Basiskennis Beveiliging van Informatie. Dit boek is geschikt als studieboek voor het ISFS examen van de EXIN

Basiskennis Beveiliging van Informatie

Dit boek is geschikt als studieboek voor het ISFS examen van de EXIN EXIN is een onafhankelijk, internationaal exameninstituut voor ICT’ers. De missie van EXIN is de bevordering van de kwaliteit van het ICT-vakgebied en de daarin werkzame ICT-professionals. Om dat doel te bereiken ontwikkelt EXIN exameneisen en ICT-examens. EXIN biedt vier Information Security-examens. Deze examens zijn gebaseerd op ISO/IEC 27002. U kunt examen doen op Foundation, Advanced en Expert niveau. Op Expert niveau wordt naast kennis van ISO/IEC 27002 ook kennis van de ISO/IEC 27001 getoetst.

ISBN/EAN:

978-90-813341-1-2

Titel:

Basiskennis beveiligen van informatie

Versie:

18b

Datum:

10-7-2008

Dit boek mag in deze vorm niet zondermeer worden gewijzigd . This work is licensed under a Creative Commons Attribution-No Derivative Works 3.0 Netherlands License

2


1. Voorwoord ........................................................................................................................................... 5 2. Over de schrijvers ............................................................................................................................... 7 3. Inleiding basiskennis beveiliging van informatie ................................................................................. 9 4. Informatie, bedrijfsdoelstellingen en kwaliteitseisen ......................................................................... 10 4.1 Verschijningsvormen ................................................................................................................... 10 4.2 Informatiesystemen ..................................................................................................................... 10 4.3 Waarde van informatie ................................................................................................................ 11 4.4 Informatie als productiefactor ...................................................................................................... 11 4.5 Beschikbaarheid, Integriteit en Vertrouwelijkheid ....................................................................... 11 4.6 Informatiearchitectuur.................................................................................................................. 14 4.7 Bedrijfsprocessen en informatie .................................................................................................. 14 4.8 Informatieanalyse ........................................................................................................................ 15 4.9 Informatiemanagement................................................................................................................ 15 4.10 Informatica................................................................................................................................. 15 4.11 Samenvatting............................................................................................................................. 15 4.12 Casus ........................................................................................................................................ 15 5. Dreigingen en risico’s (risicoanalyse) ............................................................................................... 16 5.1 Risicoanalyse .............................................................................................................................. 18 5.2 Soorten risicoanalyses ................................................................................................................ 18 5.3 Maatregelen die het risico verminderen ...................................................................................... 19 5.5 Soorten dreigingen ...................................................................................................................... 21 5.6 Soorten schade ........................................................................................................................... 23 5.7 Soorten risicostrategieën............................................................................................................. 24 5.8 Richtlijnen bij het invoeren van beveiligingsmaatregelen............................................................ 25 5.9 Samenvatting............................................................................................................................... 26 5.10 Casus ........................................................................................................................................ 26 6. Informatiebeveiligingsincidenten en -zwakheden ............................................................................. 27 6.1 Beheer van informatiebeveiligingsincidenten .............................................................................. 27 6.2 Incidentcyclus .............................................................................................................................. 30 6.3 Rollen........................................................................................................................................... 30 6.4 Samenvatting............................................................................................................................... 31 6.5 Casus........................................................................................................................................... 31 7. Fysieke maatregelen......................................................................................................................... 32 7.1 Fysieke beveiliging ...................................................................................................................... 32 7.2 In de ban van de ring................................................................................................................... 33 7.3 Alarm ........................................................................................................................................... 39

3

Basiskennis Beveiliging van Informatie 7.4 Brandbeveiliging .......................................................................................................................... 39 7.5 Emergency planning.................................................................................................................... 40 7.6 Samenvatting............................................................................................................................... 40 7.7 Casus........................................................................................................................................... 41 8. Technische maatregelen (ICT-beveiliging) ....................................................................................... 42 8.1 Beheer van bedrijfsmiddelen ....................................................................................................... 42 8.2 Logisch toegangsbeheer ............................................................................................................. 44 8.3 Beveiligingseisen voor informatiesystemen ................................................................................ 45 8.4 Cryptografie ................................................................................................................................. 47 8.6 Soorten cryptografische systemen .............................................................................................. 48 8.7 Beveiliging van systeembestanden ............................................................................................. 52 8.8 Uitlekken van informatie .............................................................................................................. 52 8.9 Samenvatting............................................................................................................................... 53 8.10 Casus ........................................................................................................................................ 53 9. Organisatorische maatregelen .......................................................................................................... 55 9.1 Beveiligingsbeleid........................................................................................................................ 55 9.2 Personeel .................................................................................................................................... 59 9.3 Bedrijfscontinuïteitsbeheer .......................................................................................................... 61 9.4 Beheer van communicatie- en bedieningsprocessen ................................................................. 65 9.5 Samenvatting............................................................................................................................... 82 9.6 Casus........................................................................................................................................... 83 10 Wet- en regelgeving ......................................................................................................................... 84 B. 10.1 Naleving van wettelijke voorschriften.................................................................................... 84 C. 10.2 Compliancy ........................................................................................................................... 84 10.3 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR) .......................................... 85 10.4 Bescherming van bedrijfsdocumenten ...................................................................................... 86 10.5 Bescherming van gegevens en geheimhouding van persoonsgegevens................................. 87 10.6 Voorkomen van misbruik van IT-voorzieningen ........................................................................ 87 10.7 Naleving van beveiligingsbeleid en -normen............................................................................. 88 10.8 Controlemaatregelen ................................................................................................................. 89 10.9 Audits van informatiesystemen ................................................................................................. 89 10.10 Bescherming van hulpmiddelen voor audits van informatiesystemen .................................... 89 10.11 Samenvatting........................................................................................................................... 90 10.12 Casus ...................................................................................................................................... 90

4


1. Voorwoord Het woord beveiliging heeft van nature een negatieve klank. Beveiliging wordt immers alleen toegepast als er reden is om dat te doen; als er een risico of een kans bestaat dat iets niet gaat zoals het bedoeld is. Beveiliging heeft dan ook alles te maken met bescherming. Er is iets ingericht om de kans op ellende te verkleinen of om de gevolgen daarvan te verminderen. Zo zijn een reservewiel, het onbrandbaar maken van kinderpyjama's of een verzekeringspolis vormen van beveiliging. Een reservewiel zorgt ervoor dat we minder last hebben van de lekke band, de verzekeringspolis dekt de financiële gevolgen en onbrandbare pyjama's maken de kans op groot menselijk letsel kleiner. Informatie is in onze samenleving een kostbaar goed geworden. Dit wordt des te meer zichtbaar als we ons realiseren dat geen enkel zakelijk proces uitgevoerd kan worden zonder informatie. Besturing van processen gaat immers altijd op basis van (management)informatie. Veel bedrijven doen niets anders dan informatie verwerken. Dat geldt vooral voor de financiële sector en de overheid. Ook de zakelijke dienstverlening doet niet veel meer dan informatie verzamelen en – in een andere vorm – naar buiten brengen. Zelfs onze vrije tijd draait om informatie. Muziek, boeken en films in digitale vorm (mp3, cd, dvd), internet en gaming maken allemaal gebruik van digitale informatie. De bijna explosieve groei van het aantal digitale camera's, ook op mobiele telefoons, heeft een onschatbare hoeveelheid foto's opgeleverd die in de vorm van informatie zijn opgeslagen op harde schijven, draagbare spelers, cd's, dvd's en USB-sticks. Het is dan ook niet vreemd dat vooral de afgelopen tien jaar het onderwerp informatiebeveiliging actueel geworden is in het bedrijfsleven, bij de overheid en thuis. In dit boek wordt het onderwerp informatiebeveiliging op een hanteerbare wijze behandeld. Daarvoor is een hoofdstukindeling gekozen die het onderwerp langs duidelijke lijnen opdeelt. Verder is de behandeling van bijvoorbeeld de technische maatregelen gericht op de niet-automatiseerder. Er is een verband tussen risico en beveiliging: als er geen sprake is van risico, dan hoeft er geen beveiliging te worden ingericht. Dat doen we thuis ook niet. Beveiliging kost geld en moeite en als we dat kunnen vermijden, dan doen we dat graag. Hoeveel en welke maatregelen genomen moeten worden hangt af van het risico. Na de algemene inleiding en de uitleg over informatie en de waarde daarvan, begint het boek met dreigingen en risico's. Het nagaan welke risico's het grootst zijn en welke gevolgen niet acceptabel zijn, is onderwerp van de risicoanalyse. In het vakgebied informatiebeveiliging wordt hierdoor bepaald welke maatregelen getroffen moeten worden. Verder wordt in de analyse vastgesteld wat de argumenten zijn om iets aan de risico's te gaan doen. Voorafgaand aan het bespreken van de maatregelen, wordt in hoofdstuk 4 stilgestaan bij het omgaan met informatiebeveiliging in een organisatie. Onderwerpen als organisatie, beheer en kwaliteitseisen komen daarbij aan de orde. In hoofdstuk 5 wordt ingegaan op dreigingen en de risicoanalyse. Vervolgens wordt in hoofdstuk 6 ingegaan op informatiebeveiligingsincidenten en zwakheden. De daaropvolgende drie hoofdstukken gaan over maatregelen. Het is onmogelijk om alle maatregelen te bespreken, alleen al omdat er vandaag weer nieuwe bij gekomen zijn. De meest gebruikte principes komen aan de orde. Voor het vinden van meer (technische) details is het handig contact op te nemen met de betreffende producent. De maatregelen zijn in dit boek in drie groepen onderverdeeld: Fysieke maatregelen, zoals sloten en hekken, maar ook kasten en een receptie; Technische maatregelen, zoals back-ups, software voor geheimschrift en antivirusfuncties;

5

Basiskennis Beveiliging van Informatie Organisatorische maatregelen zoals het scheiden van functies, geheimhoudingsverklaringen en autorisaties waarmee geregeld is wat iemand mag op het informatiesysteem. Het boek wordt afgesloten met een bespreking van weten regelgeving zoals die in Nederland van toepassing is. Er zijn wetten die het toepassen van beveiligingsmaatregelen verplicht stellen. Denk daarbij bijvoorbeeld aan de Wet Bescherming Persoonsgegevens (WBP) die eisen stelt aan de bescherming van de privacy. Jacques Cazemier

6


2. Over de schrijvers Dit boek is geschreven door dezelfde groep auteurs als van het boekje "Nederland gaat digitaal, maar wel veilig", dat in 2002 als gezamenlijke uitgave van het Ministerie van Economische Zaken en het Genootschap van Informatiebeveiligers is verschenen. De auteurs zijn allen lid van het PvIB en beogen het vakgebied informatiebeveiliging toegankelijker te maken voor startende informatiebeveiligers en medewerkers van afdelingen. Hans Baars CISSP, is van 1999 tot 2002 bij de politie werkzaam geweest als informatiebeveiligingsfunctionaris en als intern EDP-Auditor. In 2002 werd hij adviseur integrale veiligheid bij het Korps Landelijke Politiediensten. In die functie was hij betrokken bij de vormgeving van het informatiebeveiligingsbeleid van de Nederlandse politie. Sinds 2006 is hij als beveiligingsconsultant werkzaam binnen het bedrijfsleven. Hij adviseert overheden en commerciële bedrijven over de wijze waarop zij hun fysieke en informatiebeveiliging betaalbaar en werkbaar kunnen inrichten. Kees Hintzbergen is accountmanager bij 3-Angle. Kees heeft meer dan 20 jaar ervaring in de ICT en IV en werkt sinds 1999 in het vakgebied informatiebeveiliging. In 1998 heeft hij zijn AMBI-master gehaald op het gebied van Exploitatie en Beheer. Daarnaast heeft hij opleidingen gevolgd bij de Hogeschool van Amsterdam (HEAO-BI) en de Hogeschool Dirksen (System Engineer). Ook heeft hij de complete VAX-VMS training gevolgd bij het toenmalige Digital. Kees is in het dagelijkse leven adviseur, coach en ’spiegel’ waarbij hij de Gezond Verstand Methode hanteert. Dankzij zijn ervaring en zijn oosterse inslag (een man een man, een woord een woord) is hij in staat te verkopen vanuit advies. Jule Hintzbergen CISSP PSP, is, na 21 jaar bij Defensie, sinds 1999 werkzaam bij Capgemini als consultant public security. Jule heeft meer dan 20 jaar ervaring in de ICT en houdt zich een groot deel van de tijd bezig met informatiebeveiliging. Na het behalen van AMBI op het gebied van Exploitatie en Beheer in 1997 heeft hij diverse rollen vervuld op het grensvlak van projectmanagement, informatiemanagement, fysiekebeveiliging, informatiebeveiliging en biometrie. Hij is al geruime tijd verbonden aan EXIN (Examination Institute for Information Science) als vraagproducent en reviewer. Jule is sinds 2003 CISSP (Certified Information Systems Security Professional) bij ISC2 en sinds 2007 PSP (Physical Security Professional) bij ASIS International. Ir. André Smulders (CISSP) is senior consultant informatiebeveiliging bij TNO Informatie- en Communicatietechnologie. André is na zijn studie Technologie Management aan de TU Eindhoven in 1996 gestart in het werkveld van innovatie en ICT en specialiseert zich sinds 2000 in informatiebeveiliging. In zijn huidige rol als adviseur en projectleider heeft hij te maken met informatiebeveiligingsprojecten variërend van technologisch tot strategisch niveau.

Dit boek is gereviewd door de volgende personen die wij daar voor danken: Ing. John van Huijgevoort, Capgemini Nederland B.V. Drs. Erno Duinhoven CISSP, Capgemini Nederland B.V. Ing. Ben Elsinga CISSP, Capgemini Nederland B.V. Ir.drs. Jurgen van der Vlugt RE CISA, Noordbeek IT Audit Dr. J. Hulstijn, Vrije Universiteit, Postgraduate IT Audit Opleiding Drs. Fred van Noord, Verdonck, Klooster & Associates (VKA) Drs. Rita Pilon, EXIN International Examination Institute for Information Science

7

Basiskennis Beveiliging van Informatie Het voorwoord is geschreven door Jacques A. Cazemier:

Jacques A. Cazemier is als executive consultant op het gebied van informatiebeveiliging en Business Continuity Management (BCM) actief bij Verdonck, Klooster & Associates (VKA). Hij heeft aan de wieg gestaan van de invoering van Informatiebeveiliging en Business Continuity Management in Nederland in het midden van de negentiger jaren. De laatste jaren is hij vooral betrokken geweest bij beleids-, organisatorische en planningsaspecten van informatiebeveiliging op werkterreinen bij de overheid, het bedrijfsleven en bij financiële instellingen. Ook het uitvoeren van onderzoek naar de status van informatiebeveiliging, het begeleiden van onderzoek naar computerinbraak of het inrichten van Business Continuity Management heeft deel uitgemaakt van zijn werkzaamheden. Hij is hoofddocent binnen de MSIT (Master of Security in Information Technology) en het MISM (Master of Information Security Management) programma’s die bij de TiasNimbas Business School in samenwerking met de TU/Eindhoven gegeven worden. Verder is hij verbonden aan TopTech van TU Delft en is hij gastdocent aan de Haagse Hogeschool en Saxion. ®

Hij is een van de auteurs van het ITIL Security Management boek.

8


3. Inleiding basiskennis beveiliging van informatie Dit boek geeft een algemeen overzicht van informatiebeveiliging. Informatiebeveiliging omvat het vakgebied dat zich richt op de kwaliteit (betrouwbaarheid) van informatievoorziening en de continuïteit van de bedrijfsvoering. Met kwaliteit wordt in dit verband bedoeld de beschikbaarheid, de vertrouwelijkheid en de integriteit van informatie. In dit boek wordt uitgelegd wat deze kwaliteitseisen inhouden, hoe ze vastgesteld kunnen worden en wat er voor nodig is om deze vervolgens te borgen in de organisatie. Het geheel omvat het vakgebied van de informatiebeveiliger. De onderwerpen die hierbij een rol spelen worden in de afzonderlijke hoofdstukken nader toegelicht. Daarbij wordt per hoofdstuk aangegeven waarom het specifieke onderwerp relevant is. Dat zal toegelicht worden aan de hand van cases uit de alledaagse praktijk. Deze cases zullen zoveel mogelijk generiek van aard zijn en dus niet zijn toegespitst op een specifiek organisatietype. Na het lezen van het boek heeft u een globaal overzicht van de onderwerpen die informatiebeveiliging omvatten, weet u waarom deze onderwerpen relevant zijn en heeft u inzicht in de meest gangbare begrippen.

Dit boek is geschikt voor iedereen in een organisatie die behoefte heeft aan basiskennis over de beveiliging van informatie. Deze basiskennis is van belang voor alle medewerkers in een bedrijf of bij de overheid omdat zij omgaan met informatie. Lijnmanagers hebben deze kennis nodig omdat zij verantwoordelijk zijn voor de beveiliging van de informatie op hun afdeling. Deze basiskennis is ook van belang voor ondernemers en voor zelfstandigen zonder personeel (ZZP) omdat zij zelf hun informatie moeten beschermen. Enige kennis van informatiebeveiliging is ook nodig voor de thuisomgeving. En natuurlijk vormt deze kennis een goede basis voor iemand die overweegt een rol te gaan vervullen als informatiebeveiliger, zowel als ICT’er of als procesbeheerder. Ieder van ons heeft in zijn of haar dagelijks leven te maken met informatiebeveiliging, vaak in de vorm van maatregelen. Die maatregelen zijn ons opgelegd of hebben we zelf ingevoerd. Denk bijvoorbeeld aan het gebruik van wachtwoorden op de computer. Maatregelen ervaren we vaak als lastig omdat ze tijd kosten en omdat we niet altijd weten waar de maatregel ons tegen beschermt. De kunst van het implementeren van informatiebeveiliging is het in balans brengen van een aantal aspecten: De kwaliteitseisen die door de organisatie aan de informatie worden gesteld; De risico’s voor deze kwaliteitseisen; De maatregelen die nodig zijn om deze risico’s te beperken; De zorg voor het voortbestaan (de continuïteit) van de organisatie in geval van een calamiteit. Het primaire doel van dit boek is te dienen als opleidingsmateriaal. Daarom eindigt ieder hoofdstuk met een casus. Om het begrip en de samenhang van de onderwerpen te versterken zijn in deze casussen vragen over de behandelde stof opgenomen. U treft ook veel voorbeelden uit de praktijk aan en recente gebeurtenissen die de kwetsbaarheid van informatie laten zien. Met deze gebeurtenissen willen we u niet bang maken, alleen bewust. Door het algemene karakter is dit boek ook geschikt als materiaal voor een bewustwordingstraining of als naslagwerk in een bewustwordingscampagne. In het kader van dit boek hebben we het over grote organisaties, maar de onderwerpen zijn ook van toepassing op de dagelijkse thuisomgeving en kleine organisaties/bedrijven die geen aparte informatiebeveiligingsfuncties kennen. In dergelijke situaties zullen de verschillende informatiebeveiligingsfuncties belegd zijn bij één persoon. 9


4. Informatie, bedrijfsdoelstellingen en kwaliteitseisen Inleiding Zoals de naam al doet vermoeden gaat informatiebeveiliging over het beveiligen van informatie. Wat beveiliging is wordt verderop uitgelegd, eerst kijken we wat informatie eigenlijk is. Informatie is een breed begrip, waarbij voor het begrip informatie al veel definities zijn gegeven. Vaak zijn deze interpretaties vakgebied- of toepassingsspecifiek. In het kader van dit boek gebruiken we de definitie uit de Dikke van Dale, die informatie omschrijft als: kennis die iemand bereikt. Voor het begrip informatiebeveiliging gebruiken we de definitie van het Platform voor Informatiebeveiliging (PvIB): Informatiebeveiliging betreft het definiëren, implementeren, onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen.

4.1 Verschijningsvormen Kennis die iemand bereikt onderscheidt informatie van gegevens en van data. Data zijn gegevens die in de informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie als deze gegevens geïnterpreteerd kunnen worden tot een zinvolle boodschap. Er zijn oneindig veel verschijningsvormen van informatie waar we dagelijks mee omgaan. Dat kan in de vorm van tekst zijn maar ook in de vorm van gesproken woord en videobeelden. In het kader van informatiebeveiliging moeten we rekening houden met alle verschijningsvormen waarin informatie zich kan manifesteren. Het gaat immers om het beveiligen van de informatie zelf en niet de wijze waarop deze zich manifesteert. De wijze waarop informatie zich manifesteert legt wel beperkingen op aan de maatregelen die nodig zijn om de informatie te beschermen.

4.2 Informatiesystemen Overdracht en verwerking van informatie vindt plaats met behulp van een informatiesysteem. Let hierbij op dat een informatiesysteem niet per definitie een ICT(informatie en communicatietechnologie)-systeem is. Elk systeem dat tot doel heeft informatie over te dragen is een informatiesysteem. Voorbeelden van informatiesystemen zijn dossiers in archiefkasten, de mobiele telefoon en de printer. In het kader van informatiebeveiliging is een informatiesysteem het geheel van middelen, procedures, regels en mensen dat de informatievoorziening voor een bedrijfsproces verzorgt. In toenemende mate zijn dit ICT-systemen waardoor we in de informatievoorziening steeds afhankelijker zijn geworden van het goed functioneren van deze ICT-systemen. Een ICT-systeem bestaat zoals gezegd uit middelen die een bepaalde samenhang hebben. Deze middelen zijn bijvoorbeeld: De werkplek, bestaande uit de pc met besturingssoftware en programma's; Datatransport via een netwerk, bekabeld of niet (wireless); Centrale servers, bestaande uit de server met een besturingssysteem en programma's; Gegevensopslag, bijvoorbeeld schijfruimte, e-mail en databases; Telefoons met hun centrales en antennes.

10


In het nieuws

Gebruikers van een smartphone met het Symbian OS S60 worden gewaarschuwd voor de worm Beselo. Deze worm verspreidt zich via mms en bluetooth. De worm is vermomd als het bestand sex.mp3, love.jpg of beaty.rm, waardoor gebruikers denken dat het een multimediabestand is en daarom de worm installeren. Na installatie verspreid de worm zich verder. Ook kopieert het zich naar de geheugenkaartjes die in het toestel zitten. F-Secure raadt gebruikers aan om het installatieverzoek te negeren. "Een plaatje heeft geen reden tot een installatieverzoek. Dus ieder plaatje of geluidsbestand dat dit wel doet, is een ander soort bestand dan dat het zich voordoet", schrijft F-Secure. Bron: www.computable.nl

4.3 Waarde van informatie Zoals al eerder opgemerkt is informatie kennis die iemand bereikt. Informatie die betekenisloos is noemen we immers gegevens. Of iets informatie is of gegevens zijn wordt hoofdzakelijk door de ontvanger van die informatie bepaald. Zo zal voor de ene partij een bepaalde set gegevens niet interessant zijn terwijl een andere partij daar waardevolle informatie uit kan halen. De waarde van informatie wordt daarmee bepaald door de waarde die de ontvanger van deze informatie daaraan toekent.

4.4 Informatie als productiefactor De standaard productiefactoren van een bedrijf of organisatie zijn: kapitaal, (handen)arbeid en grondstoffen. In de informatietechnologie en in de informatiebeveiliging is het gebruikelijk ook informatie als productiefactor te zien. Bedrijven kunnen niet zonder informatie. Een groothandel die zijn klanten voorraadinformatie verliest komt deze klap meestal niet te boven. Sommige bedrijven, zoals een accountantskantoor, hebben informatie zelfs als enig product.

4.5 Beschikbaarheid, Integriteit en Vertrouwelijkheid Bij het beschermen van de waarde van informatie kijken we naar drie factoren, dit zijn de kwaliteitseisen die we stellen aan informatie. Informatie moet betrouwbaar zijn, dat wil zeggen beschikbaar, integer en vertrouwelijk (BIV). Voor vertrouwelijkheid wordt in sommige organisaties de term exclusiviteit gebruikt. Dan wordt de afkorting BEI gebruikt: beschikbaar, exclusief en integer. In het Engels zijn dit de CIA eisen: confidentiality, integrity, availibility. Bij ieder verzoek om een risicoanalyse uit te voeren of een beveiligingsadvies te geven, zal de adviseur op basis van deze drie pijlers zijn of haar advies uitbrengen. Uitgangspunt is de invloed die de BIV-eisen hebben op de waarde van de informatie: Het belang van de informatie voor de bedrijfsprocessen; De onmisbaarheid van de informatie binnen bedrijfsprocessen; De herstelbaarheid van de informatie.

11

Basiskennis Beveiliging van Informatie Wat we verstaan onder beschikbaarheid, integriteit en vertrouwelijkheid wordt hieronder nader uitgelegd.

4.5.1 Beschikbaarheid Beschikbaarheid is de mate waarin informatie beschikbaar is voor de gebruiker en het informatiesysteem in bedrijf is op het moment dat de organisatie deze nodig heeft. Kenmerken van beschikbaarheid zijn: Tijdigheid. De informatiesystemen zijn beschikbaar gedurende werktijd; Continuïteit. De medewerkers kunnen doorwerken; Robuustheid. Er is voldoende capaciteit om alle medewerkers in het systeem te kunnen laten werken. Voorbeelden van voorzieningen voor beschikbaarheid: Het beheer en de opslag van gegevens is zodanig dat de kans op het verliezen van informatie minimaal is. Data worden bijvoorbeeld op een netwerkschijf opgeslagen, niet op de harde schijf van de pc; Er worden back-upprocedures opgesteld. Hierbij wordt rekening gehouden met wettelijke bewaartermijnen. De plaats van de back-up is fysiek gescheiden van het bedrijf om de beschikbaarheid in noodgevallen te waarborgen; Er worden noodprocedures opgesteld om de werkzaamheden na een grootschalige verstoring zo spoedig mogelijk weer in gang te kunnen zetten.

4.5.2 Integriteit Integriteit is de mate waarin de informatie actueel en zonder fouten is. Kenmerken van integriteit zijn de juistheid en de volledigheid van de informatie.

In het nieuws Computercriminelen verkopen via Argentijnse en Maleisische "crimeware servers" de logins van ziekenhuizen en andere zorgverleners, zo beweert beveiligingsbedrijf Finjan. De beveiliger vindt regelmatig allerlei interessante informatie op gehackte servers. Dit keer gaat het om data afkomstig uit ziekenhuizen en zorgverleners, zakelijke informatie van een luchtvaartmaatschappij en via identiteitsdiefstal verkregen Sofi-nummers Met de gestolen patiëntgegevens kunnen fraudeurs medicijnen en behandelingen krijgen, om die dan weer door te verkopen. Voor de slachtoffers kan dit gevolgen voor de dekking hebben en een vervuiling van het eigen dossier betekenen, met schadelijke en foutieve behandelingen als mogelijk gevolg, aldus Finjan. Het bedrijf vond op de crimeware server de Citrix logins van een Amerikaans ziekenhuis en andere medische instellingen. Bron: www.security.nl

12


Voorbeelden van voorzieningen voor integriteit: Wijzigingen in systemen en data worden geautoriseerd, bijvoorbeeld een medewerker voert een nieuwe prijs in voor een artikel op de website, een andere medewerker controleert de juistheid van die prijs voordat deze gepubliceerd wordt; Waar mogelijk worden mechanismen ingebouwd die het correcte gebruik van termen afdwingen, bijvoorbeeld een klant wordt altijd ‘klant’ genoemd, de term ‘customer’ kan niet worden ingevoerd in de database; Gebruikershandelingen worden vastgelegd (gelogd) zodat gecontroleerd kan worden wie een wijziging in de informatie heeft aangebracht; Vitale systeemhandelingen, bijvoorbeeld het installeren van nieuwe software, mogen niet door één persoon worden uitgevoerd, door het scheiden van functies en bevoegdheden kan afgedwongen worden dat minstens twee personen nodig zijn voor een wijziging met grote gevolgen; Integriteit van gegevens kan in belangrijke mate gewaarborgd worden door encryptie technieken, het versleutelen van informatie; Het beleid en beheer voor encryptie kan in een afzonderlijk beleidsdocument vastgesteld worden.

4.5.3 Vertrouwelijkheid Vertrouwelijkheid is de mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep die daar rechten toe heeft. Hieronder vallen ook maatregelen die de privacy beschermen.

Voorbeelden van voorzieningen voor vertrouwelijkheid: Toegang tot informatie wordt gegeven op basis van ‘need to know’, bijvoorbeeld een financieel medewerker hoeft geen verslagen van gesprekken met de klant te zien; Medewerkers treffen maatregelen om te voorkomen dat informatie terecht komt bij personen die deze informatie niet nodig hebben. Zij zorgen er bijvoorbeeld voor dat op hun bureau geen vertrouwelijke informatie ligt in hun afwezigheid (clear desk policy); Logisch toegangsbeheer zorgt ervoor dat ongeautoriseerde personen of processen geen toegang krijgen tot de geautomatiseerde systemen, gegevensbestanden en programmatuur. Een gebruiker heeft bijvoorbeeld niet de rechten om instellingen op de pc veranderen, dit wordt geregeld door deze instellingen onzichtbaar te maken voor de gebruiker; Er zijn functiescheidingen aangebracht tussen de systeemontwikkelings-, verwerkings- en gebruikersorganisatie. Een systeemontwikkelaar kan bijvoorbeeld geen salarisaanpassing doen; Er zijn strikte scheidingen aangebracht tussen de ontwikkelingsomgeving, de testen acceptatieomgeving en de productieomgeving (OTAP); Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van personeel en derden te waarborgen. Personeelszaken (HR) heeft bijvoorbeeld een eigen netwerkschijf die voor overige afdelingen niet toegankelijk is; Computergebruik door eindgebruikers is omgeven door zodanige maatregelen, dat de vertrouwelijkheid van de informatie gegarandeerd is. Denk bijvoorbeeld aan het wachtwoord voor toegang tot de computer en het netwerk.

13


4.6 Informatiearchitectuur Informatiebeveiliging heeft een nauwe relatie met informatiearchitectuur. Informatiearchitectuur is het proces dat zich richt op de inrichting van de informatievoorziening binnen een organisatie. Zoals hierboven kort geschetst worden er eisen gesteld aan de informatievoorziening. Informatiebeveiliging kan helpen waarborgen dat de gestelde eisen in de informatiearchitectuur worden gerealiseerd. Informatiearchitectuur richt zich primair op het invullen van de informatiebehoefte van een organisatie en de wijze waarop dit georganiseerd kan worden. Informatiebeveiliging kan dit proces ondersteunen door de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie te waarborgen.

