvangen de rapportages CISO De CISO ondersteunt gevraagd en ongevraagd bestuurders en management bij het inrichten en uitvoeren van het beleid, beoordeelt de rapportages en bereidt rapportages voor en doet aan trendanalyses. De CISO ondersteunt systeembeheer bij het inrichten van patchmanagement, antivirus en anti-spam maatregelen selectie. De CISO heeft een actieve rol in het Incident Response en Management proces. Systeembeheer Systeembeheer is verantwoordelijk voor het proces rondom de malware-bestrijding. Dit geldt zowel voor de preventieve als de repressieve maatregelen:
Systeembeheer geeft uitvoering aan het patchmanagement en alleen als een patch of update een verstoring van de ICT dienstverlening veroorzaakt mag een patch of update uitgesteld worden. In dat geval moeten andere manieren gezocht worden om de zwakke plek in het
7
systeem af te schermen zodat het systeem minder kwetsbaar is bij onjuist gebruik of pogingen tot misbruik
de zwakheid te elimineren en systemen te beschermen tegen onjuist gebruik of misbruik
Systeembeheer zorgt voor een up-to-date anti-malware systeem op alle devices van de gemeente inclusief anti-spam maatregelen binnen de mail omgeving en controleert daarvan dagelijks de werking en de gedetecteerde malware of andere verdachte software
Systeembeheer zorgt voor een up-to-date firewall en controleert daarvan dagelijks de logging
Zowel inkomend netwerkverkeer als uitgaand netwerk verkeer dient gemonitord te worden
Mailrelaying4 voorkomen door het dichtzetten van poort 25 voor alle andere mailservers dan de eigen mailserver
Zorgdragen voor hardening van systemen 5
Het voorkomen dat MS Office macro’s en scripts ongecontroleerd uitgevoerd kunnen worden
Als een gedragsregel technisch kan worden afgedwongen moet dat niet nagelaten worden
Systeembeheer rapporteert maandelijks over de aantallen gedetecteerde aanvallen, over de werkplekken die besmet zijn, de ondernomen acties om besmettingen te mitigeren aan de CISO
Gebruikers Gebruikers dienen zich de gedragsregels in de aanwijzing voor computer gebruik eigen te maken. In deze gedragsregels moet minimaal worden opgenomen:
Hoe om te gaan met mobiele media (en dat deze regels waar mogelijk afgedwongen worden door technische maatregelen)
Het gebruik van USB-sticks tegen gaan of alleen gebruik te maken van speciale USB-sticks en/of speciale stations (bijvoorbeeld encrypted USB-sticks)
Het niet klikken op links in e-mails die niet verwacht worden
Het niet openen van bijlagen die er verdacht uitzien of die niet verwacht worden
Het verplicht melden van verdacht gedrag van de werkplek of de software waarmee gewerkt wordt
Een Malware besmetting is altijd een incident dat ook gemeld moet worden in de lijn en aan de CISO.
4
Mailrelaying is mail versturen via een andere mailserver dan de standaard mailserver binnen een netwerk of domein. Spammers maken gebruik van mailrelaying om spam mail te versturen. Zombie pc’s proberen ook vaak van relaying gebruik te maken. 5 Hardening is het zorgdragen dat alleen die functies en software op een systeem draaien die nodig zijn, daarmee worden aanvalsmogelijkheden beperkt. 8
Bijlage: Anti-Malware beleid gemeente Het anti-malware beleid van de gemeente geeft richting aan de wijze waarop de gemeente maatregelen wenst te treffen voor een adequate detectie, preventie en herstel van verstoringen als gevolg van malware. De gemeente onderschrijft het belang van een adequaat anti-malware beleid omdat malware ernstige schade kan toebrengen aan gemeentelijke systemen en de informatievoorziening in termen van beschikbaarheid, exclusiviteit en integriteit kan verstoren. Bovendien kan malware schade toebrengen aan het belang van de burger en het vertrouwen in de gemeente. Malware besmettingen zijn incidenten die gestructureerd moeten worden aangepakt en er moeten procedures worden vastgesteld om de reactie op deze besmettingen doeltreffend en ordelijk te laten plaatsvinden. Dit beleid is van toepassing op iedereen die werkzaam is bij de gemeente. De volgende uitgangspunten zijn vastgesteld voor de gemeente en deze zijn ontleend aan het gemeentelijk informatiebeveiligingsbeleid, de Code voor Informatiebeveiliging (NEN/ISO 27002:2007) en de BIG: 1. Het is verboden om ongeautoriseerde software te draaien op computersystemen van de gemeente. Computer systemen zijn: smartphones, tablets, desktops, laptops en servers. 2. Alle computersystemen zijn altijd voorzien van de laatste firmware, software updates en patches, tenzij door een risicoafweging is vastgesteld en geaccordeerd, dat een bepaalde software update de dienstverlening van de gemeente kan verstoren (wijzigingsbeheer), in dat geval moeten er andere maatregelen worden onderzocht en genomen. 3. Op alle systemen van de gemeente is anti-malware software aanwezig die geautomatiseerd controleert op de aanwezigheid van virussen, trojans en andere malware waarbij onderscheid gemaakt wordt tussen werkplekken en servers. De gemeente maakt gebruik van verschillende anti malware oplossingen op verschillende schakels binnen de infrastructuur. 6 4. Alle binnenkomende en uitgaande e-mails worden gecontroleerd op malware. 5. Het Domain Keys Identified Mail (DKIM) mechanisme wordt ingericht ten behoeve van de uitgaande mail. 6. De anti-malware software wordt iedere dag automatisch voorzien van nieuwe updates van virusdefinities en dit moet centraal bewaakt worden. Uitzonderingen hierop moeten actief worden gemonitord en gerapporteerd aan het management en aan de CISO. 7. Malware besmettingen en de vermoedens daarvan dienen onverwijld gemeld te worden volgens de incidenten procedure. 8. Als ’mobiele code’ vereist is voor het uitvoeren van de geautomatiseerde werkprocessen dan mag dat alleen tegen minimale rechten. De gebruiker mag geen extra rechten kunnen geven aan mobiele code, tenzij het management dat geaccordeerd heeft. 9. Alle malware besmettingen zijn incidenten van de zwaarste categorie 7. 10. Alle gebruikers8 zijn verplicht deel te nemen aan bewustwordingstrainingen.
6
Dit wordt gedaan om te voorkomen dat een product of oplossing nooit alleen de zwakste schakel wordt bij een uitbraak. 7 Zie incident management en response 8 ALLE gebruikers omvat iedereen die op enige wijze van een ICT-middel gebruikt maakt binnen de gemeente. 9
Aldus vastgesteld door burgemeester en wethouders van [gemeente] op [datum], [Naam. Functie]
[Naam. Functie]
_______________
_______________
10
INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82 [email protected] WWW.KINGGEMEENTEN.NL
11