In het nieuws

De nieuwe 787 Dreamliner van Boeing heeft mogelijk een serieus beveiligingsprobleem. Volgens de Amerikaanse Federal Aviation Administration (FAA) is het in theorie mogelijk dat passagiers van het vliegtuig inloggen op het bedieningssysteem van het vliegtuig. Het blijkt dat er een fysieke verbinding bestaat tussen het computernetwerk dat passagiers internettoegang verschaft, en de computers die de navigatie, communicatie en bediening van het vliegtuig regelen. Deze fysieke verbinding is een groot veiligheidsprobleem, omdat het hackers potentieel toegang geeft tot de belangrijkste systemen in het vliegtuig. Volgens de FAA is de beste oplossing om de fysieke verbinding volledig te verwijderen. Boeing heeft aangegeven dat het bedrijf al op de hoogte was van het bericht van de FAA en dat aan een oplossing gewerkt wordt. Volgens Boeing is er echter geen 'volledige' verbinding tussen het passagiersnetwerk en de vliegtuigsystemen en zou het al onmogelijk moeten zijn om in te loggen. Ictspecialisten hebben daar op gereageerd dat elke softwarematige firewall onvoldoende is om een dergelijk belangrijk systeem te beveiligen. Bron: www.computable.nl

4.7 Bedrijfsprocessen en informatie In een bedrijfsomgeving is er een nauw verband tussen bedrijfsprocessen en informatie. Een bedrijfsproces is het proces dat voor het bedrijf de basis is van zijn bestaan. In een bedrijfsproces wordt door mensen gewerkt aan een product of een dienst voor een klant. Een bedrijfsproces kent de volgende stappen: input, proces, output. Er zijn verschillende soorten bedrijfsprocessen: Het primaire proces, bijvoorbeeld het maken van fietsen of het beheren van geld; Sturende processen, bijvoorbeeld het plannen van de strategie van het bedrijf; Ondersteunende processen, bijvoorbeeld inkoop en verkoop of HR. Informatie is een belangrijke productiefactor geworden in het uitvoeren van bedrijfsprocessen. Eén van de methoden om de waarde van informatie te bepalen is na te gaan welke rol de informatie speelt in de verschillende bedrijfsprocessen. Elk bedrijfsproces stelt zijn specifieke eisen aan de

14

Basiskennis Beveiliging van Informatie informatievoorziening. Zo zijn er processen die sterk afhankelijk zijn van de beschikbaarheid van informatie, denk aan de website van het bedrijf, terwijl andere processen juist gebaat zijn bij de absolute correctheid van informatie zoals de prijzen van de producten.

4.8 Informatieanalyse Informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met informatie. Hoe ‘loopt’ de informatie door de organisatie heen. Bijvoorbeeld een gast heeft zich via de website ingeschreven bij een hotel. Deze informatie is doorgegeven aan de administratie die een kamer vastlegt. De receptie weet dat de gast vandaag zal arriveren. De huishoudelijke dienst weet dat de kamer op tijd schoon opgeleverd moet worden. Bij al deze stappen is het belangrijk dat de informatie betrouwbaar is. Het resultaat van een informatieanalyse kan gebruikt worden om tot een ontwerp te komen voor een informatiesysteem.

4.9 Informatiemanagement Informatiemanagement formuleert en richt het beleid in rondom de informatievoorziening van een organisatie. Daarbij kan een informatiemanager gebruik maken van de informatiearchitectuur en een informatieanalyse. Informatiemanagement is veel breder dan alleen de geautomatiseerde informatieverwerking door een organisatie. In veel gevallen zijn ook de externe communicatie en communicatie met de media onderdeel van de informatiemanagementstrategie.

4.10 Informatica De term informatica heeft betrekking op de wetenschap die zich bezighoudt met de logica die gebruikt wordt bij het structureren van informatie en systemen. Daarbij is van belang dat deze kennis ingezet kan worden in het ontwikkelen van programmatuur.

4.11 Samenvatting In dit hoofdstuk heeft u geleerd wat de verschillende verschijningsvormen van informatie en informatiesystemen zijn. U hebt kennis gemaakt met de drie-eenheid Beschikbaarheid, Vertrouwelijkheid en Integriteit. Tot slot heeft u gezien wat het belang van informatiebeveiliging is voor de bedrijfsprocessen, de informatiearchitectuur en informatiemanagement.

4.12 Casus Een autofabrikant heeft gepland dit jaar vijftienduizend auto’s van een bepaald type te bouwen. De fabrikant heeft een tweede model in ontwikkeling. Dit model bevindt zich nog op de tekentafel en enkele zogenaamde kleimodellen zijn gemaakt om de ideeën verder uit te werken. Deze autofabrikant heeft een groot aantal toeleveranciers voor de fabricage van zijn producten. Zowel bij de aanlevering van onderdelen voor de te bouwen auto’s als bij de ontwikkeling van het nieuwe model wordt veel samengewerkt met de toeleveranciers. Bedenk aan de hand van deze casus op welke manier de BIV-eisen die gesteld worden aan informatie, een rol spelen bij de bouw en ontwikkeling van een auto. Werk de BIV-eisen uit op de beide genoemde informatiestromen. Kijk ook naar de bedrijfsprocessen en hoe de informatiearchitectuur en het informatiemanagement daar een rol in spelen.

15


5. Dreigingen en risico’s (risicoanalyse) Inleiding Er wordt geen huis meer gebouwd zonder deugdelijk hang- en sluitwerk. Of de deur op slot zit bepaalt u echter zelf. Deze keuze wordt gemaakt uit gewoonte of op basis van een risicoafweging. In gebieden waar veel wordt ingebroken zullen de deuren door de bewoners meestal op slot worden gedaan. De dreiging is in dit geval het verdwijnen van persoonlijke eigendommen. Het risico dat er bij u wordt ingebroken wordt bepaald door de frequentie waarmee dit in de omgeving voorkomt. De vraag is of het een objectief risico is. Zijn er werkelijk veel inbraken in de buurt? De risico-inschatting is subjectief als u alleen handelt op grond van geruchten. In het proces van informatiebeveiliging worden ongewenste effecten (dreigingen) zo goed mogelijk in kaart gebracht. Vervolgens wordt bepaald of er iets, en zo ja, wat er moet gebeuren om deze te voorkomen. De ongewenste effecten die voorkomen moeten worden zijn niet altijd duidelijk voor degenen die de maatregelen moeten uitvoeren. Waarom moeten we iedere drie maanden ons wachtwoord veranderen? Andere maatregelen zijn minder zichtbaar, zoals de back-ups die 's nachts van de bestanden op de server worden gemaakt. Het voordeel daarvan merken we pas als we een bestand kwijt zijn. We gaan nu globaal in op hoe maatregelen tot stand komen en waar ze voor dienen.

Voordat we gaan beveiligen moeten we weten waartegen beveiligd moet worden. De methodiek die helpt om hier inzicht in te krijgen heet risicoanalyse. Er zijn verschillende vormen van risicoanalyses waarvan een aantal in dit hoofdstuk aan bod zullen komen. Met een risicoanalyse worden de risico’s voor een organisatie in kaart gebracht. Een risico, het gevaar voor schade aan of verlies van informatie, wordt bepaald door een aantal factoren. Dit zijn de dreiging, de kans dat een dreiging zich daadwerkelijk voordoet en de gevolgen daarvan.

In de praktijk In het bedrijf waar u werkt kan brand uitbreken; Een medewerker die niet op de HR afdeling werkt, heeft toegang tot delen van het HR programma; Iemand doet zich voor als een collega en probeert informatie te verkrijgen; Uw bedrijf wordt getroffen door een stroomstoring; Een hacker weet toegang te krijgen tot het bedrijfsnetwerk. In de informatiebeveiliging worden lijsten met standaarddreigingen gebruikt. Bovengenoemde dreigingen maken hier deel van uit.

In voorgaand voorbeeld is brand een dreiging. Wanneer een dreiging manifest wordt, zoals de hacker die op het bedrijfsnetwerk komt, spreken we van een incident. Een stroomstoring, zoals in begin 2008 toen een helikopter een hoogspanningskabel beschadigde, is zo'n groot incident dat de continuïteit van het bedrijf in gevaar is. Dit noemen we een calamiteit. Als een dreiging werkelijkheid wordt, ontstaat er een risico voor de organisatie. De grootte van het risico maar ook de inschatting van het management, bepaalt of en hoeveel maatregelen genomen moeten worden om het risico in te perken.

16


In het nieuws

Het SANS Institute (System, Audit, Network, Security) heeft zijn lijstje van de tien grootste computerdreigingen opgesteld. De meest opvallende dreigingen zijn cyberspionage door overheden, aanvallen op mobiele telefoons en het verspreiden van malware via consumentenproducten als USB-sticks. Volgens het SANS Institute komt de grootste computerdreiging dit jaar van websites die zwakheden in browsers en bijbehorende plugins (zoals Flash en QuickTime) proberen uit te buiten. Op de tweede plaats verwacht SANS een geavanceerder inzet van botnets, in navolging van de Storm worm die vorig jaar de wereld wakker schudde. Opvallend is de derde plaats op het lijstje: cyberspionage door grote organisaties of zelfs overheden. In 2007 was China al vaak in het nieuws vanwege vermeend spioneren. SANS verwacht op dit vlak meer activiteit van nog meer organisaties. Ook het risico van aanvallen op mobiele telefoons en VoIP-systemen staan hoog op de lijst (vierde plek). Telefoons worden steeds geavanceerder, hebben vaak een compleet besturingssysteem en worden daardoor steeds kwetsbaarder. De gebruiker zelf Een oude bekende staat op de vijfde plek: de gebruikers/werknemers zelf blijven een zwakke schakel in de beveiliging van (bedrijfs)gegevens. SANS raadt bedrijven onder meer aan om de toegang tot systemen strikt te beperken tot wat de gebruiker nodig heeft om zijn werk goed te kunnen doen. Op de zesde plaats staat het risico van bots die pc's drie tot vijf maanden inspecteren om gegevens als wachtwoorden, e-mailadressen, bankgegevens, surfgeschiedenis en dergelijke te verzamelen. Op de zevende plaats staat het kwaadaardiger worden van spyware. De software zal volgens SANS ook steeds beter worden in het identificeren en uitschakelen van antimalwareprogramma's, waardoor het een stuk lastiger wordt om spyware van een pc te verwijderen. In de lagere regionen van het lijstje vinden we nog het uitbuiten van kwetsbaarheden in webapplicaties (achtste plaats), ‘social engineering' (het ‘inschakelen' van de gebruikers van systemen om toegang te krijgen tot die systemen, bijvoorbeeld door phishing) op de negende plaats en op de tiende plaats het verspreiden van malware via consumentenproducten als USB-sticks, fotolijstjes en gps-systemen. Bron: www.computable.nl

Het proces om van dreigingen naar risico’s en naar beveiligingsmaatregelen te gaan heet risicomanagement. Risicomanagement is een continu proces waarin de risico’s worden onderzocht, geïdentificeerd en gereduceerd tot een acceptabel niveau. Dit doorlopende proces is op alle onderdelen van de bedrijfsprocessen van toepassing. De taak om dit proces te bewaken wordt in grote organisaties uitgevoerd door een speciaal daartoe aangestelde informatiebeveiligingsdeskundige, bijvoorbeeld de Chief Information Security Officer (CISO), die direct verantwoording schuldig is aan het hoogste management, of de Information Security Officer (ISO).

17

Basiskennis Beveiliging van Informatie In dit hoofdstuk wordt uitgelegd hoe een risicoanalyse in zijn werk gaat.

5.1 Risicoanalyse De risicoanalyse is een middel in risicomanagement. Het uitvoeren van een risicoanalyse heeft als doel inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risico’s hiermee gepaard gaan. Het beveiligingsniveau met de daarbij passende beveiligingsmaatregelen worden vastgesteld. Een risicoanalyse wordt gebruikt om zeker te stellen dat beveiligingsmaatregelen op een kosteneffectieve en tijdige manier worden ingezet en daarmee een goed antwoord vormen op de dreigingen. Beveiliging is een complexe zaak, zelfs voor ervaren beveiligingsdeskundigen. Het is niet eenvoudig de balans te vinden tussen te zware beveiligingsmaatregelen en te weinig of de verkeerde maatregelen. Veel geld kan worden uitgegeven aan onnodige beveiligingsmaatregelen omdat er geen doordacht beveiligingsconcept aan ten grondslag ligt. Een hulpmiddel om tot een doordacht beveiligingsconcept te komen is bijvoorbeeld de risicoanalyse. Een risicoanalyse helpt het bedrijf de risico’s juist in te schatten en daarbij de juiste, evenwichtige beveiligingsmaatregelen vast te stellen. Het management krijgt inzicht in de kosten die gemoeid zijn met het nemen van de juiste maatregelen.

Een risicoanalyse heeft vier hoofddoelen: Het identificeren van middelen en hun waarde; Het vaststellen van kwetsbaarheden en dreigingen; Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces verstoren; Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een beveiligingsmaatregel.

De risicoanalyse voorziet in een kosten/batenverhouding. De jaarlijkse kosten die de beveiligingsmaatregelen met zich mee brengen worden vergeleken met het potentiële verlies dat optreedt wanneer dreigingen werkelijkheid worden. Het mag natuurlijk niet zo zijn dat een server inclusief de data EUR 100.000,= waard is en er voor EUR 150.000,= aan beveiligingsmaatregelen worden genomen. Overigens gaat dit niet altijd op. Er kan een wettelijke eis van kracht zijn om de data te beschermen of maatregelen te nemen. Het gevolg hiervan kan zijn dat de waarde van de maatregelen de waarde van de bedrijfsmiddelen overstijgt. Overigens is de waarde van data niet gemakkelijk vast te stellen. Denk bijvoorbeeld aan imagoverlies na een beveiligingsincident. De schade daarvan is moeilijk te berekenen.

5.2 Soorten risicoanalyses Er bestaan twee hoofdgroepen risicoanalyses: de kwantitatieve en de kwalitatieve risicoanalyse.

5.2.1 Kwantitatieve risicoanalyse De kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen wat het financiële verlies is en hoe groot de kans is dat een dreiging een incident wordt. Voor alle elementen in een bedrijfsproces wordt de waarde vastgesteld. Deze waarden kunnen de kosten van beveiligingsmaatregelen bevatten, maar ook de waarde van eigendommen zoals gebouwen, 18

Basiskennis Beveiliging van Informatie hardware, software, informatie en bedrijfsmatige impact. Ook worden hierbij betrokken de tijdspanne voordat een dreiging uitkomt, de effectiviteit van beveiligingsmaatregelen en het risico dat een kwetsbaarheid benut wordt. Zo wordt het totale financiële risico in kaart gebracht, passende maatregelen worden bepaald en, niet onbelangrijk, vastgesteld welk restrisico geaccepteerd wordt door de verantwoordelijke managers. Het is de bedoeling dat de kosten van de maatregelen niet de waarde van het te beveiligen object en het risico overstijgen. Een puur kwantitatieve risicoanalyse is vrijwel onmogelijk. Een kwantitatieve risicoanalyse probeert waarden aan alle zaken te koppelen en dat is niet altijd mogelijk. Een defecte server is naar bedragen om te zetten: de aankoopwaarde en de afschrijving van de server, de waarde van de software die geïnstalleerd moet worden, het arbeidsloon bij reparatie, dat alles is vast te stellen. Maar probeert u imagoschade eens aan een waarde te koppelen! Hoe stellen we vast wat het verlies is door imagoschade? Hoeveel waardeverlies heeft een bedrijf doordat bepaalde data verloren gaan? Soms is dat vast te stellen, soms ook niet. Dat maakt het ook moeilijk om de juiste maatregelen vast te stellen voor bepaalde schades. In de praktijk U hebt een verzekeringskantoor en de gegevens van verzekerden komen op straat te liggen door een fout van een medewerker. Hoeveel klanten gaat u verliezen door dit voorval? Gegevens van getuigen in een strafzaak lekken uit. Hoeveel mensen zullen nog bereid zijn vrijwillig te getuigen in een strafzaak? Een medewerker heeft een USB-stick verloren en dit wordt breed uitgemeten in de pers. Hoe betrouwbaar is uw organisatie nog in de ogen van het publiek?

5.2.2 Kwalitatieve risicoanalyse Een kwalitatieve risicoanalyse gaat uit van scenario’s en situaties. Hierbij worden de kansen dat een dreiging uitkomt bekeken op gevoel. Dan wordt gekeken naar het bedrijfsproces waarop de dreiging betrekking heeft en naar de beveiligingsmaatregelen die al genomen zijn. Dit alles levert een subjectief dreigingsgevoel op. Hierop worden vervolgens maatregelen genomen die het risico moeten inperken. Het beste resultaat wordt bereikt door de analyse in een groepssessie uit te voeren, omdat dit leidt tot een discussie waarin niet het beeld van een persoon of een afdeling leidend is. Kwantitatieve en kwalitatieve risicoanalyses hebben hun voor- en nadelen. Het management, in overleg met de deskundigen, bepaalt welke methode in welke situatie het best toegepast kan worden.

5.3 Maatregelen die het risico verminderen De risicoanalyse levert een lijst op met dreigingen en hun relatieve belang. De volgende stap is voor elke serieuze dreiging één of meer maatregelen te vinden die het risico verminderen. Dat kan door de kans op de gebeurtenis kleiner te maken of door de gevolgen te minimaliseren, of door een combinatie van beide. Theoretisch hebben we daarvoor de volgende mogelijkheden:

5.3.1 Typen beveiligingsmaatregelen Hoe bouwen we de beveiliging op? Dat kan op diverse manieren en hangt af van de doelstellingen die bereikt moeten worden. Wat vaststaat, is dat de beveiligingsmaatregelen altijd samenhangen met de uitkomsten van een risicoanalyse en gebaseerd zijn op de betrouwbaarheidsaspecten en – kenmerken van informatie. Wat willen we bereiken? 19

Basiskennis Beveiliging van Informatie Preventieve maatregelen zijn gericht op het voorkomen van incidenten; Detectieve maatregelen zijn bedoeld om incidenten waar te kunnen nemen; Repressieve maatregelen zijn bedoeld om de gevolgen van een incident te stoppen; Correctieve maatregelen zijn bedoeld om de ontstane schade te herstellen. Het is mogelijk ons te verzekeren tegen bepaalde incidenten, bijvoorbeeld omdat het zelf nemen van maatregelen te kostbaar is. Afhankelijk van de omvang van de risico’s kunnen we er ook voor kiezen bepaalde risico’s te accepteren.

5.3.2 Preventie Maak de dreiging onmogelijk. Verbreek de verbinding met internet en metsel de deur dicht. Dit is praktisch onuitvoerbaar, maar er ook zijn heel eenvoudig uitvoerbare maatregelen. Het in een kluis leggen van gevoelige informatie valt onder preventieve maatregelen.

5.3.3 Detectie Als de directe gevolgen niet te groot zijn of er is tijd om gevolgschade te beperken, dan kan detectie een goed middel zijn. Zorg ervoor dat elk incident zo snel mogelijk wordt gedetecteerd en zorg dat iedereen daarvan op de hoogte is. Een voorbeeld hiervan is videobewaking waarover door middel van plakkers op het raam geïnformeerd wordt. De simpele mededeling dat al het internetgebruik wordt vastgelegd, weerhoudt veel medewerkers van ongeoorloofd surfgedrag. Traceerbaarheid speelt een steeds grotere rol in de maatschappij. Daarmee lijkt ook de bewijslast te verschuiven. Bij verdenking moet de organisatie aantonen dat er géén onregelmatigheden waren.

20


5.3.4 Repressie (Onderdrukken) Het vaststellen dat iets gebeurt is niet voldoende. Wanneer er onverhoopt toch iets mis gaat, is het zaak de gevolgen van het incident te beperken. Het heeft bijvoorbeeld geen zin brandmelders te hebben als vervolgens niemand initiatief neemt om een beginnende brand te blussen. Onderdrukkende maatregelen, zoals het blussen van een beginnende brand, zijn erop gericht de schade die ontstaat zoveel mogelijk te beperken. Het maken van een back-up is ook een onderdrukkende maatregel. Immers door periodiek een back-up te maken tijdens het werken aan een document, wordt voorkomen dat het werk geheel verloren gaat bij een incident. Doordat de back-up teruggezet kan worden zal slechts een deel van het werk verloren zijn gegaan. Ook uitwijk is een voorbeeld van een repressieve maatregel.

5.4.5 Correctie (Herstel) Als een incident heeft plaatsgevonden, dan is er altijd iets dat hersteld moet worden. Afhankelijk van de onderdrukkende maatregelen is de schade beperkt of zeer groot. Maakt een medewerker per ongeluk een nieuwe database aan die de volle database overschrijft dan hangt de schade af van een back-up. Hoe langer het is geleden dat een back-up werd gemaakt, hoe groter de schade.

5.4.6 Verzekeren Voor gebeurtenissen die niet zijn uit te sluiten en waarvan de gevolgen onaanvaardbaar zijn, zoeken we methoden om de gevolgen te verzachten, ook wel mitigatie genoemd. Een brandverzekering beschermt ons tegen de financiële gevolgen van de brand. Dagelijks een kopie van alle belangrijke gegevens buiten de organisatie brengen zorgt ervoor dat we na de brand in ieder geval de onvervangbare gegevens nog hebben. Beide maatregelen zijn niet goedkoop maar worden doorgaans als gerechtvaardigd gezien.

5.4.7 Accepteren Wanneer alle maatregelen bekend zijn, kan besloten worden om bepaalde beveiligingsmaatregelen niet uit te voeren omdat de kosten niet in verhouding zijn tot het rendement, of omdat er geen passende maatregelen mogelijk zijn die de risico’s het hoofd bieden.

5.5 Soorten dreigingen Dreigingen kunnen worden onderverdeeld in menselijke dreigingen en niet-menselijke dreigingen. Ook hierbij wordt vaak gebruik gemaakt van standaardlijsten met dreigingen. Het is noodzakelijk om vast te stellen welke dreigingen relevant zijn en welke niet. Beveiliging vraagt immers (financiële) offers van een organisatie en het is niet verstandig te investeren in beveiliging tegen dreigingen die niet zullen optreden.

In de praktijk Is uw bedrijf gevestigd in een gebied waar nog nooit aardbevingen zijn voorgekomen, dan heeft het geen zin hier rekening mee te houden en hoeven hier geen maatregelen tegen getroffen te worden.

We gaan hier wat verder in op de soorten dreigingen.

5.5.1 Menselijke dreigingen Opzettelijk. Mensen kunnen opzettelijk schade toebrengen aan informatiesystemen. Dat kan om diverse redenen zijn. Meestal wordt eerst aan oorzaken van buitenaf gedacht, zoals een hacker die een zekere aversie tegen een bedrijf heeft en daarom binnendringt en schade veroorzaakt. 21

Basiskennis Beveiliging van Informatie Maar wat te denken van een medewerker die ontslagen wordt en voor vertrek data vernietigd, een medewerker die de verwachte promotie niet krijgt en uit boosheid data vernietigt of een medewerker die data verkoopt aan de concurrent. We spreken hier weer in computertermen, maar het kan natuurlijk ook gaan over het fysiek vernietigen van informatie of apparatuur. Wie kent de reclame niet van de gefrustreerde medewerker die zijn pc door het raam naar buiten gooit? Onopzettelijk. Mensen kunnen onopzettelijk schade toebrengen. Druk op de delete-toets en let niet goed op de vraag of je het zeker weet. Steek een USB-stick met een virus in de machine en breng op die manier het virus over op een heel netwerk. Gebruik in paniek een poederblusser om een beginnend brandje te blussen en vernietig daarmee een server. Een typisch geval van menselijk handelen dat bij de juiste brandwerende maatregelen niet nodig was geweest.

In het nieuws Opzettelijk of onopzettelijk?

Hoe het Witte Huis tien miljoen e-mails verloor zal voor altijd een raadsel blijven, nu een Amerikaanse rechter heeft geoordeeld dat het Executive Office of the President hier geen informatie over hoeft prijs te geven. De burgerrechtenbeweging 'Citizens for Responsibility and Ethics in Washington' (CREW) wilde via de Freedom of Information Act (FOIA) wat er in de berichten stond en waarom die zijn verdwenen. Volgens de rechter valt het Executive Office niet onder deze wet, iets wat de Bush-regering in 2006 en 2007 liet aanpassen. CREW denkt dat het Witte Huis mogelijk geprobeerd heeft om lobby schandalen, vermoedelijke politieke invloed op de General Services Administration, verantwoordelijk voor overheidsaanbestedingen, en andere problemen in de doofpot te stoppen door de berichten te verwijderen. "De Bush-regering gebruikt het juridische systeem om te voorkomen dat het Amerikaanse volk de waarheid over de miljoenen verloren e-mails van het Witte Huis ontdekt," aldus een teleurgestelde CREW-directeur Melanie Sloan. Bron: www.security.nl

Social Engineering. Social engineering maakt gebruik van mensen door ze informatie te ontfutselen, bijvoorbeeld bedrijfsgeheimen. De social engineer maakt gebruik van zwakheden in de mens om zijn doel te bereiken. Vaak zijn we ons hier niet van bewust en we weten dan ook niet dat een social engineer actief is. Als u op uw werk een vreemde tegenkomt in de gang, vraagt u dan of u hem of haar kunt helpen? Als u een telefoontje krijgt van de helpdesk met de vraag waar een bepaald bestand staat, vraagt of controleert u of het werkelijk de helpdesk is? Voert u in de trein wel eens een gesprek over uw werk en weet u zeker dat daar geen gevoelige informatie in voorkomt? Een social engineer gaat volgens een bepaald patroon te werk. Over social engineering kan een apart boek worden geschreven, we gaan hier niet verder op in.

5.5.2 Niet-menselijke dreigingen Zo zijn er ook niet-menselijke dreigingen, invloeden van buitenaf zoals blikseminslag, brand, overstroming, stormschade. Veel van deze schades zullen mede bepaald worden door de plaats van de apparatuur in het pand. Bevindt de serverruimte zich pal onder het platte dak dat gevoelig is voor lekkages of juist in de kelder onder het maaiveld, in een bodemstructuur waar het grondwater hoog 22

Basiskennis Beveiliging van Informatie staat. Zijn er ramen in de gevel of staan de servers in een bunker. Dit alles heeft invloed op de risico’s die de organisatie loopt en wil lopen. Binnen de menselijke en niet-menselijke dreigingen kunnen we een onderverdeling maken in storingen in de basisinfrastructuur zoals computerapparatuur, programmatuur of gegevensbestanden en storingen in de fysieke omgeving zoals gebouwen, papieren dossiers, elektrische installaties, watervoorzieningen, verwarming, ventilatie en koeling.

In het nieuws

Een gecorrumpeerd bestand heeft een vuurwerkshow in Seattle bijna verknald. Het team dat de show leidde ontdekte het probleem één minuut voor twaalf uur en besloot op het laatste nippertje om de ontstekingsmechanismen handmatig te bedienen. Niet alleen duurde de show hierdoor langer dan gepland (11,5 in plaats van 8,5 minuten), maar ook verlichtten de vuurpijlen het werk in een ander ritme dan de begeleidende muziek. Omstanders waren desondanks tevreden over de vuurwerkshow, zo bericht een lokale krant. Volgens een woordvoerder van het bedrijf is dit de eerste keer in veertien jaar dat een dergelijk probleem optrad. Bron: www.computable.nl

5.6 Soorten schade Schades als gevolg van het manifest worden van genoemde dreigingen kunnen we verdelen in Directe schade; Indirecte schade; Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE); Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE). Een voorbeeld van directe schade is diefstal. Diefstal heeft direct gevolgen voor het zakendoen (de business). Indirecte schade is gevolgschade die kan optreden, bijvoorbeeld waterschade van het blussen of het niet kunnen voldoen aan een contract omdat de IT-infrastructuur door brand is vernietigd.

23


In het nieuws

Een werknemer van een Amerikaans bedrijf heeft voor 2,5 miljoen dollar aan bedrijfsgegevens gewist, omdat ze dacht dat haar baas haar wilde ontslaan. De vrouw vermoedde het ontslag na het lezen van een personeelsadvertentie. De vrouw las een personeelsadvertentie voor een functie die erg op die van haar leek. Ze dacht dan ook dat haar functie werd aangeboden. Uit woede besloot de vrouw in te loggen op de server van het bedrijf en alle tekeningen en ontwerpen van de laatste zeven jaar te wissen. Hoewel een it-consultant de gegevens weer boven water heeft weten te krijgen, is de vrouw aangeklaagd voor het beschadigen van computers. Bovendien hebben de gegevens die de werkneemster wilde wissen een waarde van ongeveer 2,5 miljoen dollar. De advertentie die de vrouw gelezen had, was overigens niet geplaatst door het bedrijf waarvoor zij werkte. Naar haar baan kan ze nu waarschijnlijk fluiten. Bron: www.computable.nl

Enkelvoudige schadeverwachting is de schade van een incident dat eenmalig optreedt. De jaarlijkse schadeverwachting is de hoeveelheid schade, in geld uitgedrukt, die door een incident in een jaar kan optreden. Bijvoorbeeld, er wordt een maatregel voorgesteld tegen diefstal van laptops. Er worden gemiddeld 10 laptops per jaar gestolen. De jaarlijkse schadeverwachting is dan de schade van 10 laptops (en de data en programmatuur) en niet van 1. De te kiezen maatregel kan dus duurder worden dan de waarde van een laptop. Maar als een incident statistisch gezien één maal per vijf jaar optreedt, dan is de jaarlijkse schadeverwachting één vijfde van de enkelvoudige schadeverwachting. Indirecte schade ligt anders, denk bijvoorbeeld aan imagoschade.

In de praktijk Het onbehoorlijke gedrag van medewerkers verschijnt uitgebreid in de pers en bezorgt de organisatie en negatief imago. Geen reclamecampagne kan dat goedmaken. Producten moeten worden teruggehaald omdat er gifstoffen in zijn aangetroffen. Een bepaald automodel blijkt een constructiefout te hebben en overleeft de elandproef niet.

5.7 Soorten risicostrategieën We kunnen op verschillende manieren met risico’s omgaan. De meest voorkomende strategieën zijn: Risicodragend; Risiconeutraal; Risicomijdend. Onder risicodragend wordt verstaan dat we sommige risico’s accepteren. Dat kan zijn omdat de kosten van de beveiligingsmaatregelen de mogelijke schade overstijgen. Maar het management kan ook besluiten niets te doen ondanks dat de kosten niet hoger zijn dan de schade die kan optreden.

24

Basiskennis Beveiliging van Informatie De maatregelen die een risicodragende organisatie neemt op het gebied van informatiebeveiliging zijn veelal van repressieve aard. Onder risiconeutraal wordt verstaan dat er dusdanige beveiligingsmaatregelen worden genomen dat dreigingen of niet meer manifest worden of, wanneer de dreiging wel manifest wordt, de schade als gevolg hiervan geminimaliseerd is. De meeste maatregelen die een risiconeutrale organisatie neemt op het gebied van informatiebeveiliging is een combinatie van preventieve, detectieve en repressieve maatregelen. Onder risicomijdend verstaan we dat er zodanige maatregelen worden genomen dat de dreigingen zoveel mogelijk worden geneutraliseerd, de dreiging leidt niet meer tot een incident. Denk hierbij aan het invoeren van nieuwe software waardoor de fouten in de oude software geen dreiging meer vormen. In simpele bewoordingen: een ijzeren emmer kan roesten. Neem een kunststof emmer en de dreiging, roest, valt weg. Veel van de maatregelen binnen deze strategie hebben een preventief karakter. Welke strategie een organisatie ook kiest, de keuze zal bewust door het management moeten worden gemaakt en de gevolgen zullen moeten worden gedragen.

5.8 Richtlijnen bij het invoeren van beveiligingsmaatregelen Het invoeren van beveiligingsmaatregelen is, wanneer dit vanaf de basis gedaan moet worden, veel werk. Bij veel bedrijven is de automatisering in de loop der jaren van één pc op de administratie uitgegroeid tot een grootschalig netwerk met soms wel tienduizenden pc’s en vele servers. Er bestaan richtlijnen die helpen bij het kiezen van maatregelen. Een bedrijf kan zich ook profileren door duidelijk te maken dat het aan deze richtlijnen voldoet. De ISO/IEC 27001:2005 standaard gaat over de inrichting van het informatiebeveiligingsproces. ISO/IEC 20000 is de wereldwijde standaard voor IT-servicemanagement. Beide normeringen bieden houvast om de bedrijfsprocessen doelmatig en beveiligd in te richten. In de ISO/IEC 27002:2007 standaard, ook wel bekend onder de naam ‘Code voor de Informatiebeveiliging’, staan richtlijnen voor maatregelen op het gebied van informatiebeveiliging. De richtlijnen in de ISO/IEC 27002:2007 standaard bestrijken het organisatorisch vlak, het procedurele vlak, het fysieke vlak en het logische vlak van informatiebeveiliging.

In de praktijk De overheid heeft regels opgelegd voor de beveiliging van bepaalde informatie. Denk bijvoorbeeld aan de Wet Bescherming Persoonsgegevens (WBP). Voor overheidsinstellingen is er het Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007) en de VIR-BI voor het omgaan met bijzondere informatie. Voor Nederlandse beursgenoteerde bedrijven geldt een dwingende afspraak: de Code Tabaksblat. Voor bedrijven die genoteerd staan aan de Dow Jones Stock Exchange in New York geldt de Sarbanes-Oxley Act (SOx), waaraan ook buitenlandse bedrijven moeten voldoen. Dit zijn enkele voorbeelden van weten regelgeving die bedrijven er toe dwingen hun informatiebeveiliging op orde te hebben. Een middel hiervoor is het voldoen aan de ISO/IEC normen op dit gebied.

25


5.9 Samenvatting In dit hoofdstuk heeft u veel nieuwe begrippen geleerd, we zijn tevens ingegaan op de verschillende soorten dreigingen en hoe daar mee om te gaan. De risicoanalyse geeft een duidelijk beeld van het risico dat een organisatie loopt. Welke dreigingen zijn er en welke soorten schade kennen we. Welke risicostrategieën hebben we tot onze beschikking. Moeten we wel ieder risico met een maatregel afdekken of kunnen we sommige risico’s accepteren?

5.10 Casus De fictieve gemeente Betuwegaard omvat een groot deel van het Gelders rivierengebied. Deze gemeente is ontstaan na een gemeentelijke herindeling, waarbij zeven voorheen zelfstandige gemeenten zijn samengevoegd. De ‘oude’ gemeentehuizen zijn als bijkantoor voor serviceverlening open voor het publiek. Centraal in het gebied wordt een nieuw gemeentehuis gebouwd waarin de centrale administratie en onderhoudsdiensten gevestigd worden. Ook is hier het rekencentrum gepland. De automatisering zal samengevoegd worden van zeven afzonderlijke computersystemen naar één centraal computersysteem. Als locatie is gekozen voor een prachtig gelegen terrein direct naast een groot binnendijks waterrecreatiegebied (voormalige zandafgravingen). Ambtenaren en bezoekers kijken uit over de Waal en de medewerkers kunnen in hun middagpauze genieten van de waterrecreatie naast het pand. Een veerpont zorgt voor een goede verbinding naar de overzijde van de Waal. Een goede verbindingsweg garandeert de bereikbaarheid van het nieuwe gemeentehuis vanuit de omliggende plaatsen. Een brug over de Rijn ligt slechts anderhalve kilometer verderop, van waaruit de hoofdwegen ook goed bereikbaar zijn. U krijgt de opdracht een risicoanalyse uit te voeren op de nieuwbouwplannen van de gemeente Betuwegaard. Wat voor soort risicoanalyse voert u uit? Wat zijn de voornaamste risico’s die u onderkent? Wat zijn de zaken waarmee de gemeente Betuwegaard in het bijzonder rekening moet houden wanneer zij tot nieuwbouw besluit? Controlevragen: Wat is het doel van een risicoanalyse? Wat is het verschil tussen een dreiging en een risico? Welke typen maatregelen zijn er te onderscheiden? Welke risicostrategieën zijn er? Wat is het verschil tussen risicoanalyse en risicomanagement? Welke soorten risicoanalysemethodieken zijn te onderscheiden? Welke schadevormen zijn te onderscheiden?

26


6. Informatiebeveiligingsincidenten en -zwakheden Inleiding Het informatiebeveiligingsproces is niet eenmalig. Het is een doorlopend proces. Iedere organisatie is voortdurend aan verandering onderhevig en daarmee ook de dreigingen, risico’s en maatregelen. Informatiebeveiliging moet verankerd zijn in de organisatie en heeft doorlopend aandacht nodig. Het is van belang dat informatiebeveiliging wordt gedragen door het hoogste management binnen een bedrijf, en dat dit voor alle medewerkers zichtbaar is. Bij het informatiebeveiligingsproces horen ook andere processen, bijvoorbeeld incidentmanagement of risicomanagement. Daarnaast kunnen de verschillende taken in de informatiebeveiliging, afhankelijk van de grootte van de organisatie, bij verschillende meer of minder gespecialiseerde personen zijn belegd.

6.1 Beheer van informatiebeveiligingsincidenten Medewerkers spelen een belangrijke rol in het waarnemen van zwakheden in de beveiliging en beveiligingsincidenten. Zij zijn immers vaak de eerste die het incident zien. Iemand heeft een vertrouwelijk stuk op de printer laten liggen. Een bestand met persoonlijke gegevens is verdwenen. Er hangt een vreemde geur in de ruimte van de papierversnipperaar. Een deur die op slot moet zijn staat open. Een collega gedraagt zich afwijkend. De pc geeft vreemde schermboodschappen. Medewerkers moeten incidenten kunnen melden en de meldingen moeten worden opgevolgd. Het melden van een incident wordt ook wel escalatie genoemd. Een incident kan gemeld worden aan iemand die meer expertise heeft en het probleem misschien kan oplossen. Dit heet een functionele (horizontale) escalatie. Een voorbeeld van functionele escalatie is een melding aan de servicedesk over vreemde meldingen op het scherm. Een incident kan ook gemeld worden aan iemand die meer autoriteit heeft en die een beslissing kan nemen. Dit heet een hiërarchische escalatie. Een voorbeeld van hierarchische (verticale) escalatie is een melding aan de eigen manager over verdacht gedrag van een collega. Het doel van dit incidentbeheerproces is het inzicht krijgen in incidenten en daarvan te leren voor de toekomst. Een melding kan ook een ander informatiebeveiligingsproces in gang zetten, bijvoorbeeld het herstellen van een bestand, een beveiligingsonderzoek, of zelfs het uitwijken naar een andere locatie.

6.1.1 Rapportage van informatiebeveiligingsincidenten en zwakke plekken Incidenten bestaan in vele soorten en maten. In de ISO/IEC 20000 standaard wordt beschreven hoe incidenten kunnen worden beheerd in het incidentmanagementproces. Maar niet ieder incident is een beveiligingsincident.

In de praktijk De IT-servicedesk van een grote organisatie krijgt de vraag:“Kunt u mij vertellen hoe ik in Word de optie vette letters terug krijg in de werkbalk bovenin mijn scherm”. Deze vraag wordt als een incident geregistreerd in het servicedesksysteem. Een beveiligingsincident kunnen we dit echter niet noemen. Tenzij er sprake is van een ‘vetteletterknop-vernietigend-virus’ maar daar heeft niemand ooit van gehoord.

Het doel van het incidentmanagementproces is ervoor zorgen dat gebeurtenissen en -zwakheden die verband houden met informatiesystemen bekend worden zodat op tijd maatregelen worden genomen. 27

Basiskennis Beveiliging van Informatie Werknemers, ingehuurd personeel en externe gebruikers horen op de hoogte te zijn van de procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de betrouwbaarheid van de informatie en de beveiliging van de bedrijfsmiddelen. Zij behoren te worden verplicht alle gebeurtenissen en zwakke plekken zo snel mogelijk te melden aan de servicedesk of een contactpersoon. De nadruk ligt natuurlijk bij het belang dat iedereen in de organisatie heeft bij een snelle reactie. Twee zaken zijn van groot belang en moeten door de directie duidelijk worden gemaakt: Het melden van beveiligingsincidenten is primair bedoeld om van te leren. Met deze kennis kunnen soortgelijke incidenten worden voorkomen; Het melden van een incident is geen middel voor een afrekening, om de veroorzaker van een beveiligingsincident te straffen. Het laatste gaat natuurlijk niet altijd op. Wanneer een medewerker doelbewust informatiesystemen heeft gesaboteerd, informatie heeft gelekt of op een andere wijze (grote) schade heeft veroorzaakt is het niet te vermijden dat aangifte bij de politie wordt gedaan. Waar het om gaat is te voorkomen dat incidenten niet gemeld worden omdat men bang is voor de reactie van het management, of omdat men niet als verklikker te boek wil staan. Het proces moet er ook voor zorgen dat degene die een informatiebeveiligingsgebeurtenis meldt wordt geïnformeerd over de resultaten nadat de kwestie is afgehandeld. Dit is ook nuttige informatie bij het uitvoeren van een (hernieuwde) risicoanalyse. Het kan zijn dat de al genomen maatregelen niet afdoende zijn om bepaalde incidenten te voorkomen. Een standaardformulier op het intranet voor het rapporteren van een dergelijk incident kan de drempel om te melden verlagen. Het formulier kan ook gebruikt worden om instructies te geven voor de noodzakelijke directe handelingen. Het formulier kan helpen veel details te vragen. Op een incident melding formulier zouden minimaal de volgende zaken gemeld moeten worden: Datum en tijd Naam van de melder Locatie (waar is het incident) Wat is er aan de hand? (beschrijving van het incident: Virusincident, diefstal, inbraak, data verlies etc.) Wat is het effect van het incident? Hoe is het ontdekt? En indien mogelijk de volgende zaken: Soort systeem (dekstop, printer, server, mailserver etc.) Systeem nummer / systeem naam (indien aanwezig) Wie is nog meer geïnformeerd? Men kan natuurlijk nog meer vragen bedenken, afhankelijk van het soort melding. Waar het bij het melden in ieder geval om moet gaan, is dat men voldoende gegevens verkrijgt om het incident op de juiste manier af te kunnen handelen.

28


In de praktijk Er wordt geen onderhoud op apparatuur uitgevoerd; De noodstroomvoorzieningen worden niet getest; Een medewerker verliest de laptop; Een medewerker leeft de clear desk policy niet na; Een medewerker neemt een niet-geautoriseerde bezoeker mee; Nieuwe software wordt uitgerold zonder dat deze grondig werd getest; Een virus is het informatiesysteem binnengedrongen; Door onvolledige bedrijfsgegevens zijn de winstresultaten niet betrouwbaar; De toegangsrechten van een medewerker worden niet gewijzigd na verandering van functie; Medewerkers schrijven hun wachtwoord op een notitieblaadje en dat ligt bij de pc.

De afspraken over wat te doen bij een incident worden over het algemeen vastgelegd in procedures. Immers een procedure beschrijft wie wat moet doen. De aandachtsgebieden in een dergelijke procedure zijn: Het analyseren van het incident en het vaststellen van de oorzaak; Welke stappen worden uitgevoerd om de gevolgen van het incident te beperken; Welke stappen worden uitgevoerd om te bepalen of en zo ja welke corrigerende maatregelen nodig zijn om herhaling van het incident te voorkomen; Welke partijen worden geïnformeerd in geval van een incident. Dit kunnen partijen zijn die getroffen zijn of die helpen bij het oplossen van het incident; Wat en aan wie wordt gerapporteerd over het incident.

6.1.2 Rapportage van zwakke plekken in de beveiliging Wanneer medewerkers, ingehuurd personeel en externe gebruikers van informatiesystemen en – diensten merken dat er (verdachte) zwakke plekken in systemen of diensten aanwezig zijn, is het belangrijk dat zij deze zo spoedig mogelijk melden. Alleen dan kunnen beveiligingsincidenten voorkomen worden. Wanneer een informatiebeveiligingsincident net is ontdekt, zal het vaak niet duidelijk zijn of het incident zal leiden tot gerechtelijke stappen. Het gevaar bestaat dan ook dat het benodigde bewijsmateriaal opzettelijk of per ongeluk wordt vernietigd, voordat de ernst van de situatie wordt onderkend. Het is daarom belangrijk het incident eerst te melden en advies te vragen over hoe te handelen. Het kan zijn dat in een vroeg stadium een advocaat of de politie bij de zaak betrokken moet worden en dat bewijsmateriaal nodig is.

In de praktijk Als iemand vermoedt dat op de werkplek van een medewerker kinderporno wordt bewaard, moet met de melding van dit incident voorzichtig worden omgegaan om te voorkomen dat bewijsmateriaal wordt verwijderd.

29


6.1.3 Registratie van storingen Om een storing te kunnen analyseren worden relevante gegevens vastgelegd. Deze gegevens worden vaak opgeslagen in zogeheten logbestanden. Dit is de moderne variant van het traditionele logboek dat overigens nog steeds toepasbaar is. Denk bijvoorbeeld aan gevallen waarin de stroom uitvalt of een systeem uitvalt en er geen andere manieren zijn dan het op papier vastleggen van de gebeurtenissen en uitgevoerde activiteiten. In grote organisaties zullen storingen altijd gemeld worden bij de servicedesk (helpdesk). Deze zal, wanneer het binnen de mogelijkheden ligt, een storing meteen oplossen. Wanneer dat niet mogelijk is zullen zij de informatie over de storing doorgeven aan een afdeling die dat wel kan.

6.2 Incidentcyclus Beveiligingsmaatregelen zijn gericht op een bepaald moment in de incidentcyclus. De maatregelen zijn gericht op het voorkomen van bedreigingen (preventief) of het reduceren van bedreigingen (reductief), detecteren van incidenten (detectief), reageren op incidenten, doen ophouden van bedreigingen (repressief)en het corrigeren van dreigingen. (correctief) De maatregelen worden genomen: Ter waarborging van de beschikbaarheid; Ter waarborging van de integriteit; Ter waarborging van de vertrouwelijkheid.

6.3 Rollen Afhankelijk van de omvang van de organisatie zijn voor de verschillende taken in de informatiebeveiliging verschillende rollen te vinden. Deze rollen of functies kunnen in hun namen afwijken maar komen op onder andere de volgende neer: De Chief Information Security Officer (CISO) bevindt zich op het hoogste managementniveau van de business. De CISO ontwikkelt het beleid en de strategie op hoofdlijnen voor het hele bedrijf. De information security officer (iso) ontwikkelt bij een bedrijfseenheid het beleid gebaseerd op het bedrijfsbeleid en ziet toe op de naleving bij zijn bedrijfseenheid. De Information Security Manager (ISM) ontwikkelt het informatiebeveiligingsbeleid binnen de ICTorganisatie en ziet toe op de naleving. Naast deze functies die specifiek gericht zijn op informatiebeveiliging kunnen in een organisatie bijvoorbeeld een Beleidsmedewerker Informatiebeveiliging of een Functionaris voor de Gegevensbescherming (FG) voorkomen.

30

Basiskennis Beveiliging van Informatie Wie meer wil lezen over rollen in de informatiebeveiligingsorganisatie, verwijzen wij graag naar een publicatie van het PvIB Functies en Rollen in de Informatiebeveiliging van december 2006. Deze publicatie is te downloaden op http://www.pvib.nl.

6.4 Samenvatting In dit hoofdstuk heeft u kennis gemaakt met incidentmanagement. Hoe gaat een organisatie om met beveiligingsincidenten? Het melden van beveiligingsincidenten is van groot belang. Niet alleen om de incidenten op te kunnen lossen en daarmee de dreigingen en de risico’s voor een organisatie onder controle te krijgen en te houden, maar ook om er van te leren. Zonder kennis van beveiligingsincidenten kunnen we ze immers in de toekomst niet voorkomen.

6.5 Casus Bij een grote overheidsorganisatie met meerdere vestigingen verspreid in Nederland, komen beveiligingsincidenten regelmatig voor. Zo heeft kort geleden een medewerker zijn laptop op het dak van de auto laten liggen. Die laptop werd gevonden en de informatie die er op stond was niet voor iedereen bestemd. Ook USB-sticks worden nog wel eens verloren. De directie heeft het idee dat er nog veel meer gebeurt, maar weet niet wat. De auditdienst van het ministerie was onaangenaam verrast toen zij tot de ontdekking kwam dat informatiebeveiliging niet geregeld was. Het antwoord van de verantwoordelijke directeur was dat de medewerkers zelf toch ook wel weten wat wel en niet mag! De directie besluit, gedwongen door de audit, een aantal functionarissen voor informatiebeveiliging aan te stellen. Na een spannende sollicitatieronde heeft u de eer de eerste Information Security Officer (ISO) binnen deze overheidsdienst te worden. Uw primaire opdracht is er zorg voor te dragen dat: 1. Informatiebeveiliging volgens de geldende overheidsregels wordt uitgevoerd; 2. De medewerkers zich bewust zijn van het nut en de noodzaak van informatiebeveiliging; 3. Bij de volgende ministeriële audit, over twee jaar, de informatiebeveiliging op orde is en de incidenten tot het verleden behoren.

Wat zijn de werkzaamheden die u uit gaat voeren en hoe gaat u dat doen?

31


7. Fysieke maatregelen Inleiding In de voorgaande hoofdstukken is ingegaan op de organisatie van de informatiebeveiliging en de risicoanalyse. Uit de risicoanalyse komt een pakket beveiligingsmaatregelen voort die passend zijn voor het risicoprofiel dat voor de organisatie is vastgesteld. Een deel van de maatregelen die vastgesteld wordt heeft betrekking op de fysieke beveiliging van de organisatie. Alles hangt af van het soort organisatie. Bij een organisatie die een publieke functie heeft zal de toegang tot gebouwen en terreinen vrijwel onbeperkt zijn. Een voorbeeld hiervan is een openbare bibliotheek. Een andere organisatie maakt misschien producten die alleen onder zwaar beveiligde omstandigheden geproduceerd kunnen worden. Denk hierbij bijvoorbeeld aan de farmaceutische industrie, waar bijzondere eisen worden gesteld aan hygiënische omstandigheden en aan het geheim houden van de recepten. In dit hoofdstuk gaan we in op fysieke beveiligingsmaatregelen.

7.1 Fysieke beveiliging Fysieke beveiliging is een onderdeel van informatiebeveiliging omdat alle bedrijfsmiddelen ook fysieke beveiliging nodig hebben. Fysieke beveiliging is eigenlijk ouder dan informatiebeveiliging, denk dan aan de bescherming van mensen in een kasteel. Informatie beschermen speelt pas later een rol. Traditioneel wordt fysieke beveiliging in organisaties geregeld door de facilitair manager. Deze gebruikt eigen methoden en technieken om fysieke beveiliging in te richten. In veel organisaties is de coördinatie tussen de informatiebeveiliger en de verantwoordelijke voor fysieke beveiliging van groot belang. We gaan ook in op de verschillende verantwoordelijkheidsgebieden waar de informatiebeveiliger rekening mee moet houden. In de fysieke beveiligingswereld wordt de term ‘OBE-mix’ gebruikt, dit is de mix van Organisatorische, Bouwkundige en Elektronische maatregelen. Ook fysieke maatregelen moeten met elkaar samenhangen. Bijvoorbeeld, het ophangen van beveiligingscamera's helpt alleen als daar bouwkundige maatregelen voor zijn genomen en als er goed wordt nagedacht over het doel van de camera en de plaats waar deze wordt opgehangen. Er dient ook follow-up te zijn als er iets wordt gedetecteerd of gezien, anders is het ophangen van een camera zinloos. Wat vaak vergeten wordt is dat technische maatregelen ook gelden voor tijdelijke (nood)ruimten of locaties.

7.1.1 Apparatuur Onder fysieke beveiliging valt de bescherming van apparatuur door bijvoorbeeld klimaatbeheersing (airco, luchtvochtigheid), het toepassen van speciale blusmiddelen en het zorgen voor 'schone' stroom. Onder schone stroom wordt verstaan dat pieken en dalen (vuile stroom) in de stroomvoorziening worden voorkomen en dat stroom wordt gefilterd.

32


7.1.2 Bekabeling Bekabeling hoort zo gelegd te worden dat geen interferentie kan optreden. Onder interferentie wordt verstaan dat de netwerkkabels ruis en storing overnemen van stroomkabels die parallel lopen. Vaak zijn deze effecten niet zichtbaar of hoorbaar. Een voorbeeld waarbij dit effect wel waargenomen kan worden is bij mobiele telefoons die storing doorgeven via luidsprekers of radio’s. Kabelgoten moeten goed worden afgeschermd. In serverruimtes worden vaak gescheiden stroomaansluitingen gebruikt. Het is niet ongebruikelijk een server te voorzien van twee voedingen die ieder op een eigen groep zijn aangesloten.

7.1.3 Materiaal / media Voor medewerkers van de organisatie moet duidelijk zijn hoe ze met gegevensdragers om moeten gaan. Voor bepaalde materialen kunnen specifieke maatregelen gelden, denk bijvoorbeeld aan het wissen van vertrouwelijke gegevens op de gegevensdragers als deze de organisatie verlaten. Gegevensdragers zijn niet alleen voor de hand liggende zaken als USB-sticks, en de harddisk uit de desktop pc. Ook veel printers bevatten tegenwoordig opslag in de vorm van een harddisk. Hierop worden documenten tijdelijk opgeslagen en zijn voor een deel weer te reconstrueren. Het is ook mogelijk veel informatie op te slaan op mobiele apparatuur, denk hierbij aan telefoons, USB-sticks, geheugenkaartjes, organizers, blackberries en laptops. Het is belangrijk dat als een medewerker uit dienst treedt, al zijn of haar apparatuur wordt ingeleverd en de informatie die er op staat wordt verwijderd. Er moeten ook procedures zijn voor als dergelijke apparatuur is verloren of gestolen.

7.2 In de ban van de ring Alle bedrijfsmiddelen hebben waarde en afhankelijk van die waarde, de dreigingen en risico's, worden maatregelen genomen. Fysieke beveiligingsmaatregelen worden genomen om informatie te beschermen tegen brand, diefstal, vandalisme, sabotage, ongeautoriseerde toegang, ongelukken en natuurgeweld. Waar begint fysieke beveiliging? Fysieke beveiliging begint niet op de werkplek maar al buiten het pand waar de organisatie is gehuisvest. De te beschermen bedrijfsmiddelen mogen niet eenvoudig bereikt kunnen worden. We kunnen hierbij het eenvoudigst denken in ringen: 

Buitenring - Omgeving pand;



Gebouw - De toegang tot het pand;



Werkruimte - De ruimtes in het pand;



Object - Het te beschermen bedrijfsmiddel.

33


7.2.1 De buitenring De buitenring om het pand heen kan worden beschermd met natuurlijke en bouwkundige hindernissen. Natuurlijke hindernissen zijn bijvoorbeeld dikke begroeiing of een rivier. Bouwkundige hindernissen zijn bijvoorbeeld hekken, prikkeldraad, concertina's (opgerold prikkeldraad dat als een harmonica uiteen wordt getrokken) en muren. Voor alle bouwkundige hindernissen bestaan strikte regels. De buitenring moet wel toegang bieden aan geautoriseerde personen en bij hindernissen moet altijd persoonlijke en/of elektronische controle worden toegepast. Er zijn tegenwoordig veel typen elektronische sensoren maar daar gaan we hier niet verder op in. Het gebied tussen de buitenring en het pand kan gebruikt worden voor bewaking door een persoon en bijvoorbeeld als parkeerplaats, waarbij de parkeerplaats bij voorkeur wordt afgeschermd van het gebouw. In dit gebied moet ook aandacht zijn voor verlichting en eventueel cameraobservatie.

7.2.2 Het gebouw Er zijn situaties waarin er geen buitenring is. In dat geval zijn de bouwkundige maatregelen belangrijk zoals ramen, deuren en andere openingen. Het beste is natuurlijk om deze maatregelen bij nieuwbouw toe te passen. Het aanpassen van een bestaand gebouw is een kostbare zaak. Bouwkundige maatregelen zijn ook aan strikte regels gebonden. Er zijn diverse mogelijkheden om openingen in het pand te beschermen, denk hierbij aan het gebruik van braakwerend glas en deuren met het juiste hang- en sluitwerk. De maatregelen moeten passen bij het niveau van bescherming dat nodig is. Naast de traditionele sloten, die er in diverse soorten zijn, wordt de laatste jaren meer gebruik gemaakt van elektronische hulpmiddelen bij toegang tot gebouwen, met behulp van kaartsystemen en code- en cijfersloten. Biometrische apparatuur wordt nog niet veelvuldig gebruikt.

34

Basiskennis Beveiliging van Informatie Bij de bescherming van het gebouw moet ook aandacht zijn voor het dak en de muren. Ook hier kunnen camera's een dienst bewijzen.

7.2.2.1 Toegangsbeheer Om de toegang tot het pand te beheren zijn er verschillende mogelijkheden: Elektronisch toegangsbeheer Bij veel organisaties worden passystemen toegepast met draadloze, zogenaamde RFID-passen. Dit zijn momenteel de meest gebruikte systemen. De passen zijn onderwerp van discussie omdat bijvoorbeeld de OV-chipkaart, maar ook andere toegangspassen kunnen worden 'afgeluisterd' en nagemaakt of nagebootst.

In het nieuws

In meer dan de helft van de verloskundige afdelingen in de Amerikaanse staat Ohio krijgen zowel moeder als kind een RFID-tag in de vorm van respectievelijk een armband of enkelbandje. Op deze manier hopen de afdelingen te voorkomen dat er baby’s zoekraken, ontvoerd worden of aan de verkeerde ouders worden meegegeven. Baby's krijgen een enkelbandje om en moeders een armband. Het HUGS-systeem alarmeert de afdeling wanneer het enkelbandje breekt of wanneer de RFID-tag van moeder en kind niet met elkaar overeenkomen. Privacybeschermingsorganisatie Consumers Against Supermarket Privacy Invasion and Numbering (Caspian) ageert hiertegen. HUGS zou ziekenhuizen alleen maar minder waakzaam maken, omdat ziekenhuispersoneel te veel op de technologie zou vertrouwen. Bron: www.computable.nl

Naast RFID-passen zijn er andere soorten passen die niet af te luisteren zijn. Bij gebruik van toegangspassen zijn er een paar regels die men in overweging kan nemen: 1. Plaats op de pas een pasfoto. Dit maakt namaken iets moeilijker. Zowel de bewaking als het personeel is in staat te controleren of de pas en de drager bij elkaar horen; 2. Zet op de pas geen bedrijfsnaam of logo maar gebruik in plaats daarvan een herkenbaar maar neutraal ontwerp. Het mag voor een vinder niet duidelijk zijn waar de pas voor dient; 3. Voer draagplicht in. Draagplicht betekent dat iedereen zijn/haar pas zichtbaar moet dragen. Dit geldt ook voor bezoekers en het betekent dat het personeel en de bewaking anderen hier op aan kunnen spreken. Zorg ook voor een procedure waarin wordt geregeld dat mensen zonder pas worden begeleid naar de bewaking. Er kan ook gebruik gemaakt worden van sterke authenticatie, meestal voor speciale ruimten, waarbij naast een toegangspas aanvullende maatregelen worden gebruikt, dus:

35

Basiskennis Beveiliging van Informatie 1.Iets dat je weet, bijvoorbeeld een pincode 2.Iets dat je hebt, bijvoorbeeld een pas 3.Iets dat je bent, een biometrisch gegeven bijvoorbeeld een vingerafdruk of een irisscan

In het nieuws In 2006 was het nog toekomstmuziek, maar vandaag zijn Albert Heijn en Equens een pilot gestart waarbij consumenten hun boodschappen met een vingerafdruk kunnen betalen. De test loopt de komende zes maanden en moet uitwijzen hoe consumenten de nieuwe betaalmethode ervaren. "Met Tip2Pay kunnen consumenten snel, simpel en veilig betalen door hun vingerafdruk op de scanner bij de kassa te leggen." Die vingerafdruk is gekoppeld aan het adres, rekeningnummer en bonuskaart. Als de pilot is afgelopen volgt er een evaluatie. Bron: www.security.nl

Bewaking Persoonlijke bewaking is de kostbaarste maatregel voor fysieke beveiliging van een object. Bewaking kan worden aangevuld met goedkopere maatregelen zoals sensoren en camera's. Ook is het mogelijk sensoren en camera's op afstand te monitoren. In dat geval moet er altijd gereageerd worden (followup) als een alarm afgaat. De bewaking van een pand dient bij voorkeur ook toegangspassen op zicht te controleren zodat het moeilijker wordt gebruik te maken van nagemaakte passen.

7.2.3 De werkruimte Werkruimten kunnen een eigen functie hebben en zullen dan ook apart beveiligd moeten worden. Neem bijvoorbeeld een publiek gebouw zoals een gemeentehuis. We kunnen wel het publieke deel van het gemeenthuis in maar de werkruimten zijn niet voor iedereen toegankelijk.

7.2.3.1 Indringerdetectie In ruimten op de begane grond en overige bijzondere ruimten zijn diverse soorten van indringerdetectie mogelijk. Dit is afhankelijk van het soort ruimte (grootte, wandsoort, hoogte, inhoud). De meest gebruikte methode is passieve infrarooddetectie. Bij indringerdetectie moet uiteraard wel gereageerd worden op alarmsignalen.

7.2.3.2 Speciale ruimten Het is aan te raden aparte ruimtes te hebben voor het afleveren en afhalen van goederen zodat toeleveranciers niet bij dezelfde middelen en informatie kunnen komen als de eigen medewerkers. Het beperken van toegang is een preventieve maatregel. Er zijn nog enkele andere speciale ruimten van belang: Serverruimten Serverruimten en netwerkruimten worden apart genoemd omdat die in de fysieke beveiliging apart bekeken moeten worden. In serverruimten en netwerkruimten staat gevoelige apparatuur die niet tegen vocht en warmte kan en die ook nog eens warmte produceert. Daarnaast kan een informatiesysteem uitvallen door stroomstoringen. Eén van de grootste bedreigingen van een serverruimte is brand. Server- of netwerkruimten kennen naast bouwkundige eisen ook eisen voor toegangscontrole. Media zoals back-up tapes mogen niet worden bewaard in netwerkruimten. Bewaar tapes liever in een fysiek gescheiden locatie zodat bij een calamiteit in het pand de tapes niet beschadigd raken. 36

Basiskennis Beveiliging van Informatie Niets is erger dan dat na een brand ontdekt wordt dat er niets te herstellen valt omdat de back-ups ook verloren zijn gegaan. Koeling In serverruimten moet de lucht worden gekoeld en warmte van de aanwezige apparatuur worden afgevoerd. Daarnaast wordt deze lucht ook nog eens van vocht ontdaan en gefilterd. Wat vaak gebeurt, is dat er wel apparatuur wordt bijgeplaatst, maar men vergeet vervolgens de koelcapaciteit te verhogen.

In de praktijk In een organisatie werd jaren geleden een koelinstallatie in de serverruimte geplaatst. In de jaren erna werd wel materiaal bijgeplaatst maar het vermogen van de koelinstallatie werd niet verhoogd. Op een gegeven moment viel de koeling uit en toen de temperatuur begon te stijgen vielen ook de servers uit met als gevolg dat er dagenlang geen centrale computer systemen beschikbaar waren.

Noodstroom Apparatuur gebruikt stroom, vaak veel stroom. In serverruimten is het raadzaam verschillende groepen stroom te gebruiken. Daarnaast wordt nog een aantal voorzieningen gebruikt: Accupacks of een Uninterruptible Power Supply (UPS) die naast het opvangen van spanningsdips ook de stroom filtert en pieken afvangt. Accupacks hebben niet het eeuwige leven, daarom is het verstandig daarnaast een noodstroomaggregaat te hebben om de stroomvoorziening langer te kunnen waarborgen. Het aggregaat moet wel regelmatig worden getest en de brandstof moet voor langere tijd voldoende zijn. Stroomstoringen zijn niet alleen een probleem voor computerapparatuur, ook productiebedrijven hebben hier last van.

In het nieuws STEENWIJK - Donderdagochtend werden alle huishoudens in de Kop van Overijssel en een deel van Drenthe getroffen door een stroomstoring. Inmiddels hebben de huishoudens en bedrijven weer stroom. De stroomstoring ontstond toen rond 08.40 uur brand uitbrak in een hoofdvoedingsstation van de stroomleverancier in Steenwijk. Het betrof meer dan 10.000 huishoudens en bedrijven. Via geluidswagens werden de bewoners door de politie geïnformeerd. Ook werden er speciale politieposten ingericht. De directie van een kunststoffenbedrijf in Steenwijk begint inmiddels problemen te krijgen met de continuïteit van het bedrijf. Zij kunnen een spanningsdip nog opvangen gedurende maximaal 10 minuten, maar daarna gaat de kunststof in de mallen uitharden en vormen zich bijproducten die de mallen beschadigen. De stroom was al eerder deze week een keer uitgevallen. Winkels konden niet geopend worden en als ze wel open waren, dan kon er alleen handmatig worden opgeteld en contant worden betaald. De voorraadsystemen konden niet worden bijgewerkt en de logistieke planning was een drama.

37

Basiskennis Beveiliging van Informatie Vocht Vocht hoort niet thuis in serverruimten, daarom wordt de toegevoerde lucht van vocht ontdaan. Daarnaast moeten we er op letten dat er geen waterleidingen of cv-installaties in server ruimten gemonteerd zijn. Tegenwoordig is waterkoeling mogelijk voor apparatuur maar deze moet goed gecontroleerd worden. Brand Zie ook: Brandbeveiliging Brand is een van de belangrijkste bedreigingen van een speciale ruimte zoals een serverruimte of netwerkruimte. Bepaalde maatregelen zijn hierbij altijd relevant: Rookmelders om rook te detecteren; Brandblusmiddelen, als er brand uitbreekt moet deze snel worden geblust met een speciaal brandblusmiddel; Geen opslag van verpakkingsmateriaal, een serverruimte is geen magazijn; Geen opslag van back-uptapes in de serverruimte of het gebouw; De bekabeling die gebruikt wordt kan extra brandvertragend zijn gemaakt. Opslag gevoelig materiaal Aparte ruimten kunnen worden gebruikt voor opslag van gevoelig materiaal. Dit kan informatie zijn, maar ook medicijnen of dure goederen. Deze ruimten vragen om extra maatregelen die de veiligheid waarborgen. De toegang tot speciale ruimten moet worden gecontroleerd, bij voorkeur door deze ruimten op te nemen in de toegangscontrolesystemen van het pand, bijvoorbeeld met een extra pasopener.

7.2.4 Het object Met het object wordt hier het meest gevoelige te beschermen deel bedoeld, de binnenste ring. Voor opslag en bescherming van gevoelig materiaal zijn diverse mogelijkheden aanwezig: Clear desk policy Om er voor te zorgen dat gevoelig materiaal niet voor het grijpen ligt is een clean desk policy nodig. In afwezigheid van een medewerker ligt geen informatie op het bureau en na werktijd wordt alle informatie opgeborgen in een afsluitbare kast. Kasten Een kast is de meest eenvoudige opslagmogelijkheid. Een kast moet dan wel afgesloten worden en de sleutel mag niet in de directe omgeving te vinden zijn. Een kast is niet speciaal beveiligd tegen brand en een kast heeft een lage braakwerendheid. Brandkast of waardekast Een brandkast beschermt de inhoud tegen brand. Brandkasten zijn er in klassen waarmee de brandvertragendheid of waardebescherming wordt aangegeven. Brandkasten zijn geen kluizen maar ze kunnen ook gecombineerd worden met extra braakwerende eigenschappen. Brandkasten zijn een prima opbergmiddel voor bijvoorbeeld back-up tapes, papieren en geld. Hierbij moet opgemerkt worden dat de back-up tapes van een systeem niet in hetzelfde pand moeten worden bewaard als het informatiesysteem. Bij volledige schade van een pand mogen de tapes niet ook beschadigd raken. Brandkasten of kluizen kunnen worden ingemetseld en soms zijn het hele ruimtes. Brandkasten of kluizen kennen vele soorten sloten en beschermingsmogelijkheden tegen braak.

38


7.3 Alarm 7.3.1 Sensoren In de fysieke beveiliging kunnen vele soorten sensoren worden toegepast. De meest gebruikte zijn: Passieve infrarooddetectie. Deze sensoren worden meestal binnenshuis gebruikt en nemen temperatuurswijzigingen waar binnen een bepaald bereik van de sensor: Camera's. Deze sensoren nemen beeld op welke opgeslagen en bekeken kunnen worden. Met slimme software kunnen automatische controles worden uitgevoerd; Trillingdetectie. Deze sensoren detecteren trilling; Glasbreuksensoren. Deze sensoren detecteren het breken van een ruit; Magneetcontacten. Sensoren die het openen van een deur of raam detecteren.

7.3.2 Alarmmonitoring De sensoren moeten worden aangesloten op indringerdetectiesystemen en goed worden gemonitord. Er zijn systemen die zelf een alarmcentrale kunnen bellen van een derde partij zoals een bewakingsdienst, die de monitoring voor zijn rekening neemt. In alle gevallen moet bij een alarm worden nagekeken waarom het alarm is afgegaan. Van alarmmeldingen wordt een logboek bijgehouden.

7.4 Brandbeveiliging Brandbeveiliging is een speciaal aandachtsgebied binnen de fysieke beveiliging. Daarnaast zijn er natuurlijk verplichte brandbeveiligingseisen waaraan altijd moet worden voldaan. Brand is één van de dreigingen die altijd kan voorkomen. Er moeten dus ook altijd maatregelen tegen worden getroffen. Brand kan op verschillende manieren ontstaan, bijvoorbeeld door kortsluiting, defecten aan verwarmingsketels, menselijk handelen, defecten aan apparatuur. Voor brand (vuur) zijn altijd de volgende factoren nodig: een brandbare stof, zuurstof en ontbrandingstemperatuur. Dit is de 'branddriehoek'. Brand kan bestreden worden met blusmiddelen. Het doel van de blusmiddelen is het doorbreken van deze branddriehoek.

Welke soorten schade kennen we bij brand? 

Schade door verbranding;



Schade door warmte;



Schade door rook;



Schade door gebruikte blusmiddelen.

7.4.1 Signalering Voor de signalering van brand worden meestal rookmelders gebruikt die op een apart systeem zijn aangesloten. Het is van groot belang de rookmelders periodiek te controleren. Binnen organisaties worden als het goed is regelmatig branden ontruimingsoefeningen gehouden zodat iedereen bekend is met de alarmsignalen en de ontruimingsprocedures.

7.4.2 Blusmiddelen Blusmiddelen zijn er op gericht één of meer van de drie componenten van vuur te bestrijden en zo het vuur te doven. Er zijn verschillende soorten brand en dus ook verschillende blusmethoden. De 39

Basiskennis Beveiliging van Informatie verschillende soorten branden zijn bijvoorbeeld: brand ontstaan door elektriciteit, chemische stoffen die branden en vloeistofbrand. Verschillende blusmiddelen zijn: 

Inert gas (een gas dat als functie heeft zuurstof te verdringen), zoals:



Koolstofdioxide;



Argon (edelgas);



Halonen (niet meer toegestaan);



Inergen (merknaam);



Argonite (merknaam).



Schuim (gebaseerd op water, niet geschikt voor elektriciteit);



Poeder (geschikt voor elektriciteit, veroorzaakt schade aan metaal);



Water (niet geschikt voor elektriciteit);



Zand.

Hieronder is de blusinstallatie van een serverruimte te zien.

7.5 Emergency planning Emergency planning is het proces dat er voor moet zorgen dat in het geval van een calamiteit, bijvoorbeeld het uitvallen van een hele serverruimte, maatregelen worden genomen. Het hele emergency planningproces uitleggen gaat hier te ver. Later gaan we wel in op Business Contingency Planning.

7.6 Samenvatting Het hoofdstuk Fysieke beveiliging is veelomvattend. U hebt kennis gemaakt met de wijze waarop wij onze bezittingen proberen te beschermen. We bepalen eerst wie er op ons terrein mogen komen, daar wordt al vastgesteld of er een hek om het terrein heen komt of niet. Als er een hek geplaatst wordt, hoe hoog moet dat dan worden? Plaatsen we camera’s binnen en buiten het gebouw? Mag iedereen binnen rondlopen, of maken we ook binnen het gebouw gebruik van toegangscontrolesystemen?

40

Basiskennis Beveiliging van Informatie Zoals u gelezen heeft, is fysieke beveiliging lang niet altijd bescherming tegen diefstal. Het gaat ook om de koeling van de apparatuur. Een oververhitte server gaat gauw kapot. Dat gaat dan weer ten koste van de continuïteit. Kabels beschermen tegen storingen betekent een betere werkomgeving. Noodstroomapparatuur zorgt ervoor dat we kunnen blijven werken wanneer de stroom (tijdelijk) uitvalt. Uiteindelijk lopen de verschillende onderwerpen, zoals beschikbaarheid, fysieke beveiliging en ICTbeveiliging naadloos in elkaar over.

7.7 Casus Een groot farmaceutisch bedrijf gaat een nieuwe vestiging bouwen op een industrieterrein voor schone industrieën. Het wordt een campusachtig terrein met een parkachtige structuur. De gebouwen van het bedrijf moeten op het oog vrij toegankelijk zijn voor het publiek, anderzijds mogen bezoekers niet onopgemerkt de gebouwen kunnen naderen. Toegang tot de gebouwen dient op een vriendelijke doch zeer sluitende manier geregeld te worden, zodat mensen alleen toegang hebben tot die delen van de gebouwen waartoe zij geautoriseerd zijn. De vertrouwelijkheid van de informatie, bijvoorbeeld van de recepten die gebruikt worden, staat hoog in het vaandel. Bekendmaking aan derden kan de concurrentiepositie ernstige schade toebrengen. Binnen in de gebouwen worden verschillende zones gehanteerd: een publieke zone en meerdere, steeds vertrouwelijker zones. In het productiedeel is absolute hygiëne vereist, daar is alles volkomen stofvrij. De lucht moet permanent gezuiverd worden en op de juiste temperatuur, luchtdruk en luchtvochtigheid gehouden worden. De geautomatiseerde systemen worden in een rekencentrum in eigen beheer onderhouden. Deze apparatuur is van zeer groot belang voor het productieproces en voor de ontwikkeling van nieuwe producten. U krijgt de opdracht, in overleg met de architecten en aannemers, een sluitend plan te maken waarin aan alle genoemde eisen wordt voldaan.

41


8. Technische maatregelen (ICT-beveiliging) Inleiding Uit een risicoanalyse komen technische maatregelen voort. De maatregelen bevinden zich op het vlak van fysieke beveiliging, die veelal ook technisch van aard zijn, maar ook op het gebied van de beveiliging van de ICT-infrastructuur. Dit hoofdstuk gaat in op het beheer van de bedrijfsmiddelen, de beveiliging van de ICT-infrastructuur en de beveiliging van de data tegen ongewenste inzage door middel van toegangscontrole en door middel van cryptografische toepassingen. De correcte werking van een toepassing en de correcte verwerking van informatie komen ook aan bod. Informatie moet betrouwbaar zijn. Wat hebben we aan informatie wanneer we er niet op kunnen vertrouwen dat die informatie juist en volledig is?

Hoewel informatiesystemen niet per definitie geautomatiseerde systemen zijn, zien we in de praktijk wel steeds vaker dat geautomatiseerde systemen een belangrijke rol spelen in de informatievoorziening. Daardoor speelt de beveiliging van deze geautomatiseerde systemen en de daarbij behorende infrastructuur in toenemende mate een belangrijke rol. ICT-beveiliging richt zich dan ook hoofdzakelijk op het beveiligen van de ICT-infrastructuur. Dit hoofdstuk gaat in op de beveiligingsmaatregelen die op het ICT-vlak genomen kunnen worden.

8.1 Beheer van bedrijfsmiddelen Een van de manieren om risico’s te beheersen c.q. te managen is door controle uit te oefenen op veranderingen die mogelijk risicovol zijn. Deze controle kan op verschillende manieren ingevuld worden. Er zijn verschillende modellen en methoden die handvatten geven voor het uitoefenen van ® controle, denk bijvoorbeeld aan COBIT™ en ITIL . In elk van de toegepaste modellen of methoden is een aantal basiselementen te vinden die helpen deze controle uit te kunnen oefenen. De basiselementen zijn: 

Afspraken over hoe met bedrijfsmiddelen omgegaan wordt;



Afspraken (processen) over hoe veranderingen tot stand komen;



Afspraken over wie de wijzigingen (changes) mag initiëren en uitvoeren en hoe de wijzigingen getest zullen worden.

Een valkuil bij het vastleggen van deze, initieel vaak als bureaucratisch geïnterpreteerde, afspraken is dat deze tot doel worden verheven, in plaats van de nadruk te leggen op de betekenis. COBIT™ staat voor: Control Objectives for Information and related Technology en is een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving. ®

ITIL staat voor: Information Technology Infrastructure Library en is ontwikkeld als een referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie.

8.1.1 Afspraken over omgaan met bedrijfsmiddelen Het doel van het vastleggen hoe met bedrijfsmiddelen omgegaan moet worden is het voorkomen van fouten door verkeerd gebruik. Verkeerd gebruik kan ook tot onnodige schade leiden. Denk hierbij alleen maar aan een simpel voorschrift om geen papier met metaal (zoals paperclips en nietjes) in een papierversnipperaar te doen. Hoe complexer middelen worden hoe nuttiger het is duidelijke gebruiksaanwijzingen en instructies op te stellen.

42


8.1.2 Wat zijn bedrijfsmiddelen Bedrijfsmiddelen zijn noodzakelijk voor een organisatie, bedrijfsmiddelen kosten geld of vertegenwoordigen een bepaalde waarde. Bedrijfsmiddelen zijn onder andere: 

Informatie in de vorm van bijvoorbeeld documenten, databases, contracten, systeemdocumentatie, procedures, handleidingen, systeemlogs, plannen en handboeken;



Programmatuur zoals systeemprogrammatuur, gebruikersprogrammatuur en ontwikkel programmatuur;



Apparatuur zoals servers, pc's, netwerkcomponenten en bekabeling;



Media;



Diensten;



Mensen en hun kennis;



Immateriële zaken zoals imago of reputatie van de organisatie.

Bedrijfsmiddelen hebben een classificatie nodig om er beveiligingsniveaus voor te kunnen vaststellen. De eigenaar dient hier voor te zorgen. Ieder bedrijfsmiddel moet een eigenaar hebben. Een goede registratie van bedrijfsmiddelen is noodzakelijk voor de risicoanalyse, zie : Dreigingen en risico’s (risicoanalyse). Daarnaast is registratie soms nodig voor de verzekering, financiële verantwoording en wettelijke vereisten (bijvoorbeeld registratie persoonsgegevens bestanden in het kader van de Wet Bescherming Persoonsgegevens WBP). Registraties van bedrijfsmiddelen worden bij voorkeur twee maal per jaar gecontroleerd en hiervan wordt een verslag gemaakt voor het management. De informatie die vastgelegd wordt over bedrijfsmiddelen is: 

Soort, type bedrijfsmiddel;



Eigenaar;



Locatie;



Formaat;



Classificatie;



Bedrijfswaarde.



Deze informatie is nodig voor bijvoorbeeld herstel na een incident of calamiteit.

De eigenaar is iemand die verantwoordelijk is voor een bedrijfsproces of deelproces of bedrijfsactiviteit en draagt zorg voor alle aspecten van de bedrijfsmiddelen. Denk hierbij aan de beveiliging, het beheer, de productie of de ontwikkeling.

8.1.3 Het gebruik van bedrijfsmiddelen Het gebruik van bedrijfsmiddelen is aan regels gebonden. Deze regels zijn bijvoorbeeld vastgelegd in een handleiding, maar ook in hoe om te gaan met mobiele apparatuur wanneer deze buiten de organisatie wordt gebruikt.

8.1.4 Classificatie Allereerst een paar begrippen: Classificeren is het indelen van informatie naar gevoeligheid; Rubricering is de classificatie die aan informatie wordt toegekend, zoals geheim, confidentieel, en personeelsvertrouwelijk. De term rubriceren wordt vaak binnen de overheid gebruikt; 43

Basiskennis Beveiliging van Informatie Merking is een bijzondere aanduiding, bijvoorbeeld een indeling naar zaak of organisatie of kring van gerechtigden. De eigenaar is degene die verantwoordelijk is voor een bedrijfsmiddel. Een folder op het netwerk kan bijvoorbeeld een eigenaar hebben. Wanneer iemand toegang wil tot de informatie in die folder, moet de eigenaar daar toestemming voor geven. Van een laptop wordt meestal de gebruiker geregistreerd als eigenaar. De eigenaar van een bedrijfsmiddel kent hieraan een juiste rubricering toe volgens een vooraf afgesproken lijst met classificaties. De rubricering geeft aan welke vorm van beveiliging noodzakelijk is. Dit wordt onder andere bepaald door gevoeligheid, waarde, wettelijke eisen en belang voor de organisatie. De rubricering is in overeenstemming met de wijze waarop het bedrijfsmiddel wordt gebruikt in het bedrijf. De eigenaar van het bedrijfsmiddel zorgt ook voor herclassificatie als dat nodig is. Als binnen een bedrijf of organisatie bedrijfsmiddelen zijn geclassificeerd kan alleen de eigenaar deze classificatie verlagen of hiervoor toestemming te geven. Bijvoorbeeld informatie wordt geclassificeerd als vertrouwelijk tot het moment van publicatie. Daarna wordt de classificatie verlaagd; de informatie is immers publiek geworden. Als een bedrijfsmiddel een rubricering heeft, wordt het gemerkt of gelabeld. Dit kan fysiek, zichtbaar op het bedrijfsmiddel, of erin, zoals bij elektronische documenten, databases, records, berichten, op het beeldscherm waar de informatie staat en tenslotte verzendkanalen. Bij documenten kan een maatregel zijn dat de rubricering aan de boven- en onderzijde is opgenomen. Alle documenten met geclassificeerde informatie horen een exemplaar- of versienummer te hebben en iedere pagina is genummerd. Het moet ook duidelijk zijn uit hoeveel pagina’s het gehele document bestaat. Dit is wel een vrij zware maatregel, te meer omdat maatregelen ook gecontroleerd moeten kunnen worden. Binnen de overheid worden rubriceringen gebruikt die te vinden zijn in het document VIR-BI (Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie). Deze zijn: Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim, Staatsgeheim Zeer Geheim. De rubricering kan worden aangevuld met een merking. Door middel van een merking kan een specifieke kring van gerechtigden worden aangegeven. Een voorbeeld hiervan is: Politie Zeer Vertrouwelijk, Crypto. Een document met deze rubricering en merking is alleen bedoeld voor behandeling door personeel met een autorisatie voor het werken met encryptiemiddelen. Binnen de overheid worden mensen gescreend tot het niveau dat de classificatie aangeeft. Daarnaast worden nog andere richtlijnen gehanteerd, zoals toegang tot informatie op basis van 'need to know' en uiteraard een 'clean desk policy'. De eigenaar stelt vast wie toegang heeft tot welke gemerkte bedrijfsmiddelen. De rubricering van een bedrijfsmiddel bepaalt ook hoe deze fysiek opgeslagen mag worden. Hiervoor worden bedrijfspanden soms in compartimenten ingedeeld, met per compartiment verschillende beveiligingseisen en toenemende beveiliging, zie: In de ban van de ring. Het gebruik van een rubricering is erg lastig te implementeren in een organisatie omdat mensen er bij na moeten denken om ze goed toe te passen. Er kan ook voor worden gekozen alle nietgeclassificeerde informatie niet te voorzien van een rubricering. Deze informatie is openbaar.

8.2 Logisch toegangsbeheer Logisch toegangsbeheer betreft het verlenen van toegang tot digitale informatie en informatiediensten aan die personen die daartoe geautoriseerd zijn, maar ook het voorkomen dat niet-gerechtigden toegang krijgen tot deze digitale informatie. De eigenaar van de gegevens, over het algemeen een manager, zal in het autorisatieproces de autorisatie verlenen. Deze autorisatie kan door software automatisch verwerkt worden of door de systeem/applicatie beheerder worden verleend.

44


8.2.1 Discretionary Access Control (DAC) Bij Discretionary Access Control ligt het besluit om toegang te verlenen tot informatie bij de individuele eindgebruiker. Een voorbeeld hiervan is anderen toegang geven op de eigen home directory. Een ander voorbeeld is het versturen van informatie aan personen die niet zelf direct toegang hebben tot deze informatie. Omdat dit een flexibele vorm van toegangscontrole is, is deze moeilijk te controleren en is de informatie moeilijk te beveiligen.

8.2.2 Mandatory Access Control (MAC) Bij mandatory access control wordt centraal bepaald en gereguleerd welke personen en systemen toegang krijgen tot informatiesystemen.

8.2.2.1 Verlenen van toegang Bij het verlenen van toegang wordt vaak onderscheid gemaakt tussen identificatie, authenticatie en autorisatie. Identificatie is de eerste stap in het toegangsverleningsproces. Bij de identificatie biedt de persoon of het systeem een token aan, bijvoorbeeld een sleutel of gebruikersnaam/wachtwoord. Vervolgens bepaalt het systeem waar toegang tot verkregen moet worden en of het token authentiek is. Zodra dit is vastgesteld kunnen autorisaties toegekend worden.

In de praktijk Bij de grensbewaking op het vliegveld bied ik ter identificatie een paspoort aan. De controleur (marechaussee) authenticeert vervolgens dit token door deze te controleren op echtheidskenmerken. Voor een informatiesysteem is het van belang dat deze controle op echtheidskenmerken (authenticatie) eenduidig vastligt. Iemand kan namelijk op verschillende manieren de authenticiteit van een paspoort controleren. Zo kan hij de foto vergelijken met mijn gezicht. Ook kan hij vaststellen dat de pasfoto terugkomt in het gaatjespatroon op de houderpagina. Om meer zekerheid te krijgen over de authenticiteit van het paspoort zou hij echter een centrale administratie kunnen raadplegen om vast te stellen dat het paspoort niet ingetrokken is of gestolen. De gewenste zekerheid over de authenticiteit van een token bepaalt welke controles uitgevoerd moeten worden voordat het token authentiek bevonden kan worden. In de laatste stap worden autorisaties toegekend. Zo kan op het vliegveld aan mij de autorisatie toegekend worden om de vertrekterminal te betreden. Deze controle is echter onvoldoende om autorisatie te krijgen tot andere delen van het vliegveld zoals de bagageafhandeling.

8.2.2.2 Bewaken van toegang Naast de toegangscontrole is het van belang te bewaken wie waar toegang tot krijgt en of deze geen misbruik maakt van de toegekende autorisatie. Op het vliegveld zal bewaakt moeten worden dat ik niet probeer toegang te krijgen tot zones waarvoor ik niet geautoriseerd ben. Deze toegangsbewaking kan verschillende redenen hebben zoals het beperken van risico’s maar ook het tegemoetkomen aan wettelijke verplichtingen. Het kan zijn dat aangetoond moet worden dat alleen geautoriseerde personen toegang gekregen hebben tot bepaalde informatie. Dit maakt meteen duidelijk dat toegangsverlening niet alleen een systeemaangelegenheid is maar ook procedureel en organisatorisch.

8.3 Beveiligingseisen voor informatiesystemen Vanaf het eerste moment dat een bedrijf gaat nadenken over de aanschaf en het (laten) ontwikkelen van informatiesystemen is het noodzakelijk dat beveiliging deel uitmaakt van het nieuwe project.

45

Basiskennis Beveiliging van Informatie Informatiesystemen omvatten besturingssystemen, infrastructuur, bedrijfstoepassingen, kant-en-klare producten, diensten en toepassingen die voor de gebruiker zijn ontwikkeld. Ontwerp en implementatie van het informatiesysteem dat het bedrijfsproces ondersteunt kunnen van doorslaggevend belang zijn voor de wijze waarop de beveiliging wordt ingericht. Beveiligingseisen moeten voorafgaand aan de ontwikkeling en/of implementatie van informatiesystemen worden vastgesteld en overeengekomen. De beveiligingseisen worden in een risicoanalyse vastgesteld en tijdens de specificatie van de eisen voor het project verantwoord, overeengekomen en gedocumenteerd als onderdeel van de totale ‘business case’ voor een informatiesysteem. Het is beduidend goedkoper beveiligingsmaatregelen tijdens de ontwerpfase te implementeren en te onderhouden dan tijdens of na de implementatie.

In de praktijk Een grote organisatie laat een nieuw intranet ontwerpen. Twee weken voor de ingebruikneming wordt aan de Information Security Manager (ISM) gevraagd of zij nog even naar de beveiligingsmaatregelen kan kijken. Een gedegen onderzoek brengt zoveel zwakheden aan het licht dat het intranet totaal opnieuw ontworpen moet worden en er ruim een jaar vertraging optreedt in de implementatie. Vele honderdduizenden euro’s gaan onnodig verloren door een gebrek aan communicatie!

Bij de aanschaf van producten hoort een formeel testen inkoopproces te worden gevolgd. In de contracten met de leverancier zijn de eisen die aan de beveiliging van het product worden gesteld, opgenomen. Wanneer de beveiligingsfunctionaliteit in het product niet voldoet aan de gestelde eis, dan moeten het risico dat dit met zich mee brengt en de beveiligingsmaatregelen die daarbij horen worden heroverwogen. Of er wordt besloten dit product niet aan te schaffen.

8.3.1 Correcte verwerking in toepassingen Toepassingen (software, computerprogramma's) moeten werken zoals bedoeld in het ontwerp en de ontwikkeling. Een programma dat mogelijk maakt dat fouten worden gemaakt, dat gegevens verloren gaan, dat een onbevoegde persoon wijzigingen kan aanbrengen of informatie kan misbruiken is een groot risico. In toepassingssystemen, ook toepassingen die door de gebruiker zelf zijn ontwikkeld, horen geschikte beheersmaatregelen te zijn ingebouwd. Zo'n beheersmaatregel betreft bijvoorbeeld de validatie van invoergegevens, interne verwerking en uitvoergegevens. Hiermee wordt bedoeld dat de informatie eenduidig wordt ingevoerd en dat de gegevens controleerbaar correct zijn. Voor de eenduidige invoer wordt vaak gebruik gemaakt van zogenaamde stamtabellen en begrippenlijsten. Deze lijsten, die in de software/database zijn ingebouwd, kunnen helpen voorkomen dat voor één begrip, meerdere woorden gebruikt worden.

In de praktijk Een politieman neemt een aanrijding op en vermeldt in het systeem: voetganger op trottoir aangereden door bromfiets. De volgende dag neemt een andere politieman op dezelfde locatie een aanrijding op en vermeldt in het systeem: wandelaar aangereden door bromscooter op het voetpad. Wanneer nu in de database gegevens worden gezocht voor een onderzoek naar verkeersgevaarlijke

46

Basiskennis Beveiliging van Informatie situaties zal niet de juiste informatie boven water komen. Het systeem moet afdwingen dat alleen de woorden voetganger, trottoir en bromfiets ingevoerd kunnen worden en de woorden wandelaar, voetpad en bromscooter niet. Wanneer vervolgens op de juiste woorden gezocht wordt, zullen alle aanrijdingen die aan de criteria voldoen uit het systeem komen.

8.3.2 Validatie van in- en uitvoergegevens Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om ervoor te zorgen dat ze betrouwbaar zijn. Zakelijke transacties en vaste gegevens kunnen automatisch worden gecontroleerd. Denk bijvoorbeeld aan een invoerveld voor de postcode dat altijd een vast formaat kan hebben. Dit geldt ook voor verkoopprijzen, wisselkoersen, belastingtarieven en kredietlimieten. Validatie is een belangrijk middel om gebruikersfouten en misbruik te voorkomen.

8.4 Cryptografie De term cryptografie (geheimschrift) komt uit het Grieks en is een samenvoeging van de woorden kryptós dat ‘verborgen’ betekent en gráfo dat ‘schrijven’ betekent. Voorbeelden van cryptografie zijn zo oud als de spreekwoordelijke weg naar Rome. Het werd onder andere toegepast door de Romeinen om militaire boodschappen over te brengen. Zelfs als de boodschap in vijandelijke handen zou vallen, kon de vijand daar geen informatie uit afleiden omdat de boodschap op het oog nietszeggende gegevens bevatte. Onderzoek naar cryptoalgoritmen wordt ook wel cryptoanalyse genoemd en werd niet alleen toegepast om algoritmen te ontwikkelen maar ook om algoritmen van vijanden te kraken. Cryptoanalyse heeft zich vooral gedurende en na de tweede wereldoorlog sterk ontwikkeld. Vaak wordt cryptografie gezien als middel om informatie geheim te houden, maar ook andere toepassingsgebieden, zoals het beschermen van de vertrouwelijkheid, authenticiteit of integriteit van informatie zijn te danken aan cryptografie.

In het nieuws Een student van de Radboud Universiteit in Nijmegen is erin geslaagd met een zelf gebouwd apparaatje ter waarde van veertig euro een wegwerpversie van de OV-chipkaart te kopiëren. De kopie is onbeperkt te gebruiken als vervoersbewijs. De student luisterde het berichtenverkeer tussen een origineel wegwerpkaartje en de chiplezer bij een poortje elektronisch af. Daarbij bleek dat de informatie die wordt overgestuurd niet is versleuteld, zoals dat wel gebeurt bij de ov-chipkaarten voor abonnementen die op naam van de reiziger staan. Voor wegwerpkaartjes is een chip met versleuteling blijkbaar te duur. Bron: www.computable.nl

8.5 Cryptografiebeleid Cryptografie is een maatregel die ingezet kan worden door de organisatie als bijvoorbeeld gegevens vertrouwelijk zijn. Over het gebruik van cryptografie moet goed worden nagedacht en dit moet in een beleidsdocument worden beschreven. In dit document komt aan de orde: Waarvoor gebruikt de organisatie cryptografie;

47

Basiskennis Beveiliging van Informatie Welke soorten cryptografie gebruikt de organisatie, voor welke toepassingen; Beheersing en beheer van sleutelmateriaal; Back-up; Controle.

8.5.1 Sleutelbeheer Het beheer van de sleutels is een belangrijk onderdeel van het beleid in het gebruik van cryptografische technieken. Cryptografische sleutels behoren te worden beschermd tegen wijziging, verlies en vernietiging. Bovendien horen geheime en persoonlijke sleutels te worden beschermd tegen onbevoegde openbaarmaking. Apparatuur die wordt gebruikt voor het genereren, opslaan en archiveren van sleutels behoort fysiek te worden beschermd. Onderdeel van het sleutelbeheer is ook de registratie van de sleutelparen. Welke paren zijn wanneer en aan wie uitgegeven. Tot wanneer zijn de sleutels geldig? Wat te doen als sleutels gecompromitteerd worden? Een groot risico is wanneer veel verschillende apparaten binnen een organisatie van dezelfde sleutelsets gebruik maken. Worden deze sleutels buiten de organisatie bekend, dan zullen alle apparaten (vaak laptops) opnieuw van sleutelmateriaal voorzien moeten worden. Dit kan een zeer kostbare operatie zijn die bovendien in zeer korte tijd uitgevoerd moet worden.

8.6 Soorten cryptografische systemen Om gebruik te kunnen maken van een cryptografisch systeem moeten zowel de zender als ontvanger beschikken over het algoritme. Een kenmerk van een goed cryptografisch systeem is dat het algoritme zelf openbaar is. In hoofdlijnen zijn er drie vormen van cryptografische algoritmen te onderscheiden: symmetrisch, asymmetrisch en eenrichtingsvercijfering.

8.6.1 Symmetrisch Iedereen kent wel een symmetrisch cryptografisch systeem. Kenmerk van zo’n systeem is dat er een algoritme is en een geheime sleutel die zender en ontvanger delen.

In de praktijk Een simpele manier om een bericht te versleutelen is door het alfabet met getal x te verschuiven. Met x=+5 wordt A > F. Iedereen die de geheime sleutel heeft kan de boodschap decoderen door het alfabet met x=-5 te verschuiven. Zoals dit voorbeeld illustreert wordt de geheime sleutel gebruikt om zowel de boodschap te vercijferen als te ontcijferen. De sterkte van dit cryptografische systeem hangt direct samen met het vermogen van de zender en ontvanger de gedeelde sleutel geheim te houden.

48


8.6.2 Asymmetrisch Een asymmetrisch systeem lost de kwetsbaarheid van het delen van een geheime sleutel op. Het kenmerk van een asymmetrisch systeem is dat voor het vercijferen en ontcijferen twee verschillende sleutels gebruikt worden. Dit systeem is eind 1970 bedacht door Ron Rivest, Adi Shamir en Len Adleman en werkt op basis van priemgetallen en modulo rekenen. Het meest opmerkelijke bij dit algoritme is dat het niet meer nodig is dat de zender en ontvanger dezelfde sleutel te bezitten. Het algoritme werkt met zogeheten sleutelparen. Hierbij zorgt de private sleutel van het sleutelpaar voor de vercijfering en alleen de publieke sleutel van dit sleutelpaar kan het bericht ontcijferen. Het mooie van dit systeem is dat de publieke sleutel bekend gemaakt kan worden aan de hele wereld.

Dit systeem kan op twee manieren toegepast worden. De eerste manier is om berichten te ondertekenen met de private sleutel. De ontvanger kan met behulp van de publieke sleutel verifiëren dat het bericht afkomstig is van de eigenaar van de bijbehorende private sleutel. De tweede manier is om berichten bestemd voor een persoon te versleutelen met diens publieke sleutel. Alleen de houder 49

Basiskennis Beveiliging van Informatie van de private sleutel behorende bij deze publieke sleutel is in staat dit bericht te ontcijferen. Merk hierbij op dat het gebruik van de private sleutel beperkt is tot de houder van private sleutel, terwijl iedereen gebruik kan maken van de publieke sleutel. Asymmetrische algoritmen kunnen op deze manier zowel ingezet worden om zowel de integriteit als de vertrouwelijkheid van berichten te garanderen. Digitale handtekening Asymmetrische cryptografie wordt bijvoorbeeld toegepast bij een digitale handtekening. Een digitale handtekening is een methode voor het bevestigen van de juistheid van digitale informatie, vergelijkbaar met het ondertekenen van papieren documenten door middel van een geschreven handtekening. Over het algemeen bestaat een digitale handtekening uit twee algoritmen: een om te bevestigen dat de informatie niet door derden veranderd is, de ander om de identiteit te bevestigen van degene die de informatie "ondertekent". In Europa is een digitale handtekening dankzij Richtlijn 99/93/EG nu gelijkgeschakeld aan een "papieren" handtekening. In de meeste gevallen moet die digitale handtekening dan wel met behulp van een gewaarmerkt certificaat te verifiëren te zijn en moet deze met een veilig middel (bijvoorbeeld een smartcard) zijn gemaakt.

8.6.3 Public Key Infrastructure Asymmetrische cryptografie wordt ook wel Public Key Crypto genoemd. Let op dat dit niet hetzelfde is als Public Key Infrastructure (PKI). Bij een PKI komt veel meer kijken. Een kenmerk van een PKI is dat deze door afspraken, procedures en een organisatiestructuur waarborgen biedt over welke persoon of systeem hoort bij een specifieke publieke sleutel. Een Public Key Infrastructure wordt vaak beheerd door een onafhankelijke autoriteit. Vecozo is een Nederlands voorbeeld van een dergelijke autoriteit. Vecozo voorziet in het uitwisselen van vertrouwelijke informatie in de gezondheidszorg.

In de praktijk Een huisarts wil haar behandelingen elektronisch gaan declareren bij de zorgverzekeraars. De zorgverzekeraars hebben een contract met een Certification Authority (CA). De huisarts vraagt bij de CA een certificaat aan. De CA controleert, voor de zorgverzekeraars, of de huisarts is wie zij claimt te zijn, bijvoorbeeld door haar diploma’s op te vragen en een handtekening. De huisarts krijgt toegang tot de website om het certificaat te kunnen downloaden. Dit is een bestandje dat op de computer wordt geïnstalleerd. Als de huisarts wil declareren gaat ze naar de website van de CA. Bij het inloggen wordt het certificaat op de PC gecontroleerd en wordt gevraagd naar de gebruikersnaam en het wachtwoord die horen bij het certificaat. De huisarts krijgt toegang en ze kan haar declaratiebestanden uploaden. Ook kan ze bijvoorbeeld controleren of een bepaalde patient wel verzekerd is en bij welke zorgverzekeraar.

50


8.6.4 Eenrichtingsvercijfering Deze vorm van vercijferen wordt ook wel hashfunctie genoemd en is te vergelijken met het mengen van verf. Zodra twee verfkleuren vermengd raken is het zo goed als onmogelijk deze kleuren weer te scheiden. Dit soort algoritmen wordt hoofdzakelijk gebruikt om vast te stellen of bepaalde gegevens niet veranderd zijn. Het bericht wordt omgezet in een numerieke waarde. Met een bekend algoritme kan de ontvanger controleren of de boodschap de juiste hashwaarde heeft gehouden. Deze methode wordt gebruikt om de integriteit van berichten te controleren, bijvoorbeeld het wachtwoord op een computer. Er wordt geen vertrouwelijkheid mee geregeld.

51


8.7 Beveiliging van systeembestanden 8.7.1 Bescherming van testdata Het is belangrijk dat testgegevens van apparatuur en programma's zorgvuldig worden gekozen, beschermd en beheerst. Het is niet de bedoeling dat echte data, die immers gevoelige informatie zoals persoonsgegevens kan bevatten, wordt gebruikt om mee te testen. In testsystemen mag uitsluitend fictieve data voorkomen

8.7.2 Toegangsbeheer voor broncode van programmatuur Systeembestanden vormen de bron van de automatisering van een organisatie. Wanneer de broncode van deze bestanden in verkeerde handen valt, kan een kwaadwillende toegang tot vertrouwelijke informatie krijgen. Deze bestanden dienen dus zeer zorgvuldig behandeld te worden. De toegang tot broncode van programmatuur behoort te worden beperkt tot alleen de hoogst noodzakelijke medewerkers.

8.7.3 Beveiliging bij ontwikkelings- en ondersteuningsprocessen Managers die verantwoordelijk zijn voor toepassingssystemen, zijn verantwoordelijk voor de beveiliging van de projectomgeving waarin de toepassingen worden ontwikkeld en de omgeving waarin de toepassingen worden ondersteund. Zij bekijken ook of voorgestelde wijzigingen deze beveiliging niet in gevaar brengen.

8.8 Uitlekken van informatie Hoe voorkomen we dat gelegenheden zich voordoen om vertrouwelijke informatie te laten uitlekken. Bewustwording van medewerkers is één van de mogelijkheden om de medewerkers te doordringen van het belang bedrijfsinformatie niet naar buiten te brengen. Het bekende circuit van verjaardagen, de vereniging, vrienden en vooral onbekende vrienden van vrienden vormt een risico. In een ontspannen sfeer wordt gemakkelijk informatie gedeeld die dan ook in verkeerde handen kan vallen. Een bewuste poging om vertrouwelijke informatie los te krijgen is de zogenaamde ‘social engineering’. Voor deze Engelse term is geen goede Nederlandse benaming in gebruik. Iemand weet het vertrouwen te winnen van een medewerker door zich voor te doen als een collega of leverancier maar is in werkelijkheid uit op vertrouwelijke informatie. In een grote organisatie waar niet iedereen elkaar kent, is de kans op succes groot. De social engineer maakt gebruik van menselijke zwakheden. We denken bijvoorbeeld dat als iemand het juiste jargon gebruikt, hij of zij wel van binnen de organisatie zal zijn. Maar de social engineer kan de termen hebben afgeluisterd in het café. Daarnaast kan informatie uitlekken via verborgen communicatiekanalen. De kans dat de gewone medewerker van het bestaan van dit soort communicatiekanalen af weet is gering. Geheime communicatiekanalen zijn kanalen die niet zijn bedoeld voor het verwerken van informatiestromen, maar die desondanks kunnen bestaan in een systeem of netwerk. Het voorkomen van alle mogelijke geheime communicatiekanalen is moeilijk, zo niet onmogelijk. Er zijn immers altijd verbindingen naar binnen en naar buiten. Het gebruik van dergelijke kanalen wordt vaak in gang gezet door Trojaanse paarden (zie ook het hoofdstuk over malware). Het kan ook zijn dat de leverancier van een maatwerkprogramma een geheime toegang voor onderhoud in de applicatie heeft ingebouwd zonder dit door te geven aan de koper. Dit wordt ook wel een ‘maintenance door’ of onderhoudstoegang genoemd. Deze praktijk wordt door de afnemer niet gewaardeerd. Wanneer de maatwerkapplicatie wordt gebruikt voor het verwerken van zeer vertrouwelijke informatie, kan een onafhankelijk bureau de broncode van de applicatie onderzoeken op dergelijke geheime communicatiekanalen.

52


8.8.1 Uitbesteden van ontwikkeling van programmatuur Wanneer de ontwikkeling van programmatuur wordt uitbesteed is het belangrijk dat de ontwikkeling wordt gesuperviseerd en gecontroleerd door de organisatie die de opdracht geeft. En wie wordt de eigenaar van de broncode? De opdrachtgever moet indien mogelijk de intellectuele eigendomsrechten krijgen. De kwaliteit en nauwkeurigheid van het uitgevoerde werk kan door certificering van een onafhankelijke instantie worden vastgesteld. Denk hierbij ook aan de opmerking hierboven met betrekking tot het controleren van verborgen communicatiekanalen.

8.9 Samenvatting Toegang tot de gebouwen wordt gereguleerd, toegang tot de netwerkinfrastructuur ook. Hoe gaan we om met de toegangsrechten die de medewerkers op de ICT-omgeving krijgen. De ene medewerker krijgt andere rechten dan de ander. Op welke wijze wordt nu bepaald wie wat mag doen? Waarom mag niet iedereen inzage hebben in alle informatie? Wanneer dat allemaal bepaald is, wordt het tijd de beschikbare informatie te verdelen over de medewerkers die gerechtigd zijn inzage in bepaalde systemen te hebben. Dit gebeurt door middel van toegangscontrole. Hoe gaan we met onze bezittingen om? We regelen dat in gestandaardiseerde processen. Wanneer informatie echt beveiligd moet worden tegen inzage door ongeautoriseerden, dan komt het gebruik van cryptografische toepassingen om de hoek kijken. U hebt een inleiding gekregen in cryptografie en weet nu wat het verschil is tussen symmetrische en asymmetrische cryptografie en PKI-oplossingen.

8.10 Casus Een middelgrote bank heeft grote uitbreidingsplannen voor de ICT-omgeving. De directie heeft besloten dat het noodzakelijk is alle ICT-voorzieningen te vervangen door nieuwe apparatuur. Open source wordt overwogen. Wel is het noodzakelijk dat alle nieuwe hardware goed ondersteund wordt. De huidige bankspecifieke programmatuur voldoet niet meer. De IT-afdeling gaat in eigen beheer of door middel van uitbesteding nieuwe programmatuur ontwikkelen die flexibel op verschillende Operating Systems (OS) moet kunnen draaien. Deze bank kent een groot aantal medewerkers die echter maar in een beperkt aantal functies werken. Er bestaat een verschil in autorisatieniveaus. Een beperkt aantal medewerkers heeft inzage in strategische informatie zoals de jaarcijfers en de financiële administratie. Deze medewerkers hebben geen inzage in klantgegevens. Zo zijn er meerdere gescheiden autorisatieniveaus aanwezig. De data die opgeslagen worden moeten uiteraard beveiligd worden tegen inzage door ongeautoriseerden. Uitwisseling van bepaalde gevoelige gegevens met externe partijen moet versleuteld gedaan kunnen worden. Belangrijk is dat het nieuwe systeem controlemiddelen kent zodat alleen de juiste informatie ingevoerd wordt. Boekingen kennen, afhankelijk van de hoogte van het bedrag, meerdere controlemomenten. Zeer hoge bedragen worden door meer dan één persoon geaccordeerd. Aan u wordt de taak gegeven een onderzoek in te stellen naar de beveiliging van het nieuw aan te schaffen netwerk en de computersystemen. Kiest u normale pc’s of een thin client principe? Motiveer deze keuze. Welk OS kiest u en waarom? Hoe gaat u de autorisatiestructuur inregelen? Welke technieken gebruikt u om de verschillende niveaus vast te stellen?

53

Basiskennis Beveiliging van Informatie Kiest u voor ontwikkeling van software in eigen beheer of kiest u een extern bedrijf? Geef de voor- en nadelen van beide opties en geef aan waar de valkuilen voor de bank liggen. Binnen de casus staan meer aspecten waar rekening mee gehouden moet worden. Licht deze aspecten eruit en motiveer waarom u bepaalde keuzes maakt.

54


9. Organisatorische maatregelen Inleiding We hebben het in de voorgaande hoofdstukken uitgebreid gehad over de fysieke beveiliging van de werkomgeving en de technische beveiliging van de ICT-infrastructuur. Organisatorisch valt er echter ook het nodige te regelen. Sommige zaken gaan hand in hand. Technische en organisatorische beveiligingsmaatregelen zijn vaak onlosmakelijk met elkaar verbonden. In dit hoofdstuk wordt verder ingegaan op diverse organisatorische maatregelen. Daar waar nodig wordt verwezen naar de technische maatregelen die nodig zijn om de organisatorische maatregelen uitvoerbaar te maken of af te dwingen. Zo gaan we het hebben over (beveiligings)beleid, de PDCA-cyclus, de onderdelen van ISO/IEC 27001 en 27002, een belangrijke internationale standaard voor informatiebeveiliging. Verder gaan we het hebben over de organisatie van de informatiebeveiliging en de wijze waarop informatiebeveiliging kan worden uitgedragen in de organisatie. Hoe gaan we om met calamiteiten? Wat zijn calamiteiten eigenlijk en hoe bereiden we ons er op voor? Mocht een calamiteit zich voordoen, wat is dan de procedure om mensen en middelen veilig te stellen en zo snel mogelijk weer werkend te zijn? Communicatie- en bedieningsprocessen, testprocedures en het beheer van de IT-omgeving door een externe provider komen aan bod.

9.1 Beveiligingsbeleid 9.1.1 Informatiebeveiligingsbeleid Door beleid voor de beveiliging van informatie vast te stellen geeft het management van de organisatie richting en ondersteuning. Dit beleid wordt vastgesteld in overeenkomst met de bedrijfsmatige eisen en de relevante wetten en voorschriften. Een document met het informatiebeveiligingsbeleid hoort door de directie te worden goedgekeurd, gepubliceerd en kenbaar gemaakt aan alle werknemers en alle relevante externe partijen zoals klanten en leveranciers. Het laatste houdt in de praktijk vaak in dat er een ingekorte versie van het beleid met de belangrijkste punten, in de vorm van een flyer aan iedere medewerker wordt uitgereikt en onderdeel is van de introductie voor nieuwe medewerkers. De volledige versie kan op het intranet van het bedrijf zijn geplaatst of in ieder geval op een plaats waar iedere medewerker toegang tot heeft.

In het nieuws Virgin Media, de entertainment arm van Richard Branson's Virgin Group, is een CD met de gegevens van 3000 klanten verloren. Op de onversleutelde schijf stonden de bankgegevens, namen en adresgegevens van drieduizend klanten die sinds januari bij verschillende winkels een abonnement hadden afgesloten. In strijd met het bedrijfsbeleid was de data op een CD gezet. Bron: www.security.nl

55


9.1.2 Hiërarchie Het is gebruikelijk om in de beleidsdocumenten een hiërarchische volgorde aan te brengen. Vanuit ‘corporate beleid’ worden verschillende beleidsstukken uitgewerkt. Deze conformeren zich echter altijd aan het corporate beleid en geven een nadere richtlijn op een specifiek gebied. Een voorbeeld hiervan is een beleidstuk over het gebruik van encryptiemiddelen Vanuit deze verschillende beleidsdocumenten komen achtereenvolgens voort: Regelingen. Een regeling is meer gedetailleerd dan een beleidsdocument; Procedures, soms ook wel leidraden genoemd. Hierin wordt tot in detail vastgelegd hoe bepaalde maatregelen moeten worden genomen, eventueel uitgewerkt in werkinstructies; In de praktijk Binnen het algemene encryptiebeleid kan een procedure bestaan waarin vastgelegd wordt hoe met een bepaald encryptiemiddel om moet worden gegaan. Dat is dan verplicht. In de procedure wordt bijvoorbeeld vastgelegd hoe de gebruiker met versleutelingssoftware en het sleutelmateriaal om moet gaan. In een procedure kan ook worden vastgelegd hoe de systeembeheerder de encryptiesoftware moet installeren. Deze instructies gaan tot op het niveau van de ‘vinkjes’ die wel of niet worden aangezet, het aantal tekens dat een wachtwoord moet bevatten en hoe lang het wachtwoord geldig is.

Richtlijnen, het woord zegt het al, geven een richting aan. Hierin wordt beschreven welke aspecten moeten worden bekeken bij een bepaald beveiligingsonderwerp. Richtlijnen zijn niet verplichtend maar adviserend van aard; Standaarden kunnen bijvoorbeeld de standaardinrichting van bepaalde platformen bevatten.

In de praktijk In een richtlijn kan advies worden gegeven over waar een classificatiebeleid aan moet voldoen. Vervolgens is de verantwoordelijke medewerker vrij in de wijze waarop hij of zij dat classificatiebeleid voor de organisatie uit gaat werken.

Een standaard is bijvoorbeeld ook de ISO/IEC 27001:2005. Hierin wordt een standaard beschreven voor het inrichten van informatiebeveiliging in de organisatie. In deel I, de ISO/IEC 27001 wordt het managementsysteem (Information Security Management System, ISMS) beschreven. Deel II, ISO/IEC 27002:2007, ook wel de Code voor Informatiebeveiliging genoemd, werkt dit managementsysteem uit in praktische richtlijnen. Een organisatie kan zich laten certificeren voor ISO/IEC 27001:2005 en laat daarmee aan leveranciers en klanten zien dat het aan kwaliteitseisen voor informatiebeveiliging voldoet. De Code voor Informatiebeveiliging is geschikt voor alle organisaties, groot of klein, overheid of bedrijfsleven.

9.1.4 Beoordeling van het informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid maken is één, het implementeren in de organisatie en controleren of het nageleefd wordt is een ander onderwerp. Veel organisaties werken met de zogenaamde PDCA-cyclus. (zie figuur 1). Het informatiebeveiligingsbeleid is het hoofddocument. Onder het informatiebeveiligingsbeleid komen beleidsdocumenten, procedures en richtlijnen die op een bepaald deel van de informatiebeveiliging 56

Basiskennis Beveiliging van Informatie gericht zijn en nadere richtlijnen geven. Deze documenten zijn een belangrijk onderdeel van het Information Security Management System (ISMS).

9.1.5 PDCA-model Het PDCA-model, ook wel de kwaliteitscirkel van Deming genoemd, wordt gebruikt als basis voor het vaststellen, implementeren, monitoren, controleren en onderhouden van het Information Security Management System (ISMS).

Figuur - PDCA model gekoppeld aan de ISMS processen Plan (ontwerp het ISMS) In de ontwerpfase wordt een informatiebeveiligingsbeleid ontwikkeld en vastgesteld. Hierin worden de informatiebeveiligingsdoelstellingen, de relevante processen en procedures vastgesteld, die er voor zorgen dat de risico’s gemanaged worden. Deze doelstellingen ondersteunen uiteraard de business doelstellingen van de organisatie. De beveiligingsmaatregelen kunnen genomen worden op basis van de eerder genoemde risicoanalyse en een kosten/batenanalyse. Er zijn nog andere methoden die we niet verder zullen behandelen. De Planfase geldt niet alleen voor het hoofdbeleid maar voor alle ondersteunende beleidsdocumenten en onderliggende regelingen. Do (implementeer het ISMS) In deze fase worden het informatiebeveiligingsbeleid en de onderliggende procedures en maatregelen geïmplementeerd. Per informatiesysteem en/of proces worden verantwoordelijken aangewezen. Check (monitor en controleer het ISMS) In deze fase wordt door middel van self assessment (interne audit) gecontroleerd en waar mogelijk

57

Basiskennis Beveiliging van Informatie gemeten of het informatiebeveiligingsbeleid correct wordt uitgevoerd. Hiervan wordt een rapport uitgebracht aan het verantwoordelijke management en de Chief Information Security Officer (CISO). Act (onderhoud en stel het ISMS bij) In deze laatste fase wordt gecorrigeerd en worden preventieve maatregelen genomen, gebaseerd op de resultaten van de interne audit. Waar nodig wordt het ISMS geactualiseerd. Deze PDCA-cyclus is een doorlopend proces. In een ISMS-handleiding wordt dit beschreven.

9.1.6 Inrichting ISMS De organisatie stelt voor de beheersing van haar ISMS een raamwerk op. Dit raamwerk geeft een logische indeling van alle aan de informatiebeveiliging gerelateerde zaken door deze in te delen in domeinen. Een domein is een groep van onderwerpen (clusters), die logisch bij elkaar horen. Domeinen vormen de basis voor het ISMS-raamwerk (framework). Veel van deze clusters leveren eigen beleidsdocumenten, procedures en werkinstructies op. Het ISMS omvat minimaal de elf domeinen zoals deze onderkend worden in de ISO/IEC 27002 standaard. Deze sluiten aan bij de processen voor IT Service Management zoals die zijn beschreven in de ISO/IEC 20000 standaard.

9.1.7 De elf domeinen in de ISO/IEC 27002 A.5

Beveiligingsbeleid;

A.6

Organisatie van informatiebeveiliging;

A.7

Beheer van bedrijfsmiddelen;

A.8

Beveiliging van personeel;

A.9

Fysieke beveiliging en beveiliging van de omgeving;

A.10 Beheer van communicatie- en bedieningsprocessen; A.11 Toegangsbeveiliging; A.12 Verwerving, ontwikkeling en onderhoud van informatiesystemen; A.13 Beheer van informatiebeveiligingsincidenten; A.14 Bedrijfscontinuïteitsbeheer; A.15 Naleving. Ieder domein kent een aantal subdomeinen. Bijvoorbeeld toegangsbeveiliging omvat zowel fysieke toegang als logische toegang. Een domein wordt beschreven in een beleidsdoelstelling (policy) en nader uitgewerkt in onderliggende richtlijnen, procedures en handreikingen.

9.1.8 Controle informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid wordt regelmatig beoordeeld en, als dit nodig is, herzien. Voor een wijziging in het beleid is altijd toestemming van de directie nodig.

9.1.9 De organisatie van informatiebeveiliging Zonder adequate beveiliging van informatie kan een organisatie niet overleven. Iedereen in de organisatie zal dit moeten accepteren en de directie en het management geven hierin het voorbeeld.

58

Basiskennis Beveiliging van Informatie Alleen wanneer zij hun eigen beleid ondersteunen zullen de medewerkers informatiebeveiliging serieus nemen en de maatregelen willen naleven. Informatiebeveiliging is een proces waar veel mensen bij betrokken zijn. Dit proces dient te worden bestuurd. Als er geen verantwoordelijkheid en bestuur is zal informatiebeveiliging niet goed worden geregeld. De manier waarop informatiebeveiliging wordt beheerd is afhankelijk van de omvang en aard van de organisatie. Bij kleine organisaties kan informatiebeveiliging een deeltaak zijn van enkele personen. Een ZZP heeft zelfs alle beveiligingstaken op zijn of haar schouders. Bij grote organisaties zijn hier aparte functies voor. Bij het informatiebeveiligingsproces hoort een periodiek overleg met alle primaire verantwoordelijken. Naast de informatiebeveiligingsfunctionarissen gaat het hierbij om personeel dat voor het invoeren van maatregelen verantwoordelijk is. Dit zijn bij voorkeur de mensen die een functie hebben in de zogenaamde PIOFAH-processen in de organisatie. PIOFAH staat voor: Personeel, Informatie, Organisatie, Financieel, Accounting en Huisvesting.

9.2 Personeel Zie ook : Functiescheiding Tot de bedrijfsmiddelen behoort ook het personeel. Mensen en hun kennis en vaardigheden zijn kostbare bedrijfsmiddelen. Om deze waarde te beschermen zijn maatregelen nodig. Al het personeel is verantwoordelijk voor informatiebeveiliging. Deze verantwoordelijkheid moet duidelijk zijn in het arbeidscontract. In het personeelshandboek moet een gedragscode staan en de sancties bij het niet naleven van gedragsregels en het veroorzaken van incidenten. In de gedragscode kan bijvoorbeeld staan dat e-mail niet voor privégebruik is bestemd. De manager is verantwoordelijk voor de juiste functieomschrijvingen en dus verantwoordelijk voor de verschillende aspecten van het omgaan met informatie in de betreffende functie. Bij sollicitaties voor een functie waarin met gevoelige informatie wordt om gegaan, zullen referenties, identiteit en diploma’s gecontroleerd moeten worden. Of iemand strafbare feiten heeft gepleegd kan worden gecontroleerd door een Verklaring Omtrent Gedrag (VOG) verplicht te stellen. Een VOG wordt verstrekt door het Ministerie van Justitie. De aanvraag wordt gedaan op het gemeentehuis. De organisatie moet sluitende procedures hebben voor wanneer personeel in dienst en uit dienst treedt en verandert van functie. Vergeet hierbij niet het wijzigen of intrekken van rechten, het innemen van materiaal en toegangspassen. Toegangsrechten moeten regelmatig worden gecontroleerd.

9.2.1 Screening en geheimhoudingsverklaring Voor een zogenaamde vertrouwensfunctie kan geheimhouding ook gelden na het dienstverband. De manager is verantwoordelijk voor het vaststellen van speciale regels voor specifieke functies. In ieder geval tekenen alle medewerkers met een vertrouwensfunctie een geheimhoudingsverklaring (Non Disclosure Agreement, een NDA). Bij vertrouwensfuncties is het in ieder geval gebruikelijk dat de werknemer een VOG kan overleggen. Daarnaast kan het nodig zijn een screening of veiligheidsonderzoek te laten doen. Hoe diep de screening wordt gedaan hangt af van het niveau van vertrouwelijkheid dat hoort bij de functie. Denk aan bewakers, managers of financieel medewerkers. Screenen is erg kostbaar. De overheid heeft hier eigen organisaties voor. Het bedrijfsleven kan soms gebruikmaken van zo'n organisatie als het opdrachten uitvoert voor de overheid. Er bestaan private organisaties die screeningen uitvoeren.

9.2.2 Inhuurkrachten De veiligheidseisen die gelden voor het personeel gelden ook voor personeel dat is ingehuurd. Deze afspraken met de leverancier, bijvoorbeeld een uitzendbureau, worden schriftelijk vastgelegd, inclusief de sancties bij overtreding. 59


9.2.3 Personeelsdossiers Personeelsgegevens en personeeldossiers moeten vertrouwelijk worden behandeld en goed opgeborgen. Ook wordt vastgelegd wie personeelsdossiers mag inzien. In een personeelsdossier liggen het functieprofiel, het arbeidscontract en diverse ondertekende verklaringen. Een gedragscode voor computergebruik is bijvoorbeeld zo'n verklaring of een gedragscode voor e-mailgebruik, verklaringen om zich te houden aan wetten en regels (Wet Bescherming Persoonsgegevens, Wet Computercriminaliteit) en bijvoorbeeld een geheimhoudingsverklaring.

9.2.4 Bewustwording (security awareness) Eén van de meest effectieve maatregelen voor informatiebeveiliging is dat de medewerkers een bewustwordingscursus krijgen wanneer ze in dienst treden. Deze cursus kan deel uitmaken van de introductie en de interne opleiding. Ter ondersteuning van informatiebeveiligingsbewustwording kunnen allerlei materialen worden ingezet: flyers, boekjes, schermboodschappen, muismatten, nieuwsbrieven, video’s en posters. In grote organisaties worden vaak aparte bewustwordingstrainingen verzorgd voor systeembeheerders, ontwikkelaars, gebruikers en beveiligingspersoneel, maar ook andere groepen kunnen in aanmerking komen voor een op hun werkzaamheden toegespitste opleiding. Besteed in de cursus of campagne met name aandacht aan de bedrijfsregels rondom informatiebeveiliging en de dreigingen die worden gezien. Beveiligingsdocumentatie en -informatie dient voor iedereen in de organisatie beschikbaar te zijn. Vaak wordt verschillende documentatie gemaakt voor verschillende doelgroepen (gebruikers, beheerders, ontwikkelaars etc.). Documentatie dient periodiek te worden herzien; bij wijzigingen maar ook als er nieuwe dreigingen zijn.

In het nieuws

Waarschijnlijk ontvangen duizenden computergebruikers rond 14 februari een valentijns-e-mail die besmet is met malware. Mailgebruikers ontvangen een e-mail met daarin een groot hart en de uitnodiging een hyperlink met een IP-adres aan te klikken. Geïnfecteerde computers worden besmet met een Trojaans paard, waarna het systeem wordt opgenomen in een netwerk van besmette pc's. Dit zogeheten 'botnet' kan op afstand bestuurd worden door cybercriminelen en gebruikt worden voor bijvoorbeeld het huisvesten van nagebouwde bankwebsites. Eerder werden tijdens Kerstmis en op nieuwjaarsdag een lading besmette e-mails verstuurd. De Storm Worm is een van de hardnekkigste bedreigingen in de internetgeschiedenis. Bron: www.computable.nl

60


9.2.5 Toegang Voor grote organisaties waar niet iedereen elkaar kent, is een goed toegangsbeheersysteem nog belangrijker. Een voorbeeld hiervan is een systeem waarbij de medewerkers en bezoekers duidelijk zichtbaar toegangspassen gebruiken. Alle bezoekers moeten worden geregistreerd bij aankomst en vertrek. Alle toegang wordt bijgehouden, bezoekers melden zich bij een receptie, waarbij zij het tijdstip van aankomst en vertrek aftekenen. Een medewerker die bezoek verwacht meldt de bezoeker aan en begeleidt deze door het gebouw tot het vertrek.

9.3 Bedrijfscontinuïteitsbeheer Wij kunnen ons niet op alles voorbereiden. Overstromingen zoals in het voorjaar van 2007 in Engeland en in het najaar van 2007 in Bangladesh, leveren grote schadeposten op aan de economie. Denk ook aan de enorme schade die de orkaan Katrina in New Orleans aanrichtte. Aanslagen van terroristen zoals in New York, Londen en Madrid, maar ook gewoon stroomuitval van meerdere uren, kunnen enorme gevolgen hebben voor de beschikbaarheid van mensen en systemen binnen een bedrijf. Ieder jaar worden wereldwijd bedrijven getroffen door calamiteiten, die op wat voor manier dan ook grote impact hebben op de beschikbaarheid van hun systemen. Een klein percentage van de bedrijven heeft zich hierop voorbereid. De meeste bedrijven die door een grote calamiteit worden getroffen, overleven dit niet. De bedrijven die dit soort calamiteiten wel overleven hebben vooraf nagedacht over wat kan gebeuren en hebben de noodzakelijke maatregelen en procedures beschreven om zichzelf te beschermen. Een bedrijf, een organisatie, is afhankelijk van middelen, medewerkers en taken die dagelijks uitgevoerd moeten worden om gezond en winstgevend te blijven. De meeste organisaties hebben een ingewikkeld netwerk van leveranciers en middelen die afhankelijk van elkaar zijn om te kunnen functioneren. Er zijn communicatiekanalen zoals telefoon- en netwerkverbindingen en er zijn gebouwen waarin gewerkt wordt. De gebouwen moeten in een goede staat verkeren zodat het werk op een prettige manier en efficiënt uitgevoerd kan worden. Wanneer ergens een schakel in deze ketting van afhankelijkheden uitvalt, kan dat een probleem(pje) opleveren. Wanneer meerdere schakels uitvallen, ontstaat er een probleem. Hoe langer bepaalde onderdelen in de keten onbruikbaar zijn, hoe meer effect dat op de organisatie heeft, maar ook hoe langer het kan duren voor een productieproces weer op gang komt. Vooraf nadenken over de continuïteit van de werkprocessen is van levensbelang voor een organisatie. Het maakt daarbij niet uit of het om een ingewikkeld productieproces gaat, of om een relatief eenvoudig proces zoals het verwerken van verhuizingen van bewoners van een gemeente. Voor zowel de medewerkers als de klant is het belangrijk dat ieder onderdeeltje van het proces goed loopt en vooral goed blijft lopen. Het doel van bedrijfscontinuïteitsbeheer (Business Continuity Management, BCM) is het voorkomen dat bedrijfsactiviteiten worden onderbroken, het beschermen van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen en tijdig herstel. In het beheerproces van bedrijfscontinuïteit worden de kritische bedrijfsprocessen geïdentificeerd. Naast andere maatregelen die de continuïteit waarborgen moet het verlies van informatie ten gevolge van een natuurramp, een aanslag, brand en stroomuitval worden voorkomen. De gevolgen van rampen, beveiligingsincidenten en de uitval van diensten worden beoordeeld in een Business Impact Analyse (BIA). In het continuïteitsplan staat beschreven hoe de informatie die nodig is voor de kritische bedrijfsprocessen weer vlot beschikbaar is. Continuïteitsmanagement wordt in de informatiebeveiliging vaak opgesplitst in twee afzonderlijke, maar wel sterk aan elkaar gerelateerde onderdelen: 61

Basiskennis Beveiliging van Informatie Business Continuity Planning (BCP) waarin de continuïteit van de bedrijfsprocessen gewaarborgd wordt; Disaster Recovery Planning (DRP) waarbij het herstel na een calamiteit geregeld wordt. Bedrijfscontinuïteitsbeheer wordt beschreven in de BS 25999, dit is een Britse Standaard, vergelijkbaar met een ISO/IEC standaard.

9.3.1 Continuïteit Continuïteit gaat over de beschikbaarheid van informatiesystemen op het moment dat deze nodig zijn. Aan deze beschikbaarheid kunnen verschillende eisen worden gesteld. Hebt u een telefooncentrale waar vijftig medewerkers vierentwintig uur per dag hun werkzaamheden uitvoeren? Dan stelt u ongetwijfeld andere eisen aan beschikbaarheid dan een bedrijf met één telefoniste die eens in het anderhalf uur een telefoontje binnen krijgt. Voor een gemeente zal de beschikbaarheid van GBA, de Gemeentelijke Basis Administratie, van groot belang zijn. Wanneer deze niet beschikbaar is kan een groot aantal medewerkers hun werk niet naar behoren uitvoeren. Wanneer dit systeem bij de gemeente echter in de nachtelijke uren niet beschikbaar is, zal er niets aan de hand zijn. Zo gelden voor de beschikbaarheid per bedrijf, per vakgebied en vaak binnen een bedrijf per onderdeel weer andere eisen. In de praktijk Autofabrikanten hebben tegenwoordig geen grote voorraden onderdelen liggen. Vrijwel dagelijks worden de bestelde onderdelen aangeleverd bij de fabriek. Wanneer een bedrijf dat remmen en verlichting voor de autoindustrie maakt in verband met een arbeidsconflict in staking gaat, dan kan binnen een paar dagen tijd in half Europa de autoindustrie tot stilstand komen. Auto’s zonder verlichting en remmen kunnen immers de fabriek niet verlaten. Ook storing in één onderdeel van de lopende band, bijvoorbeeld de machine die het dashboard op het juiste moment moet aanleveren, betekent dat het volledige productieproces tot stilstand komt. Een dashboard achteraf inbouwen is immers binnen de werkstroom niet mogelijk.

9.3.2 Wat zijn calamiteiten? Misschien is het goed om iets dieper in te gaan op het begrip calamiteit. Calamiteit klinkt nogal dreigend. Niets is minder waar. In deze context kan de uitval van een simpel systeem al een calamiteit zijn. Een calamiteit hoeft niet per se een overstroming of een terroristische aanslag te zijn. De uitval van dat ene systeem, waar u zo afhankelijk van bent voor uw dagelijkse werk, door een technisch mankement, is ook een calamiteit.

In de praktijk Een eenvoudige netwerkkaart in de mailserver die defect raakt kan een regelrechte ramp zijn. Alle medewerkers verstoken van hun e-mail en agenda, dat is in de huidige tijd niet lang werkbaar.

Hoe reageert uw bedrijf op een calamiteit? Alles valt of staat met de aard van de calamiteit. Gaat het om een verstoring van activiteiten door de uitval van een systeem of het complete netwerk waarop de kantoorautomatisering draait? Dan zal een telefoontje naar de servicedesk of helpdesk vaak voldoende zijn om de nodige activiteiten te laten opstarten.

62

Basiskennis Beveiliging van Informatie Wordt de gezondheid van de medewerkers bedreigd dan zal een telefoontje naar de Bedrijfshulpverlening (BHV) of naar 112 de juiste actie zijn. In alle gevallen geldt dat mensenlevens vóór programmatuur en apparatuur gaan. Eérst komen de ontruimingsactiviteiten, daarna komt het redden van de voor het bedrijf meest cruciale bedrijfsprocessen. Het is belangrijk dat er goede, heldere procedures zijn, die duidelijk maken welke actie moet worden ondernomen, bijvoorbeeld: U weet dat bij uitval van een informatiesysteem de helpdesk de aangewezen instantie is; U weet waar de vluchtroutes in het gebouw zijn; U weet wie u kunt bellen bij brand, het spontaan openspringen van de sprinklerinstallatie of een bommelding. De helpdesk of de BHV-medewerker moet weten wat te doen bij welke melding. Zij zullen een prioriteitenlijst hebben waaruit blijkt wie wanneer met voorrang geholpen moet worden en welke instanties zij in welk geval moeten inschakelen. Training en opleiding van BHV’ers is belangrijk. BHV'ers zijn gewone medewerkers die deze taak op zich hebben genomen. Zorg ervoor dat er verspreid over de hele organisatie BHV'ers zijn . Bomalarm Een bomdreiging wordt meestal niet als een risico voor de organisatie gezien. Bomdreigingen komen in Nederland niet veel voor. De laatste jaren worden mensen wel bewuster gemaakt van verdachte pakketjes. Het is dan ook raadzaam hiervoor procedures te hebben. In de bomalarmprocedure moet duidelijk beschreven zijn wat men moet doen in geval van een melding. Bij ieder bedrijf kunnen verdachte zaken binnenkomen. Personeel moet weten wat niet normaal is en verdachte zaken kunnen herkennen. Tijdens de bewustwordingscampagne kan hier aandacht aan worden besteed.

9.3.3 Disaster Recovery Planning (DRP) Wat is nu het verschil tussen Business Continuity Planning en Disaster Recovery Planning? Het doel van DRP is het minimaliseren van de gevolgen van een calamiteit en het nemen van de noodzakelijke maatregelen om er voor te zorgen dat de middelen, medewerkers en bedrijfsprocessen binnen een acceptabele tijd weer beschikbaar zijn. Dit is een verschil met BCP, waarin ook methodes en procedures worden geregeld voor uitval gedurende een langere periode. Een DRP is gericht op het herstel direct na een calamiteit. Het DRP wordt in werking gesteld op het moment dat de calamiteit nog gaande is. Iedereen is druk met het bepalen van de schade en probeert de systemen weer draaiende te krijgen. Een BCP gaat verder en heeft een bredere focus. In BCP wordt het inrichten van een alternatieve locatie geregeld om te kunnen werken terwijl de originele locatie herbouwd wordt. In BCP is alles er op gericht het bedrijf vanaf het moment dat een calamiteit plaatsvindt weer – deels – draaiende te krijgen totdat het bedrijf volledig hersteld is. Met andere woorden: DRP: Er is nu een calamiteit en wat doe ik om weer in productie te komen; BCP: We hebben een calamiteit gehad en wat doe ik tot het moment waarop de situatie gelijk is aan de situatie vóór de calamiteit.

In de praktijk

63

Basiskennis Beveiliging van Informatie Een medewerkster maakt gebruik van de intranetversie van de telefoongids. Die valt uit en zij geeft dat door aan de Helpdesk. De medewerkster kan echter gewoon haar werk blijven doen via de internetversie van de telefoongids. Een dergelijke melding zal geen hoge prioriteit krijgen. Een IT-medewerkster werkt aan het herstel van die intranettelefoongids. Dan komt er een melding dat een belangrijk systeem uitgevallen is, waardoor een deel van het productieproces stil is gevallen. Iedereen begrijpt dat de continuïteit van een dergelijk systeem een hogere prioriteit zal krijgen, dan het herstel van een systeem waarvoor een alternatief beschikbaar is.

Wanneer een BCP en/of DRP worden uitgewerkt is er een aantal oplossingen om de bedrijfsprocessen zo snel mogelijk weer op gang te krijgen. Als gekozen wordt voor het voortzetten van de bedrijfsprocessen en systemen worden de procedures beschreven in een uitwijkplan dat regelmatig moet worden getest. Ook het opheffen van de uitwijk, de inwijk, hoort vast te liggen in plan omdat duidelijk moet zijn onder welke voorwaarden de normale situtatie wordt hersteld. Alternatieve werkplekken Een bekende grote Nederlandse bank heeft door inventief gebruik te maken van de vele beschikbare locaties ervoor gezorgd dat in geval van een calamiteit de medewerkers toch door kunnen werken. Zo heeft men voor bepaalde werknemers (keyplayers) een alternatieve werkplek in een ander filiaal aangewezen. Wanneer op de locatie waar die werknemer een vaste werkplek heeft iets gebeurt, reist hij of zij naar een filiaal een paar kilometer verderop en gaat naar de aangewezen werkplek. De medewerker die daar werkt is van deze regeling op de hoogte. Hij of zij staat op en staat de werkplek af.

In de praktijk Een operator voor mobiele telefonie heeft een hot site ingericht op ongeveer 20 km afstand van de hoofdvestiging. Vanuit dit centrum worden alle GSM-masten in heel Europa beheerd. Uitval van het centrale operationele centrum kan een verlies dat in de tientallen miljoenen Euro’s loopt opleveren. De kosten van deze hot site wegen ruimschoots op tegen de kosten die een langdurige uitval van de systemen zouden opleveren.

Redundant site Een goed alternatief voor een onderneming met veel locaties maar met één centraal rekencentrum is een redundant site. In een redundant site staat een kopie van het rekencentrum. Alle data die in het hoofdrekencentrum worden weggeschreven worden ‘gespiegeld’ naar het tweede rekencentrum weggeschreven. Bij uitval van één van de twee locaties neemt de andere locatie het automatisch over. In het gunstigste geval merkt de gebruiker er helemaal niets van. Hot site op afroep Weer een andere oplossing is een rijdende hot site. Dit is een vrachtwagen met alle apparatuur aan boord die als tijdelijk rekencentrum kan dienen. De mogelijkheden zijn natuurlijk beperkt, maar het is een oplossing om de meest cruciale processen snel op te kunnen starten. Testen BCP Alles bij elkaar klinken al deze oplossingen, variërend van goedkoop tot duur, heel mooi. Een geweldig BCP/DRP-team heeft alles goed doordacht, tientallen malen besproken en uiteindelijk de goedkeuring gekregen van het senior management. Het plan gaat naar de drukker en alle managers krijgen een mooi exemplaar. Dat exemplaar gaat ergens in een kast of lade, want een calamiteit? Dat gebeurt in Amerika of in het Verre Oosten, maar hier? Nee toch? 64

Basiskennis Beveiliging van Informatie En dat is nu net de reden waarom deze plannen regelmatig getest, geëvalueerd en bijgesteld moeten worden. Organisaties veranderen, voorzieningen dus ook. Omdat de kans klein is dat het plan nodig is, moeten we er vooral op voorbereid zijn. Zijn de medewerkers niet getraind en wordt de ramp werkelijkheid, dan gaat een BCP ook niet werken. Regelmatig testen is nodig om de bewustwording van de medewerkers van hoe te handelen bij een calamiteit, te bevorderen. Ten tweede moet iedere verandering van processen in het plan opgenomen worden. Een verouderd plan helpt de organisatie niet op weg om weer operationeel te worden. Testen kunnen we zo uitgebreid als we willen, van het brandalarm laten horen tot het opstarten van een hot site of het terugzetten van een back-up. Waar het om gaat is dat de procedures in een simulatie van de werkelijkheid worden uitgeprobeerd om te zien of ze juist zijn en bruikbaar. Personele maatregelen Bij een calamiteit kan een personeelsprobleem ontstaan omdat het personeel dat het primaire proces ondersteunt ook betrokken is bij de calamiteit en daardoor niet meer beschikbaar is. Dan moet personeel kunnen worden vervangen.

9.4 Beheer van communicatie- en bedieningsprocessen 9.4.1 Bedieningsprocedures en verantwoordelijkheden Om de automatisering van een organisatie goed in beheer en onder controle te houden is het noodzakelijk procedures voor de bediening van de apparatuur vast te stellen, vast te leggen en verantwoordelijkheden te beleggen. Een en ander kan verder worden uitgewerkt in werkinstructies zoals hoe computers worden opgestart en afgesloten, het maken van back-ups, onderhoud, postverwerking, etcetera. Een pc met Windows besturingssysteem wil nog wel eens vergevingsgezind zijn als hij ‘hard’ uitgezet wordt, een Unix-machine denkt daar heel anders over. Daarom zijn procedures voor het opnieuw starten na systeemstoringen erg belangrijk. In een bedieningsprocedure staat in ieder geval: 

De manier waarop met informatie wordt omgegaan;



Hoe, wanneer en welke soorten back-ups worden gemaakt;



Contactpersonen in geval van een incident;



Beheer van audit trails en logbestanden.

Het uiteindelijke doel van een bedieningsprocedure is dat er geen misverstand kan bestaan over de wijze waarop apparatuur bediend moet worden. Het maakt niet uit of het over een lasrobot gaat, een programma waarmee de energiecentrale wordt bestuurd of een boekhoudpakket. De audit trail en systeemlogbestanden houden alle gebeurtenissen en handelingen op het systeem en het netwerk bij. Deze bestanden worden opgeslagen op een beveiligde plaats en kunnen in principe niet bewerkt worden. Mochten er problemen optreden dan zijn die bestanden vaak cruciaal om te ontdekken wat er fout gegaan is. Denk aan de ‘black box’ in een vliegtuig, waaruit op te maken is wat er de laatste minuten voor de crash gebeurde. Aan de hand van dit soort informatie zijn maatregelen te treffen die er voor kunnen zorgen dat het incident zich niet herhaalt.

9.4.2 Wijzigingsbeheer Het doorvoeren van een wijziging (change) kan leiden tot een catch 22 situatie. Zowel het doorvoeren als het niet doorvoeren van de wijziging is een risico. Deze situatie ontstaat bijvoorbeeld in het geval van een bekende kwetsbaarheid (vulnerability). Het niet installeren van de patch is een risico omdat de kwetsbaarheid uitgebuit kan worden en voor verstoringen in de infrastructuur kan zorgen. Aan de

65

Basiskennis Beveiliging van Informatie andere kant is het doorvoeren van de patch ook een risico omdat onvoorziene omstandigheden (bijvoorbeeld door de samenhang van de systemen) tot verstoringen kunnen leiden. Dit voorbeeld geeft ook de noodzaak aan om bij wijzigingen verschillende rollen te definiëren. Zo zal het potentiële risico van het niet installeren van een security gerelateerde patch door de Information Security Officer (ISO) bepaald worden terwijl het risico van de wijziging ingeschat zal moeten worden door bijvoorbeeld de systeembeheerder. Wanneer er wijzigingen in IT-voorzieningen en informatiesystemen plaats moeten vinden, dan moeten deze vooraf goed worden overdacht worden en op een beheerste manier worden uitgevoerd. In IT Service Management heet dit proces change management. Change management beheert wijzigingen in systemen. Dit zijn vaak vooraf geplande wijzigingen. Een kleine wijziging is bijvoorbeeld de aanpassing van een tabel. Een middelgrote wijziging is bijvoorbeeld de overstap van Microsoft Office 2000 naar Microsoft Office 2003. Een wijziging heeft gevolgen die vooraf bekend moeten zijn en voorbereid kunnen worden. Medewerkers moeten leren met de nieuwe versie om te gaan. Standaardformulieren moeten aangepast worden. De servicedeskmedewerkers moeten getraind zijn om ondersteuning te kunnen bieden. Een grote wijziging kan de wijziging van een productiesysteem zijn en vraagt dus nog meer vooruitzien en organiseren. Er moeten alleen wijzigingen aan productiesystemen worden aangebracht wanneer er een gegronde reden is om dit te doen, zoals een sterke toename van het risico voor het systeem. Het updaten van systemen met de nieuwste versie van een besturingssysteem of toepassing is niet altijd in het bedrijfsbelang, omdat hierdoor meer kwetsbaarheden en instabiliteit kunnen ontstaan. Het overgaan van de ene naar de andere Office-versie, levert niet alleen voordelen op. Wanneer de klanten allemaal nog met de 2003-versie werken, is het niet handig zelf met de 2007-versie te werken. Er moet dan altijd tijd besteed worden aan het aanbieden van de bestanden in het juiste formaat. Weegt deze investering op tegen de voordelen? Het voorbeeld maakt ook duidelijk waarom functiescheiding van belang is. Als iedereen met een belang een wijziging zou kunnen doorvoeren, ontstaat een onbeheersbare situatie waarin men van elkaar niet weet wat er veranderd is en nog belangrijker, het zicht op wat eventueel teruggedraaid moet worden is verdwenen.

9.4.3 Functiescheiding Zie ook: Personeel Taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. (Zie hiervoor ook de uitleg bij de begrippen integriteit en vertrouwelijkheid) Bij functiescheiding wordt bekeken of een medewerker besluitvormende, uitvoerende of controlerende taken heeft. Enerzijds wordt gekeken of een medewerker toegang tot informatie nodig heeft. Onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd. Dit heet het ‘need to know’ principe. De gemiddelde medewerker bij een beursgenoteerd bedrijf heeft bijvoorbeeld geen toegang tot de bedrijfsgegevens die beursgevoelig zijn, zoals de verwachte winsten verliesgegevens en jaarcijfers. Dat zou handel met voorkennis kunnen opleveren en dat is wettelijk verboden. Een andere kant van functiescheiding is dat taken gesplitst kunnen worden om risico’s voor de organisatie te verminderen. Voor kleine organisaties is functiescheiding wellicht moeilijk te realiseren, maar het principe zou moeten worden toegepast voor zover dat mogelijk en praktisch is.

66

Basiskennis Beveiliging van Informatie Een voorbeeld is het overmaken van grote bedragen. De ene medewerker maakt de overboeking klaar, een andere medewerker autoriseert de boeking en verzendt deze. Er kan nog een derde medewerker zijn die achteraf controleert of de transactie juist en rechtmatig is geweest.

9.4.4 Ontwikkeling, testen, acceptatie en productie Om meer zekerheid te hebben dat wijzigingen niet zomaar doorgevoerd kunnen worden is het ook aan te raden verschillende (fysieke) omgevingen in te richten voor ontwikkeling, testen, acceptatie en productie (OTAP) van informatiesystemen zoals een website of een nieuwe applicatie. Voor de ontwikkelingsfase gelden specifieke beveiligingseisen. De testomgeving is bedoeld om vast te stellen of de ontwikkeling voldoet aan de eisen en de beveiligingseisen. De acceptatieomgeving is de omgeving waarin eindgebruikers kunnen toetsen of het product voldoet aan de gebruikerswensen. Na acceptatie kan een systeem volgens vaste procedures in productie worden genomen. Tijdens de overgang van de bestaande software naar de nieuwe software moet altijd een ‘fall-back’ scenario voorhanden zijn zodat het bij grote problemen mogelijk is terug te vallen op de oude versie.

In het nieuws

Een NS-klant ontdekte dat iedereen die zijn lidnummer en achternaam kende, toegang kon krijgen tot zijn persoonlijke gegevens Op de website was het namelijk mogelijk om je aan te melden voor een nieuw online NS-account, zonder dat werd gecontroleerd of dat account al bestond. Vervolgens kon een kwaadwillende zelf een nieuwe gebruikersnaam invoeren, een nieuw wachtwoord en een nieuw mailadres. Naar dit nieuwe mailadres werd een link gemaild waarop de nepklant kon klikken om zijn nieuwe account te activeren. Het oude account bleef nog steeds in gebruik, maar via deze methode konden ook anderen toegang krijgen tot klantgegevens. Ze konden zien waar hij woont, wat zijn telefoonnummer is en diensten aanvragen, zoals een OVchipkaart, een nieuw abonnement of een verhuizing. De senior security consultant van een adviesbedrijf in toegangs- en identiteitsbeheer: "De fout is ® behoorlijk elementair en was er met Tmap (een methodiek voor gestandaardiseerd testen) zo uit gehaald. Dat dit niet is gebeurd, wijst op een slordig proces. Dat maakt de kans klein dat dit de enige fout is. Het schrijven van software is nog steeds niet eenvoudig, en het schrijven van correcte en veilige software is zelfs erg complex. Verder wordt er bij projecten in veel gevallen onvoldoende aandacht gegeven aan de beveiliging. In sommige gevallen denkt men deze zelfs later nog te kunnen toevoegen. Dit werkt principieel niet. Als je gegevens op een juiste manier wilt beveiligen dan moet je daar - vanaf het opstellen van de functionele specificaties - de juiste aandacht aan geven. Beveiliging kan nooit opgepakt worden als een project. Het is een kwaliteitskenmerk van een systeem.Je moet niet alleen testen of een applicatie doet wat zij moet doen, maar ook of zij niet doet wat zij niet moet doen." Bron: www.computable.nl

9.4.5 Beheer van de dienstverlening door een derde partij Niet alle activiteiten die voor een organisatie van belang zijn worden door de organisatie zelf uitgevoerd. Zodra iets door een andere partij wordt uitgevoerd is het van belang vast te stellen welke 67

Basiskennis Beveiliging van Informatie eisen aan die partij gesteld worden. Zo zal niet iedereen vertrouwen op de handige buurman voor het invullen van de belastingformulieren maar de hulp inroepen van een belastingadviseur. U gaat er vanuit dat de belastingadviseur uw informatie vertrouwelijk zal behandelen en bij een erkend adviseur ligt dit vast in een beroepscode. Wanneer een bedrijf er voor kiest (een deel van) zijn automatisering uit te besteden, dan moeten er goede overeenkomsten met de dienstverlenende partij worden afgesloten waarin het beveiligingsaspect nadrukkelijk de aandacht krijgt.

In het nieuws

Een derde van de IT professionals misbruikt administrator-wachtwoorden om vertrouwelijke informatie te vinden. Onderzoek onder 300 IT'ers wijst uit dat 33% stiekem grasduint in de gegevens van anderen, terwijl 47% weleens informatie bekijkt die niet voor hun werk relevant is. "Het enige dat je nodig hebt is de juiste wachtwoorden of accounts met voldoende rechten en je weet alles wat er binnen het bedrijf speelt," zegt Mark Fullbrook van Cyber-Ark. Administratorwachtwoorden blijken veel minder vaak gewijzigd te worden dan met de wachtwoorden van gebruikers het geval is. Dertig procent wordt elk kwartaal gewijzigd, terwijl 9% onveranderd blijft. Zodoende kan vertrokken personeel nog altijd toegang tot vertrouwelijke informatie krijgen. Verder heeft de helft van de systeembeheerders geen autorisatie nodig om toegang tot accounts met bepaalde rechten te krijgen. Het onderzoek toonde ook aan dat er nog veel werk te verrichten is wat betreft de opslag van wachtwoorden. Zo bewaart 57% van de bedrijven de wachtwoorden handmatig, zet 18% ze in een Excel spreadsheet en probeert 82% van de IT professionals ze uit het hoofd te onthouden. Bron: www.security.nl

Gebruikelijk is om een zogenaamde Service Level Agreement (SLA) af te sluiten waarin de beide partijen beschrijven welke service onder welke omstandigheden verwacht wordt. Het nakomen van deze afspraken wordt regelmatig gecontroleerd in een audit.

9.4.6 Bescherming tegen malware, phishing en spam Malware is een samentrekking van de woorden Malicious (Engels voor kwaadaardig) en Software en vormt een verzamelnaam voor ongewenste software zoals virussen, wormen en spyware. Een standaardmaatregel hiertegen is het gebruik van antivirusscanners en een firewall. In toenemende mate blijkt echter dat alleen een virusscanner niet voldoende is om malware buiten de deur te houden. Menselijk handelen staat nog steeds hoog op de lijst van oorzaken van virusuitbraken. Vaak ontstaat een virusinfectie doordat een gebruiker een bijlage (attachment) in een e-mail opent waarna blijkt dat deze niet alleen het beloofde spelletje, document, of plaatje bevat maar ook een virus. Het is dan ook niet aan te raden verdachte e-mails of e-mails van een onbekende afzender te openen.

Phishing is een vorm van internetfraude. Meestal ontvangt het slachtoffer een mail waarin hem of haar gevraagd wordt een account bij bijvoorbeeld een bank of een service provider te checken en te bevestigen. Ook wordt er wel gebruik gemaakt van instant messaging. Soms wordt telefonisch 68

Basiskennis Beveiliging van Informatie contact opgenomen. De daders van phishing zijn moeilijk te achterhalen. Internetters moeten vooral zelf alert zijn en nooit ingaan op een mailverzoek waarin gevraagd wordt geld over te maken of persoonlijke (financiële) gegevens te geven, zoals bankrekeningnummer, pincode, burgerservicenummer (BSN) of creditcardgegevens.

In de praktijk Geachte Planet Webmail abonnee, We zijn op dit moment voert onderhoudswerkzaamheden aan uw Planet.nl account. Om dit proces te voltooien moet je antwoord op dit bericht en geef uw huidige gebruikersnaam hier ( ) en wachtwoord hier ( ) als u de rechtmatige eigenaar van deze account. Onze Message Center zal bevestigen van uw identiteit met inbegrip van uw geheime vraag en het antwoord onmiddellijk. De nieuwe Planet.nl Webmail is een snelle en lichte appliction om snel en eenvoudig toegang tot uw e-mail. Ook dit proces zal ons helpen bij het bestrijden van spam mails. Niet-top van uw wachtwoord, maakt uw e-mailadres in-actief uit onze database. U kunt ook de bevestiging van uw e-mailadres door u aan te melden bij uw account op Planet.nl Webmail: https: / / webmail.planet.nl OPMERKING: U stuurt een wachtwoord reset messenge in de komende zeven (7) werkdagen na onder gaan dit proces om veiligheidsredenen. Dank u voor het gebruik van Planet.nl Webmail! https: / / webmail.planet.nl (Noot van de redactie: merk het taalgebruik op!)

In het nieuws

Vorige week is een aanval op Nederlandse belastingbetalers ontdekt die niet alleen bankgegevens, maar ook creditcardgegevens, Sofi-nummer en pincode probeerde te stelen. De aanval, mogelijk het werk van een Nederlandse virusschrijver die eerder via MSN toesloeg, bestond uit twee delen, waarbij malware de startpagina van het slachtoffer wijzigde. Die pagina linkte weer door naar een gehackt .nl domein, volgens de cache van Google het domein tt-ribbons.nl. Op deze pagina stond de volgende tekst: "Momenteel is google.nl doorverwezen naar de belastingdienst services in samenwerking met google.nl en uw ISP. U bent verplicht om de gevraagde gegevens in te voeren. Uw voordeel is dat u de komende jaren geen aangiftes moet toezenden omdat dit geautomatiseerd wordt door de nieuwe systeem van de belastingdienst. Het is belangrijk dat u de volgende producten onder de hand hebt: identiteitskaart, pinpas (van de bankaccount waarop uw salaris wordt gestort) en kredietkaart. Dit geldt alleen voor de persoon in een gezin / relatie met de hoogste inkomen." Verder werden slachtoffers nog gedreigd: "Uw IP-adres wordt opgeslagen in de database van de belastingdienst," waarbij de site daadwerkelijk het IP-adres van de bezoeker toonde. Om het geheel legitiem te laten lijken was er ook nog een "Hacker Proof" certificaat en Microsoft Certified Professional logo geplaatst. Bron: www.security.nl

69


In het nieuws Cijfers over Nederlandse slachtoffers van identiteitsfraude en diefstal zijn nog altijd onbekend, maar daar wil de Stichting Aanpak Financieel-Economische Criminaliteit in Nederland (SAFECIN) verandering in brengen. Het is een proefproject gestart dat moet leiden naar een eerste analyse van ervaringen van burgers die te maken hebben (gehad) met misbruik van hen identificerende gegevens. Dit project, dat loopt tot 15 augustus, wordt ondersteund door de werkgroep fraude met identificerende gegevens van het Nationaal Platform Criminaliteitsbeheersing. Op de site identiteitsfraude.nl kan iedereen die met misbruik of diefstal van identificerende gegevens te maken heeft gehad zijn verhaal doen. Het gaat onder andere om misbruik van fysieke, papieren documenten, maar ook aan meldingen met betrekking tot phishing technieken via elektronische communicatiemiddelen. De onderzoekers zijn vooral geïnteresseerd in het traject waarin burgers terecht kunnen komen indien duidelijk is geworden dat zij het slachtoffer zijn geworden van misbruik, zoals de constatering van een debiteurenstand bij Bureau Krediet Registratie te Tiel, het ontvangen van aanschrijvingen van incassobureaus en het ervaren van bezoeken van gerechtsdeurwaarders. Burgers die zich aanmelden en die nog steeds problemen ondervinden kunnen op hulp rekenen. De eerste 50 melders met een duidelijk verhaal krijgen een shredder cadeau. Bron: www.security.nl

Spam is een verzamelnaam voor ongewenste berichten. Meestal wordt met de term ongewenste mail bedoeld, maar ook ongewenste reclameboodschappen op websites (oa. fora) vallen onder spam. De kosten worden evenwel verplaatst naar de ontvangers: tegenover een kleine groep geïnteresseerden staan zeer veel mensen die tijd kwijt zijn met het verwijderen van berichten uit hun mailbox. Ook voor spam geldt dat een spamfilter de last iets verlicht. Spamberichten nooit beantwoorden of doorsturen en terughoudend zijn in het verspreiden van e-mailadressen (gebruik de BCC functie) is wat we zelf kunnen doen.

In het nieuws

Verreweg het grootste deel van alle verzonden e-mails bestond in 2007 uit spam. Volgens CleanPort, dat het spampercentage in Nederland meet, was 96% van de e-mails ongewenste reclame. Bij het versturen van de berichten gingen spammers vaak in op actuele gebeurtenissen. ‘Ze hopen dat ontvangers het bericht daardoor gemakkelijker openen', aldus CleanPort. De aanslag op de Iraanse politica Benazir Buttho van vorige maand zou bijvoorbeeld een toename in het aantal spammails verzoorzaakt hebben. Uit de metingen blijkt bovendien dat spam in 2007 veel verstuurd werd in een e-mailbijlage. Op die manier kunnen spamfilters omzeild worden. Slechts 0,2% van de e-mails bevatte virussen. Dat zou komen doordat virusmakers zich in 2007 meer richtten op internet. Bron: www.computable.nl

70


Malware, phishing en spam zijn belangrijke onderwerpen in de gedragscode en een bewustwordingscampagne voor de medewerkers.

In het nieuws Miljoenen Nederlanders bankieren via internet. Het is gemakkelijk en vooral ook veilig. Maar er is natuurlijk ook een keerzijde. Criminelen zullen altijd proberen om via internet fraude te plegen. Internetbankieren heeft de afgelopen jaren een enorme vlucht genomen. Uit onderzoek van de Nederlandse Vereniging van Banken (NVB) blijkt dat 98% van de internetbankierders bankieren via internet veilig vindt. Toch blijkt ook dat 20% nog steeds te weinig maatregelen treft. De banken zijn dagelijks bezig om de veiligheid optimaal te houden, maar er ligt ook een verantwoordelijkheid bij de consumenten. Vandaar de campagne 3x kloppen: 1. Klopt uw pc-beveiliging? 2. Klopt de website van uw bank? 3. Klopt uw betaling? Oplettendheid kan veel schade voorkomen. Bron: www.3xkloppen.nl en www.veiligbankieren.nl

9.4.6.1 Enkele definities: a) Virus Definitie: Een virus is een stukje programmatuur dat zichzelf doelbewust, in al dan niet gewijzigde vorm, kan vermenigvuldigen. De nakomelingen van het virus moeten volgens deze definitie zelf ook weer virussen zijn. Voor de verspreiding is het virus afhankelijk van dragers die uitvoerbare code bevatten. Toelichting: Zodra de drager geactiveerd wordt gaat het virus op zoek naar geschikte nieuwe dragers en tracht deze te infecteren. Het virus kan zich alleen tot buiten het bereik van het geinfecteerde systeem verspreiden als een gebruiker van een dergelijk systeem bestanden overzet naar een ander systeem. Dragers waren traditioneel alleen programma's, maar tegenwoordig zijn ook documenten mogelijke gastheren voor een virus, aangezien deze steeds vaker worden voorzien van uitvoerbare code, zoals macro's, VBScript, of ActiveX. In verreweg de meeste gevallen zijn virussen voorzien van een bagage die alle taken, anders dan die benodigd voor replicatie, herbergt. Deze zogenaamde "payload" is meestal, maar niet per definitie, destructief van aard. Voorbeelden: Brain Chernobyl Maatregelen: Zorg voor het gebruik van een virusscan oplossing op de werkplek, voor de mailserver. Zorg ervoor dat het onderwerp virus behandeld wordt in een bewustwordingscampagne Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie

71

Basiskennis Beveiliging van Informatie b) Worm Definitie: Een worm is een stukje programmatuur dat zichzelf doelbewust vermenigvuldigd. De nakomelingen van de worm zijn copieen van het origineel en verspreiden zich door gebruik te maken van de netwerkfaciliteiten van zijn gastheer.

Toelichting: Hoewel het grensgebied tussen virussen en wormen steeds meer vervaagd zijn er nog wel enige kenmerken die duidelijk verschillen. Een virus kan via verschillende dragers zijn gastheer aanvallen en infecteert nieuwe dragers door daadwerkelijk code in die geinfecteerde dragers te plaatsen. Een worm daarentegen maakt altijd gebruik van dezelfde drager en infecteert geen andere bestanden. Bovendien is een worm niet afhankelijk van een gebruiker om zichzelf fysiek te kunnen verspreiden: zodra een worm geactiveerd wordt is deze geheel autonoom in staat zichzelf te verspreiden. Hierdoor kunnen wormen in vaak zeer korte tijd grote gebieden te besmetten. De twee belangrijkste overeenkomsten zijn de afhankelijkheid van uitvoerbare code in de drager en het gebruik van een payload om secundaire, meestal destructieve, taken uit te voeren. Voorbeelden: Melissa I love you Happy99 Blaster Storm Worm Maatregelen: Zorg voor het gebruik van een (virus)scan oplossing op de werkplek, voor de mailserver. Wormen kunnen ook ontdekt worden in het netwerk, hiervoor zijn bepaalde netwerkmonitor tools geschikt. Zorg ervoor dat het onderwerp worm behandeld wordt in een bewustwordingscampagne Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures

c) Trojan Definitie: Een trojan is een programma, dat naast de voorgespiegelde functionaliteit, ongemerkt en bewust niet aan de gebruiker kenbaar gemaakte activiteit ontplooit die mogelijk de integriteit van het geinfecteerde systeem aantast.

Toelichting: Net als het echte paard van Troje doet een trojan zich voor als een verdienstelijk object, maar indien de gebruiker de trojan activeert ontplooit deze op de achtergrond allerlei ongewenste activiteiten. Vaak installeert de payload van een trojan een zogebaamde "backdoor", waarmee onbekenden zich (zonder daartoe gerechtigd te zijn) toegang tot het geinfecteerde systeem kunnen verschaffen. Een andere veel voorkomende activiteit van trojans bestaat uit het versturen van vertrouwelijke informatie vanaf het geinfecteerde syteem naar een locatie waar deze verzameld en geanalyseerd kan worden. Het meest in het oog springende verschil met virussen en wormen is het ontbreken van zelf-replicatie bij trojans, hierdoor zijn trojans vaak in staat langer onopgemerkt hun werk te blijven doen.

72

Basiskennis Beveiliging van Informatie Voorbeelden: BackOrrifice Netbus Maatregelen: Zorg voor het gebruik van een trojan en/of virusscan oplossing op de werkplek, voor de mailserver. Zorg ervoor dat het onderwerp trojan behandeld wordt in een bewustwordingscampagne, medewerkers moeten bewust worden van het openen van bijvoorbeeld bijlagen uit verdachte e-mails. Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie De gevolgen van trojans (communicatie) kunnen ook ontdekt worden in het netwerk door netwerkbeheerders, hiervoor zijn bepaalde netwerkmonitor tools geschikt. Een andere maatregel is het gebruik van een personal firewall op de werkplek zelf om verdacht netwerkverkeer te detecteren. Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures

d) Hoax Definitie: Een hoax is een bericht dat probeert de lezer ervan zover te krijgen dat hij de inhoud van het bericht voor waar aanneemt en vervolgens een bepaalde handeling verricht. Voor z'n verspreiding is een hoax afhankelijk van het bewust versturen naar andere potentiele slachtoffers door degene die ertussen genomen wordt. Toelichting: De payload van een hoax is geen technische, maar een psychologische. Door op het gevoel in te spelen tracht de opsteller van de hoax de lezer zover te krijgen dat hij het bericht naar anderen doorstuurt (een vorm van social engineering). Dit is vrijwel altijd het belangrijkste doel van een hoax, maar soms wordt ook getracht de lezer over te halen tot het storten van geld of iets dergelijks. Kettingbrieven vormen de meest bekende en succesvolle vorm van hoaxes. Voorbeelden: Good times Pen Pal Maatregelen: Zorg voor het gebruik van een virusscan oplossing op de werkplek, en een antispam oplossing voor de mailserver. Een Hoax bevat vaak teksten die door scanners herkend kunnen worden. Zorg ervoor dat het onderwerp Hoax behandeld wordt in een bewustwordingscampagne, medewerkers moeten bewust worden vreemde vragen in e-mails, met name die aanzetten tot acties als bijvoorbeeld doorzenden van de Hoax. Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures

e) Logic Bomb Definitie: Bij de logic bomb wordt een stuk code in een softwaresysteem gebouwd die een functie uitvoert wanneer er aan specifieke voorwaarden wordt voldaan. Dit wordt niet altijd gebruikt voor

73

Basiskennis Beveiliging van Informatie kwaadaardige doeleinden. Zo kan een programmeur code inbouwen die (gevoelige) bestanden verwijderd wanneer ze het bedrijfsnetwerk verlaten. Virussen en wormen bevatten vaak logic bombs, daarbij is er meestal sprake van een ingebouwde vertraging van de uitvoering van het virus of de verspreiding van de worm Maatregelen: Maak bij belangrijke software voor kritische bedrijfssoftware gebruik van bijvoorbeeld een code review door een andere partij.

f) Spyware Definitie: Deze omschrijving wordt gebruikt voor computerprogramma’s die informatie verzamelen over een computergebruiker en deze info doorsturen naar een externe partij. Het doel daarvan is om geld te verdienen. Hier gaat het dus nadrukkelijk niet om software die schade aan de PC en/of de geïnstalleerde software veroorzaakt, maar om een privacyprobleem. Spyware is soms op een aantal mogelijke manieren te herkennen, bijvoorbeeld: De computer is trager dan anders Er draaien programma’s op de computer die je niet zelf gestart hebt of niet eerder gezien Er zijn settings op de computer aangepast en er draaid bijvoorbeeld een toolbar (werkbalk) in de Internet Explorer die er eerst niet was, en deze toolbar is ook niet te verwijderen. Er verschijnen bij het openen van webpagina’s en op willekeurige momenten allerlei pop-up schermen Maatregelen: Er zijn scanners die het register scannen naar verdachte registersleutels en de op de werkplek geinstalleerde software naar aanwijzigingen voor spyware. Somd kunnen anti-virus programma’s ook spyware herkennen. Een andere maatregel is het gebruik van een personal firewall om verdacht netwerkverkeer te detecteren. Zorg ervoor dat het onderwerp spyware behandeld wordt in een bewustwordingscampagne, medewerkers moeten bewust worden vreemde vragen in e-mails, met name die aanzetten tot acties als bijvoorbeeld doorzenden van de Hoax. Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures

g) Botnets / Stormworm Sinds januari 2007 wordt het internet geteisterd door de Storm worm, een zogenaamde botnet die volgens verschillende schattingen tussen de 1 en 50 miljoen computers heeft Geïnfecteerd. Er wordt een vergelijking gemaakt met het Trojaanse paard, waarvan de symptomen eerst nauwelijks zichtbaar zijn, maar wanneer onbehandeld, zeer ernstige gevolgen kan hebben. Storm worm is dan ook de toekomst van malware. Het is geduldig, en daardoor moeilijk te detecteren en analyseren. Het werkt als een mierenkolonie, waardoor er geen centrale command en control server is, maar een netwerkverbinding tussen duizenden besmette Pc’s wordt opzet. Hierdoor hebben gedesinfecteerde machines geen gevolgen

74

Basiskennis Beveiliging van Informatie voor het botnet. Storm worm veroorzaakt verder geen schade of belasting van de host, zodat gebruikers niet weten dat ze geïnfecteerd zijn. Het aantal e-mails met links naar virtuele postkaarten of YouTube-films met een poging om de StormWorm te verspreiden, neemt in hoog tempo toe. Op 15 augustus 2007 was er zelfs een heuse 'pandemie' toen 600.000 e-mails in amper 24 uur werden verstuurd. Op die manier ontwikkelt zich het StormWorm-botnet dat onderhand op 1,8 miljoen besmette computers over de hele wereld wordt geschat. Hoewel de berichttekst en titel van een lokbericht voor de StormWorm continu veranderen, bevat de e-mail steeds een eenvoudig tekstje of HTML-codering met een link naar een IP-adres. Dat IP-adres verwijst naar een andere besmette machine binnen het botnet die de gebruiker onmiddellijk naar een server brengt in een poging om het slachtoffer met een kopie van de Trojaanse StormWorm te besmetten. De reden dat StormWorm zo'n succes is: de servers die StormWorm verspreiden hercoderen het virusbericht om de dertig minuten, zodat het virus moeilijk door de traditionele anti-virusprogramma's kan worden opgespoord. Dan zou je zeggen: neem die server dan uit de lucht. Immers, elke computer aan het internet heeft toch een IP-nummer en is snel te traceren. Dat is waar, maar de boeven zijn nog sneller: net als bij andere botnets wordt de locatie van de computers waarmee het botnet bediend wordt, beschermd achter een snel wijzigende vorm van adressering met de IP-nummers (voor de kenners: de DNStechniek 'fast flow'). Het gevolg is dat de hosting sites - waar de StormWorm gereed staat - en mailservers - die de lokberichten versturen - moeilijk opgespoord en uitgeschakeld kunnen worden. Als gevolg van de recente StormWorm-activiteiten is het aantal e-mails met een link naar de besmette code in augustus fors gestegen tot 19,5 procent. Dat vertegenwoordigt een toename van maar liefst 19 procent in vergelijking met de cijfers van juli toen het nog om 0,5 procent 'vuile' e-mail ging. Verdere analyses van webtrends tonen aan dat het aantal nieuwe verdachte websites dag na dag razendsnel toeneemt. In augustus 2007 werden er elke dag gemiddeld 1.772 nieuwe besmette websites opgespoord en geblokkeerd. In vergelijking met juli maakt dat een dagelijkse toename van 783 websites. h) Rootkit Een rootkit is een set softwaretools die vaak worden gebruikt door een derde partij (meestal een hacker) na toegang te hebben verkregen tot een (computer-) systeem. De rootkit nestelt zich diep in het besturingssysteem, zodat het mogelijk is dat het besturingssysteem instabiel wordt. De rootkit is bijna niet te verwijderen zonder de functie van het besturingssysteem te beschadigen. Grosso modo kunnen rootkits op twee niveaus werken: kernelniveau en gebruikersniveau. Moderne processoren kunnen namelijk programma's in kernelmodus en in gebruikersmodus afhandelen en het onderscheid is wezenlijk: programma's in kernelmodus hebben toegang tot het gehele geheugengebied; toepassingen in gebruikersmodus krijgen specifieke geheugensegmenten toegewezen. Rootkits met kernelstrategieën kunnen dus in het werkgeheugen ongeveer doen wat ze willen. Deze tools hebben de bedoeling om lopende processen, systeem data of bestanden te lezen, wijzigen of beïnvloeden. Een rootkit helpt de indringer toegang te houden tot het systeem, zonder dat de gebruiker hier iets van merkt. Rootkits bestaan voor allerlei besturingssystemen zoals Linux, Solaris, Mac OS en versies van Windows. Rootkits werden bekender in het najaar van 2005, toen ontdekt werd dat platenmaatschappij Sony/BMG rootkits installeerde via hun muziek cd's, om zo een kopieerbeveiliging te installeren. Eind Augustus 2007 kwamen weer rootkits voor in Sony's producten. Deze keer ging het om memorysticks met beveiliging, er werd een rootkit gebruikt om zo betere beveiliging te bieden, helaas

75

Basiskennis Beveiliging van Informatie werd er onvoldoende gekeken naar verdere implicaties bij het toepassen van deze omstreden beveiliging. De beveiliging zou overigens niet door Sony zelf ontwikkeld zijn, maar door het Taiwanese FineArt Technology. Rootkits zijn zeer moeilijk te detecteren, en infecteren het systeem vaak zonder dat de gebruiker dat beseft. Het enige doel van een rootkit is bestanden, netwerkverbindingen, geheugen-adressen en register-ingangen aanmaken en verbergen. Zelfs wanneer de rootkit verwijderd wordt, blijven de wijzigingen door de rootkit aan het systeem gemaakt ongewijzigd en meestal niet - detecteerbaar. M.a.w.: de enige wijze om er geheel zeker van te zijn dat een rootkit verwijderd is, is door het hele systeem opnieuw te formatteren en herinstalleren. Zeer moderne (eind 2006) anti-malware software is tegenwoordig in staat om ook actieve rootkits te detecteren en verwijderen. De benaming rootkit komt uit het UNIX-milieu: met root werd de zgn superuser uit een UNIX-familie aangeduid. In de jaren '80 slaagden hackers erin UNIX-systemen te infiltreren en een achterdeurtje te installeren, die hen toeliet telkens opnieuw met root-rechten de machine over te nemen.

9.4.7 Back-up en restore Het doel van het maken van back-ups of wel reservekopieën is het handhaven van de integriteit en beschikbaarheid van informatie en IT-voorzieningen. Een van de meest vervelende ervaringen met computersystemen is het verliezen van informatie. Om verloren informatie weer te kunnen herstellen is het noodzakelijk een kopie van de originele informatie te hebben, de back-up. Vaak wordt het maken van een back-up gezien als een preventieve maatregel. Het is echter goed om te beseffen dat een back-up eigenlijk een repressieve maatregel is. De gevolgen van het verliezen van informatie worden beperkt door oudere informatie terug te halen. Het is dan ook noodzakelijk om na te denken over het interval waarmee back-ups gemaakt worden. Hoeveel tijd kunnen we ons permitteren om verloren informatie opnieuw te genereren. En de back-up moet regelmatig getest worden. Naast het daadwerkelijk maken en testen van back-ups is het nodig na te denken over hoe met de back-ups wordt omgegaan. Wordt de back-up vanuit een streng beveiligd gebouw meegenomen en in een niet-afgesloten kast neergelegd? Of liggen de back-ups naast de server met de originele data? Gaan de back-ups naar een derde partij en zijn de gegevens dan wel versleuteld? Hoe lang worden back-ups bewaard, voldoet dit aan de wettelijke bewaartermijnen?

9.4.8 Beheer van netwerkbeveiliging Een grote uitdaging in de informatiebeveiliging is dat delen van het netwerk de grens van de eigen organisatie kunnen overschrijden.

In het nieuws De beveiliging van draadloze privénetwerken in Nederland laat sterk te wensen over, want bijna de helft van de onderzochte netwerken gebruikt geen of de eenvoudig te kraken WEP-encryptie. Tijdens de wardrive die Dimension Data uitvoerde werden in totaal 884 draadloze netwerken gescand. Daarbij keek men ook naar de beveiliging van privénetwerken. Maar liefst 18 procent van de draadloze privénetwerken is helemaal niet beveiligd en 28 procent gebruikt WEP (Wired Equivalent Privacy), dat binnen 2 minuten te kraken is. De overige 54% is voorzien van WPA- of WPA2 (WiFiProtected Access). "Hoe veilig je ook denkt dat jouw gegevens zijn als je thuis op de pc aan het werken bent, als je gebruikmaakt van een slecht beveiligd draadloos netwerk, lopen alle privégegevens die je op de 76

Basiskennis Beveiliging van Informatie computer bewaart, gevaar. Hackers kunnen inbreken op het draadloze netwerk en zo alle informatie die op je laptop of pc staat, bekijken. Zo vallen privégegevens als bankrekeningnummers, adressen en foto’s makkelijk in verkeerde handen," zegt een manager van Dimension Data. Bron: www.security.nl

Intranet - een intranet is een privaat netwerk binnen een organisatie. Voor de gebruiker is het net een private versie van Internet. Het primaire doel van een intranet is het elektronisch delen van informatie binnen een organisatie. Tevens kan het gebruikt worden voor teleconferenties en om het elektronisch samenwerken in groepen te faciliteren en stimuleren. Het is mogelijk voor een organisatie om via een publiek netwerk, zoals het Internet, afzonderlijke delen van het intranet aan elkaar te koppelen Door middel van speciale encryptie/decryptie methoden en andere aanvullende veiligheidsmaatregelen wordt de betrouwbaarheid van de overdracht verzekerd. Wanneer een organisatie een gedeelte van haar intranet toegankelijk maakt voor klanten, partners, leveranciers of anderen buiten de organisatie noemt men dat gedeelte een extranet. Extranet - Een extranet is een type computernetwerk binnen een organisatie. Het extranet is verwant aan het intranet. Het doel van een extranet is het beveiligd beschikbaar stellen van bedrijfsinformatie en gegevens aan klanten, partners en leveranciers buiten de organisatie. Bijvoorbeeld: een bedrijf staat klanten toe, via het extranet, rechtstreeks op het bedrijfsnetwerk bestellingen te plaatsen. Een extranet vereist beveiliging en privacy. Hieronder wordt verstaan: het gebruik van een firewall-server; het uitgeven van digitale certificaten of andere methoden van gebruikers authenticatie; encryptie van het verkeer; het gebruik van VPN's (Virtual Private Networks) die over het internet communiceren. VPN - een Virtual Private Network (VPN) maakt gebruik van een reeds bestaand netwerk, doorgaans het internet, om informatiedeling tussen geografisch afgescheiden netwerken mogelijk te maken alsof er een 'eigen' (bedrijfs)netwerk voorzien was. De verzonden data kan goed beveiligd worden waardoor de integriteit, autorisatie en authenticiteit bij het verzenden van de data gewaarborgd blijft. Technisch zijn er tal van protocollen uitgewerkt die deze dienst beschikbaar maken, het bekendste en meest courante protocol vandaag de dag is IPsec.

In het nieuws

Een Australische beveiligingsonderzoeker heeft een ernstig beveiligingslek in een koffiezetapparaat ontdekt, waardoor een aanvaller de smaak en hoeveelheid water per beker kan wijzigen. Ook is het mogelijk om een Denial of Coffee te veroorzaken, zodat een monteur langs moet komen om de machine te repareren. De ernst van het lek wordt vergroot doordat het koffiezetapparaat niet te patchen is. Het probleem ontstaat doordat het apparaat is uit te rusten met een Internet Connection Kit. Via deze kit, te installeren op Windows XP, kan het koffiezetapparaat via de PC met het internet communiceren. Zo kan een gebruiker parameters downloaden om de espresso machine naar eigen smaak te configureren. In het geval van problemen kan een monteur op afstand diagnostische tests uitvoeren en een oplossing geven zonder dat de gebruiker de keuken uit hoeft. 77

Basiskennis Beveiliging van Informatie Onderzoeker ontdekte een manier om het XP systeem dat de software draait op afstand is over te nemen met de rechten van de ingelogde gebruiker. Voor zover bekend zijn er nog geen exploits in het wild verschenen. Bron: www.security.nl

9.4.9 Behandeling van media Onder media wordt alles verstaan waar gegevens op vastgelegd kunnen worden: papier, cd’s, dvd’s, USB-sticks, harde schijven, back-uptapes, blackberries, mobiele telefoons, enzovoort. Het doel van richtlijnen voor het omgaan met media is dat we voorkomen dat waardevolle informatie in verkeerde handen komt met als mogelijke gevolgen: onbevoegde openbaarmaking, wijziging, verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten. De wijze waarop met de media moet worden omgegaan is vaak gekoppeld aan de classificering of rubricering en ligt vast in procedures. Dossiers met gevoelige informatie gaan na de bewaartermijn in de papierversnipperaar of worden vernietigd door een erkend bedrijf. USB-sticks worden leeggemaakt. Een afgeschreven pc wordt niet bij het grof vuil gezet.

In de praktijk We dachten dat een cd-rom onbeperkt houdbaar zou zijn. In werkelijkheid blijkt een groot deel van de zelfgebrande cd’s na twee tot vijf jaar zodanig aan kwaliteit verloren te hebben, dat de meeste data onbruikbaar zijn.

Enkele aandachtspunten: Media moeten op een beveiligde manier worden verwijderd als ze niet langer nodig zijn; Systeemdocumentatie en handleidingen liggen op een beveiligde plaats en worden regelmatig bijgewerkt; Transport van media, die uiteraard goed zijn verpakt, wordt door een erkende koeriersdienst gedaan, die ook let op de juiste fysieke omstandigheden (vocht, temperatuur, elektromagnetische straling).

In het nieuws

Een ziekenhuis in de Amerikaanse staat Utah is een back-up tape met de gegevens van tenminste 2,2 miljoen patiënten verloren. De gegevens betreffen iedereen die de afgelopen 16 jaar in het ziekenhuis is geholpen. Het gaat onder andere om diagnostische gegevens, namen, demografische informatie en andere gegevens. Een transportbedrijf moest de tapes vervoeren, maar een werknemer besloot de tapes in zijn eigen auto mee naar huis te nemen. Daar werden ze uiteindelijk gestolen, waarschijnlijk door een dief die dacht dat het om een geldkoffer ging. De werknemer, die al 18 jaar voor het bedrijf werkte, is inmiddels ontslagen. Bron: www.security.nl

78


9.4.10 Mobiele apparatuur We gebruiken steeds meer mobiele apparatuur die ook steeds meer kan. Het is raadzaam om hiervoor regels op te stellen. Bedenk dat verlies van mobiele apparatuur vaak meer is dan alleen de hardware, er staan ook software en gegevens op mobiele apparatuur. Er komen veel incidenten voor met mobiele apparaten. Laptops worden gestolen vanaf de achterbank van een auto maar ook uit de kofferruimte. Handbagage is vaak duidelijk zichtbaar als laptopdraagtas en dit maakt het dieven gemakkelijk. Deze schade is moeilijk te verzekeren. Laat mobiele apparatuur indien mogelijk in het bedrijf of zorg voor passende opbergmiddelen voor onderweg, gecombineerd met een verzekering. Procedures voor het omgaan met informatie Er moeten procedures zijn voor de opslag van en het omgaan met informatie, om deze te beschermen tegen onbevoegde openbaarmaking of misbruik. De beste methode hiervoor is classificering of rubricering. Een dergelijke regeling die bijvoorbeeld voor de Nederlandse Rijksdienst onder de naam Voorschrift Informatiebeveiliging Rijksdienst, Bijzondere Informatie (VIR-BI) van kracht is zal de volgende onderwerpen moeten dekken: 

De positie ten opzichte van het algemene beveiligingsbeleid van de organisatie;



Hoe, wanneer en onder welke voorwaarden mag geclassificeerde informatie buiten de organisatie gebracht worden;



Welke classificaties of rubriceringen zijn er;



Welke merkingen kunnen in aanvulling op de rubricering gebruikt worden;



Hoe lang is een rubricering geldig;



Wie mag een rubricering toekennen;



Onder welke voorwaarden en door wie kan een rubricering herzien en/of beëindigd worden;



De vertrouwelijkheidseisen aan de hand waarvan het rubriceringsniveau bepaald wordt;



Welke beveiligingsmaatregelen moeten er genomen worden om de bescherming van de vertrouwelijkheid te waarborgen.

In de praktijk

Een jaarlijks terugkerende vraag is: hoeveel dagen voor Prinsjesdag ligt de Miljoenennota op straat?Dit document dat de financiële huishouding van de Staat der Nederlanden voor het komende jaar omvat, is te vergelijken met een jaarrekening van een bedrijf. Het te vroeg bekend worden van een jaarrekening kan leiden tot handel in voorkennis op de beurs en dat is strafbaar. Daarom zal een bedrijf ook alle mogelijke stappen ondernemen om deze informatie tot op het moment van bekendmaking geheim te houden.

9.4.11 Uitwisseling van informatie Om te voorkomen dat informatie terechtkomt bij partijen voor wie deze informatie niet bestemd is, is het van belang om interne en externe afspraken te maken over informatie-uitwisseling. Dit kan informatie-uitwisseling zijn tussen organisaties. Hierin wordt vastgelegd waar de informatie-

79

Basiskennis Beveiliging van Informatie uitwisseling voor bedoeld is en dat partijen zich houden aan het doel van deze uitwisseling. Denk hierbij ook aan de geautomatiseerde uitwisseling van informatie en informatie die op fysieke media (cd-rom, dvd, USB-sticks maar ook papier) staat opgeslagen. Het is noodzakelijk om te voorkomen dat er een vrije uitwisseling van informatie tussen personen in verschillende (elkaar beconcurrerende) bedrijven plaatsvindt, waardoor zij in al hun goedheid en zonder zich te realiseren wat ze doen de concurrentiepositie van het eigen bedrijf aan kunnen tasten. Bewustwording is ook hier een belangrijke beveiligingsmaatregel. Elektronische berichtenuitwisseling Elektronisch berichtenverkeer brengt andere risico’s met zich mee dan communicatie op papier. Daarom dient informatie die elektronisch wordt uitgewisseldop een daarvoor geschikte wijze te worden beschermd. Vooral wanneer informatie via e-mail over het internet wordt verstuurd moet er rekening mee gehouden worden dat die informatie voor hen die daar op uit zijn, gewoon leesbaar is. Bovendien blijven kopieën van de mail soms op servers verspreid over de hele wereld achter. Het internet kiest namelijk niet de kortste weg, maar de snelste weg. De snelste weg van Den Haag naar Leidschendam wil dan nog wel eens via Moskou, Rio de Janeiro, Boston en Londen lopen. Wanneer informatie echt vertrouwelijk is kan deze niet via internet worden verstuurd. Indien het niet anders kan, zorg dan voor een beveiligde verbinding en/of beveiliging van het bericht door middel van encryptie. Systemen voor bedrijfsinformatie Wanneer binnen een bedrijf systemen onderling worden gekoppeld moeten er vooraf procedures worden ontwikkeld en geïmplementeerd om informatie te beschermen tegen onverwachte beveiligingsrisico’s.

In het nieuws

Een Amerikaanse internetprovider heeft per ongeluk de mailboxen van 14.000 klanten gewist. Een softwarefout is de oorzaak. Volgens een woordvoerder is dit nooit eerder gebeurd en zal het ook nooit meer gebeuren. Een woordvoerder van de provider zegt dat er geen mogelijkheid is om de verloren gegane bestanden nog te ‘undeleten' en biedt haar excuses aan. De fout ontstond doordat de provider, die ook kabel en telefoon aanbiedt, inactieve mailaccounts elke drie maanden automatisch verwijdert. Daarbij zijn per ongeluk ook wel actieve accounts vernietigd. Bron: www.computable.nl

Zijn de applicaties separaat voldoende beveiligd, gekoppeld kunnen er plotseling kwetsbaarheden ontstaan in administratie- en boekhoudsystemen waar informatie wordt gedeeld tussen verschillende delen van de organisatie. Ook kunnen er kwetsbaarheden ontstaan bij koppelingen in bedrijfscommunicatiesystemen, zoals het opnemen van telefoongesprekken of telefonische conferenties, vertrouwelijkheid van telefoongesprekken, of het digitaal opslaan van faxen. Wanneer er sprake is van (zeer) vertrouwelijke informatie, dan is het goed te realiseren dat de meeste moderne kantoorprinters, vaak combinatieapparaten met een scanner, fax en kopieerfunctie, voorzien zijn van een harde schijf, waar alle te verwerken informatie op opgeslagen staat. Via een 80

Basiskennis Beveiliging van Informatie speciale applicatie is het mogelijk toegang te krijgen tot die harde schijf en alle data te kopiëren. Bovendien kan een ‘onderhoudsmonteur’ vaak ongemerkt met die harde schijf naar buiten lopen.

In het nieuws

Een Amerikaanse veiligheidsexpert heeft een methode ontdekt om vanaf websites printopdrachten naar netwerkprinters te sturen. De techniek biedt ongekende nieuwe mogelijkheden voor de spamindustrie. Het versturen van tekst naar de netwerkprinter is een koud kunstje. Een potentieel slachtoffer hoeft niets meer te doen dan je site met malafide javascript te openen. Het grootste probleem is het achterhalen van het adres van de netwerkprinter, maar dat wordt opgelost door in de javascript een paar reeksen ip-adressen af te lopen. Door te kijken naar het ip-adres van de bezoeker kan dit tot een relatief klein aantal worden teruggebracht. Eenmaal gevonden is de printer aan de grillen van de spammer overgelaten. Niet alleen simpele teksten, maar ook volledig opgemaakte documenten kunnen geprint worden zonder dat de gebruiker iets doorheeft. "Het is mogelijk om de printerinstellingen te veranderen en zelfs faxen te versturen", zegt de expert. De hacker geeft in een document zelfs nog een paar tips op welke manier kwaadwillenden het lek kunnen gebruiken: "Maak een bannerpagina. Op die manier krijgt elke printopdracht jouw bannerpagina erbij. Dit is een handige manier om je boodschap te verspreiden." De truc is zowel in Firefox als in Internet Explorer mogelijk. Het werkt niet bij printers die direct op de computer zijn aangesloten en niet op het netwerk. Bron: www.computable.nl

9.4.12 Diensten voor e-commerce Wanneer een bedrijf besluit zich als internetwinkel te profileren krijgt het met heel andere risico’s te maken dan wanneer het internet uitsluitend gebruikt wordt om informatie op te zoeken. Diensten voor e-commerce en het gebruik ervan moeten op een goede manier beveiligd zijn. Denk bijvoorbeeld aan veilige betalingstransacties (IDeal, Visa, Mastercard, Paypal), het beschermen van de informatie tegen fraude, duidelijke voorwaarden in contracten, onweerlegbaarheid van aankopen en onbetwistbare prijzen. De vertrouwelijkheid en integriteit van ordertransacties, betalingsinformatie, adresgegevens van de ontvanger en ontvangstbevestiging moeten gewaarborgd zijn en de klant moet er op kunnen vertrouwen dat onbekenden daar geen inzage in krijgen. Denk ook aan maatregelen om de creditcardgegevens af te schermen. Informatie in online transacties moet worden beschermd om onvolledige overdracht, onjuiste routering, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen.

81


In het nieuws Toen een klant van een internetprovider opmerkte dat hij inzage had in een zeer groot bestand dat hij niet kende, heeft hij het gedownload om tot de conclusie te komen dat het alle klantgegevens van een internet provider betrof, zo’n tweeënhalf miljoen in totaal. De beheerder heeft waarschijnlijk een fout gemaakt tijdens het wegschrijven van de back-up met klantgegevens. De klant lichtte de internetprovider hierover in. Toen deze niet reageerde besloot hij zijn ervaringen te delen op een internetforum. "Wat hier gebeurd is, is fout", aldus een woordvoerster van de internetprovider, "Normaal gesproken hoort dit soort meldingen terecht te komen bij ons security-team dat er dan direct mee aan de slag gaat." Conclusies: De eerste fout ligt in de back-upprocedure. De tweede fout ligt in een incidentprocedure die niet gevolgd is, waardoor niet werd gereageerd op de melding. Pas wanneer het kwaad geschied is en de fout in de openbaarheid komt, reageert de provider. In dit geval gaat de ontdekker van de fout gelukkig niet verder dan het te vermelden op een forum. Hij had ook de volledige lijst op internet kunnen publiceren, of de klantgegevens voor marketingdoeleinden kunnen verkopen, waarna de betrokken klanten overspoeld zouden worden met spam.

9.4.14 Openbaar beschikbare informatie Bedrijfsinformatie die op een internetpagina wordt gepresenteerd aan de hele wereld is openbaar, maar moet wel integer zijn en niet gemanipuleerd kunnen worden. Foute informatie zal de reputatie van de organisatie schaden. Het is erg vervelend als je een rekening moet betalen, het banknummer niet meer weet, op de internetsite het bankrekeningnummer opzoekt maar dit blijkt niet te kloppen en het geld wordt overgemaakt naar een ander persoon. Het kan zijn dat de informatie op een openbaar beschikbaar systeem, bijvoorbeeld informatie op een webserver die toegankelijk is via het internet, moet voldoen aan wetten, regels en voorschriften in het rechtsgebied waar het systeem zich bevindt, waar de zakelijke transactie plaatsvindt of waar de eigenaar(s) woont (wonen). Het is ook belangrijk dat bijvoorbeeld programmatuur die beschikbaar wordt gesteld, aan de gebruikerseisen en de veiligheidseisen voldoet. Denk bijvoorbeeld aan de fouten in de aangifteprogramma’s van de belastingdienst.

9.5 Samenvatting We hebben het over beleid gehad. We weten nu dat beleid richting geeft aan de wijze waarop de informatiebeveiliging wordt ingericht. Beleid wordt ook gebruikt om aan de overheid en andere controlerende instanties aan te tonen dat men aan de weten regelgeving voldoet. Het beleid geeft bovendien houvast aan de medewerkers op het moment dat niet duidelijk is of iets wel of niet is toegestaan. We zijn ingegaan op diverse organisatorische maatregelen. Hoe draagt de organisatie het beleid uit. Aan welke regels moeten medewerkers voldoen. We weten nu wat de PDCA-cyclus betekent. De onderdelen van de ISO/IEC 27002 standaard zijn genoemd en daarmee is de samenhang tussen de verschillende aspecten van informatiebeveiliging duidelijk geworden. We hebben uitgelegd wat calamiteiten zijn en hoe we de risico’s bij calamiteiten zoveel mogelijk kunnen beperken, onder andere door ons op calamiteiten voor te bereiden.

82

Basiskennis Beveiliging van Informatie Communicatie- en bedieningsprocessen, testprocedures, eigen beheer of uitbesteding van de ITomgeving zijn besproken. We zijn op de hoogte van malware en hoe we ons daartegen kunnen beschermen. De noodzaak van back-upprocedures zijn besproken. Het beveiligen van het netwerk en media en het uitwisselen van informatie is aan bod gekomen . Met het uitwisselen van informatie kwamen we ook aan bij het onderwerp e-commerce, een wat oudere benaming voor de webwinkel.

9.6 Casus Een nieuwe mobiele telefonieprovider bestormt Nederland. U wordt ingehuurd als beveiligingsfunctionaris. In deze Engelstalig georiënteerde branche mag u zich Chief Information Security Officer (CISO) noemen. U krijgt de opdracht er voor te zorgen dat de klanten via internet hun mobiele telefoniezaken kunnen regelen. Aandacht is vereist voor de privacy van de klant. De klant moet vierentwintig uur per dag zaken kunnen doen, abonnementen kunnen afsluiten en aanpassen, de rekening in kunnen zien, etc. Uw bedrijf biedt de klanten naast mobiele telefonie UMTS/ HSDPA breedbandinternetverbindingen. Het bedrijf garandeert de beschikbaarheid en veiligheid van die verbinding. Hierbij garandeert men een 100% virusvrije verbinding. Om aan te tonen dat uw bedrijf aan alle beveiligingseisen voldoet wil het zich laten certificeren. U dient er zorg voor te dragen dat het management weet wat er gebeurt en tijdig kan reageren wanneer er iets fout gaat. Tevens is het uw verantwoordelijkheid dat het personeel dat in dienst komt betrouwbaar is. In geval van een calamiteit, de diensten moeten immers vierentwintig uur per dag, driehonderdvijfenzestig dagen per jaar, beschikbaar zijn, moeten onmiddellijk vervangende faciliteiten aanwezig zijn. Werk uit hoe u de beveiliging van dit bedrijf op hoofdlijnen uit zult voeren. Kunt u alles bieden wat het bedrijf in zijn folders garandeert?

83


10 Wet- en regelgeving Inleiding Er is in de voorgaande hoofdstukken veel gezegd over het hoe en waarom van informatiebeveiliging. We hebben ons gefocust op de risicoanalyse en een dreigings- en risicoprofiel vastgesteld. Op basis daarvan hebben we fysieke, technische en organisatorische maatregelen genomen. Er zijn maatregelen die niet optioneel zijn, maar verplicht door wetgeving genomen moeten worden. Bij wetgeving gaat het bijvoorbeeld om wetgeving op het gebied van privacy, fiscale wetgeving en financiële regelgeving voor banken en bedrijven. Het eigen beleid van een bedrijf moet ook nageleefd worden. Bij internationaal werkende organisaties is het mogelijk dat het beleid per land aangepast moet worden om aan de nationale (lokale) regelgeving te kunnen voldoen. In een eerder hoofdstuk is de PDCA-cyclus besproken. Een van de onderdelen van die cyclus is de zelfcontrole en de controle door de externe auditor. Dit zijn onderdelen die met de controle op de naleving van interne en externe regelgeving te maken hebben. Dit hoofdstuk gaat in op de naleving van weten regelgeving en op de wijze waarop controle wordt uitgeoefend.

B. 10.1 Naleving van wettelijke voorschriften Ieder bedrijf wil in de eerste plaats zijn eigen bedrijfsdoelstellingen bereiken. Dit betekent het produceren van een bepaald product, het verlenen van bepaalde diensten of bijvoorbeeld het zorg dragen voor de naleving van bepaalde weten regelgeving zoals gebeurt door de politie of bijzondere opsporingsinstanties. Ieder bedrijf heeft zich echter te houden aan de lokale weten regelgeving en aan contractuele verplichtingen. De beveiligingseisen die aan het bedrijf gesteld worden hebben daar een sterke relatie mee. Lokale weten regelgeving staat hier zo beschreven omdat vooral voor internationaal opererende bedrijven het beleid vaak wat globaler wordt opgesteld en de onderliggende beleidsstukken aangepast worden aan de wetgeving die in het land van de vestiging van toepassing is. Vooral op privacygebied kan de wetgeving afwijkend zijn en daarmee ook de wijze waarop met privacygevoelige informatie om moet worden gegaan. Om zeker te weten dat aan de regelgeving wordt voldaan is het daarom altijd belangrijk om advies in te winnen bij plaatselijke juridische adviseurs van de organisatie of bij gekwalificeerde juristen.

C. 10.2 Compliancy Compliancy is een Engelstalig begrip dat steeds vaker gebruik wordt. Van Dale zegt daarover: Volgzaamheid, inschikkelijkheid, meegaandheid, toegeeflijkheid, gehoorzaamheid. Waar het op neer komt is dat een organisatie zowel de interne bedrijfsregelgeving als de wetten van het land en de lokale regelgeving dient na te leven. Soms levert dit conflicten op. Vooral multinationale organisaties hebben te maken met enerzijds het interne beleid om zorg te dragen dat het bedrijf zich met één gezicht naar de buitenwereld presenteert en anderzijds met internationale en lokale regelgeving. Zo liggen de regelgevingen voor privacy binnen de Europese Unie gelijk, maar wijken ze sterk af van wat er in de Verenigde Staten van Amerika is toegestaan.

In de praktijk In Europa is de privacy sterk gewaarborgd. In de Verenigde Staten mag de overheid sinds de

84

Basiskennis Beveiliging van Informatie aanslagen op het World Trade Centre in New York zo ongeveer alles met uw persoonsgegevens vanuit het oogpunt van veiligheid en landsbelang. Anderzijds hanteren de Verenigde Staten, sinds bij het Enron schandaal tienduizenden mensen hun baan verloren en de fraudeurs er met vele miljoenen dollars vandoor gingen, zeer strenge beveiligingsmaatregelen voor beursgenoteerde bedrijven. De zogenaamde Sarbanes-Oxley Act (SOx).

Compliancy gaat dus niet alleen over het voldoen aan weten regelgeving die door overheden wordt opgelegd. Ook interne regels spelen daarbij een rol. Voor informatiebeveiliging is in de afgelopen jaren een wereldwijde standaard ontstaan in de vorm van de eerdergenoemde Code voor Informatiebeveiliging. Ontstaan uit de British Standard BS7799 is deze standaard tot een ISOnormering uitgegroeid en tegenwoordig bekend onder het nummer ISO 27002. Door adoptie van die ISO norm door verschillende andere standaardiseringsinstanties in onder andere de Europese Unie en de NEN is deze standaard in Nederland nu bekend als de NEN-ISO/IEC 27002:2007, waarmee een verregaande standaardisering in beveiligingsmaatregelen voor overheid en bedrijfsleven is verkregen.

10.2.1 Compliancemaatregelen Naar aanleiding van bovenstaande is inmiddels duidelijk geworden dat het maken van intern beleid binnen een organisatie de methode is om compliant te worden. De organisatie dient beleid te maken waarin zij verklaart aan de (nationale en lokale) weten regelgeving te voldoen. Procedures en handreikingen aan de medewerkers maken duidelijk hoe zij in de praktijk die regels moeten toepassen. Risicoanalyses zorgen er voor dat de juiste beveiligingsniveaus worden vastgesteld en de juiste, bij die beveiligingsniveaus passende maatregelsets vastgesteld en geïmplementeerd worden.

10.3 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR) Wanneer een bedrijf software gebruikt moet er nagedacht worden over het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen rusten. De volgende richtlijnen behoren te worden overwogen om materiaal te beschermen dat als intellectueel eigendom kan worden beschouwd: Het publiceren van beleid ten aanzien van de naleving van intellectuele eigendomsrechten, waarin wettig gebruik van programmatuur en informatieproducten wordt gedefinieerd; Programmatuur alleen aanschaffen via bekende en erkende leveranciers om te waarborgen dat er geen auteursrechten worden geschonden; Als er open source wordt gebruikt moet men ook de bijbehorende licentievorm respecteren en naleven; In stand houden van het bewustzijn van het beleid voor bescherming van intellectuele eigendomsrechten, evenals van het voornemen om disciplinaire maatregelen te treffen tegen personeel dat dit beleid schendt; Bijhouden van relevante registers van bedrijfsmiddelen en het identificeren van alle bedrijfsmiddelen met eisen ten aanzien van het beschermen van intellectuele eigendomsrechten. Onder de intellectuele eigendomsrechten vallen auteursrecht op programmatuur of documenten, ontwerprechten, handelsmerken, octrooien en broncodelicenties. Programmatuur waarop eigendomsrechten rusten, wordt doorgaans geleverd op basis van een licentieovereenkomst die de licentievoorwaarden noemt, die bijvoorbeeld het gebruik van de

85

Basiskennis Beveiliging van Informatie programmatuur beperken tot bepaalde machines of het kopiëren beperken tot het maken van backupkopieën.

In de praktijk Het is erg gemakkelijk, als er eenmaal een aantal licenties van een softwarepakket zijn aangeschaft, uit dezelfde voorraad licenties nieuwe pc’s van software te voorzien. Vijf pc’s zijn voorzien van een fotobewerkingspakket en er zijn vijf licenties. Dan komen er twee nieuwe medewerkers bij die ieder een eigen pc krijgen en waar ook het fotobewerkingspakket op wordt geïnstalleerd. Maar er worden geen nieuwe licenties gekocht. Op dat moment zijn er dus zeven pc’s voorzien van hetzelfde fotobewerkingspakket, terwijl er maar voor vijf pc’s licenties betaald zijn. Een andere vorm van schending van het intellectueel eigendomsrecht is het gebruik van een afbeelding waar copyright op rust. Denk bijvoorbeeld aan dat gezellige foldertje over informatiebeveiliging, waar de kluis van Dagobert Duck met al zijn beveiligingsmaatregelen in afgebeeld staat.

10.4 Bescherming van bedrijfsdocumenten Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen. Datzelfde geldt natuurlijk voor contractuele verplichtingen en bedrijfsmatige eisen. Registraties behoren te worden gecategoriseerd naar type, bijvoorbeeld boekhoudkundige registraties, databaserecords, transactielogbestanden, auditlogbestanden en operationele procedures. Bij elk type behoort de bewaartermijn en het type opslagmedium te worden vermeld, bijvoorbeeld papier, microfiche, magnetische of optische opslag. Enige cryptografische sleutels of programmatuur die verband houden met versleutelde archieven of digitale handtekeningen behoren ook te worden bewaard om ontcijfering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties. Er behoort rekening te worden gehouden met de mogelijkheid dat media die voor opslag van informatie worden gebruikt, in kwaliteit achteruit gaan. Procedures voor opslag en behandeling van deze media behoren in overeenstemming met de aanbevelingen van de fabrikant te worden geïmplementeerd. Voor langdurige opslag behoort het gebruik van papier en microfiche te worden overwogen. Waar elektronische opslagmedia worden gekozen, behoren procedures te worden vastgesteld om te waarborgen dat de informatie gedurende de gehele bewaarperiode toegankelijk blijft (leesbaarheid van zowel de media als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingen. Bij de overheid is voor de bescherming van informatie de archiefwet van toepassing. In de archiefwet worden de volgende hoofdonderwerpen behandeld: archief creatie, beheer, vernietiging, overdracht naar het centrale archief, overdracht tussen overheden en toegang tot archieven.

In de praktijk De nieuwste laptops en pc’s worden niet meer met een diskettestation uitgerust. De diskettes van 3 ½” of misschien nog 5 ¼ ”, met data die echt niet verloren mogen gaan, worden in de nabije toekomst wel wat lastig uitleesbaar….

86


10.5 Bescherming van gegevens en geheimhouding van persoonsgegevens De bescherming van gegevens en privacy valt onder de Wet Bescherming Persoonsgegevens (WBP) en de richtlijnen van het College Bescherming Persoonsgegevens (CBP). Daarnaast kunnen contractuele bepalingen met een klant meespelen. Ieder organisatie hoort een beleid te hebben voor de bescherming van persoonsgegevens dat bekend is bij iedereen die persoonsgegevens verwerkt. Naleving van dit beleid en alle relevante weten regelgeving voor gegevensbescherming kan vaak het beste worden bereikt door een verantwoordelijke aan te wijzen, bijvoorbeeld een functionaris die belast is met de bescherming van gegevens en die ondersteuning geeft aan managers, gebruikers en dienstverlenende bedrijven in de uitvoering van hun verantwoordelijkheden op dit gebied. En er moeten natuurlijk technische en organisatorische voorzieningen zijn om persoonsgegevens te beschermen. En belangrijk punt is dat de burger inzagerecht heeft in de over hem/haar geregistreerde gevens. Het is aan te bevelen hiervoor beleid en procedures te hebben.

In het nieuws In Australië is grote ophef ontstaan over het plan van de overheid om een database met de zeer uitgebreide profielen van 480.000 basisschoolscholieren via een intranetapplicatie toegankelijk te maken. De database bevat de informatie van alle scholieren op staatsscholen en bestaat uit foto's, persoonlijke informatie, mogelijke carrière, buitenschoolse activiteiten en de prestaties van de leerling. Ouders maken zich niet alleen zorgen over de privacy van hun kinderen, maar ook over de mogelijkheid dat pedofielen toegang tot de database krijgen. En die zorg is volgens een informatica professor terecht. "Mensen zullen proberen in te breken. Daar twijfel ik geen moment aan." Scholieren die de verplichte informatie niet geven, kan toegang tot het onderwijs geweigerd worden, aldus de Minister van Onderwijs. Die laat weten dat ouders zich geen zorgen over hackende pedofielen hoeven te maken. "Het is geen Facebook dat we hier hebben gemaakt." De minister gaat niet in op de aantasting van de privacy, die veel verder gaat dan bij veel sociale netwerksites het geval is. De eerste fase van de database moet in december gereed en toegankelijk zijn en bevat dan rapporten, contactgegevens, aanwezigheidsinformatie, het gedrag van de scholier, wat hij of zij later wil worden en het contact met de ouders. Bron: www.security.nl

10.6 Voorkomen van misbruik van IT-voorzieningen Een van de zaken die de directie in het informatiebeveiligingsbeleid moet vastleggen is de wijze waarop de IT-voorzieningen binnen de organisatie gebruikt mogen worden. Gebruik van deze voorzieningen voor niet-zakelijke doeleinden zonder toestemming van de directie of voor enig onbevoegd doel behoort te worden beschouwd als onoorbaar gebruik van de voorzieningen. Indien enige ongeautoriseerde activiteit wordt gesignaleerd door middel van controle of anderszins, behoort deze activiteit onder de aandacht te worden gebracht van de desbetreffende manager om te overwegen of disciplinaire en/of juridische maatregelen kunnen worden getroffen. Er zijn natuurlijk twee kanten aan een dergelijke bepaling. Als eerste dient de organisatie volledig te voldoen aan de bepalingen die hierboven genoemd zijn met betrekking tot het juiste gebruik van 87

Basiskennis Beveiliging van Informatie licenties; alleen legale software gebruiken en de regels rond intellectueel eigendom naleven. Anderzijds mag men van de medewerkers verwachten dat zij de aan hen beschikbaar gestelde ICTvoorzieningen niet zullen misbruiken. In veel organisaties is inmiddels een gedragscode in gebruik waarin de rechten en plichten van de werkgever en de werknemers op dit gebied nader geregeld zijn. Zo mag er vaak, mits het werken er niet onder lijdt, ook voor privédoeleinden getelefoneerd en geïnternet worden. Wat dan meestal expliciet verboden wordt is het downloaden van muziek, films en software, het bezoeken van seksueel getinte sites. Ook worden er aan het gebruik van e-mail voorwaarden gesteld. De werkgever heeft het recht hierop te controleren. Dat kan steekproefsgewijs, of juist heel gericht wanneer er een sterke verdenking van misbruik door bepaalde personen bestaat. Voorwaarde is wel, dat de medewerkers op de hoogte zijn dat deze controlemaatregelen uitgevoerd kunnen worden. Bij het invoeren van dergelijke controlesystemen is het verstandig vooraf juridisch advies in te winnen en de ondernemingsraad (OR) te raadplegen. Op het gebied van wetgeving is er ook nog de wet computercriminaliteit. Deze wet is in 2006 aangepast. Het opzettelijk en wederrechtelijk binnendringen in computer systemen is strafbaar, zelfs als de systemen geen beveiliging bevatten. Ook het onbruikbaar maken van computersystemen met bijvoorbeeld ‘denial of service attacks’ is aangescherpt in deze herziening. Een denial of service is een methode waarbij een informatiesysteem, bijvoorbeeld een website, overvoerd wordt met aanvragen zodat deze de stroom niet kan verwerken en uitvalt. Botnets, netwerken van aan elkaar gekoppelde computers, worden gebruikt voor dit soort aanvallen.

In het nieuws Een 18-jarige student van een High School die het systeem "hackte" en zijn cijfers aanpaste, moet mogelijk 38 jaar de gevangenis in. Hij wist met het wachtwoord van zijn docent op het cijfersysteem in te loggen en de uitslag van onder andere een examen, waar hij wegens afkijken een onvoldoende voor had gekregen, aan te passen. Volgens de openbare aanklager zou de student ook in de school hebben ingebroken en toen de cijfers van 12 andere studenten hebben gewijzigd. Tevens installeerde hij spyware op de schoolcomputers zodat hij ook vanaf ander locaties toegang kon krijgen. Tijdens de inbraken die hij tussen 23 januari en 20 mei van dit jaar pleegde, wijzigde hij ook de uitslagformulieren. Zo veranderde hij cijfers en de data, waardoor de cijfers op papier met die van het systeem overeenkwamen. De zaak kwam pas aan het rollen toen hij een kopie van de formulieren vroeg om beroep aan te tekenen tegen een beslissing van de Universiteit van Californië, waar hij wegens zijn slechte cijfers was geweigerd. Docenten ontdekten het verschil tussen de cijfers en waarschuwden justitie, waarna een onderzoek werd ingesteld. De student werd aangeklaagd wegens het stelen van publieke gegevens, computerfraude, inbraak, identiteitsdiefstal, heling en samenzwering. Een andere student die met hem samenwerkte, hangt drie jaar cel boven het hoofd. De school gaat maatregelen nemen om herhaling in de toekomst te voorkomen. Bron: www.security.nl

10.7 Naleving van beveiligingsbeleid en -normen Informatiebeveiliging is een getrapte verantwoordelijkheid. De directie heeft en houdt altijd de eindverantwoordelijkheid. Zij kunnen echter het lijnmanagement de verantwoordelijkheid voor de uitvoering en naleving van het beleid opleggen. Managers moeten daarom regelmatig (laten)

88

Basiskennis Beveiliging van Informatie beoordelen of de informatieverwerking binnen hun verantwoordelijkheidsgebied voldoet aan het geldende beveiligingsbeleid, beveiligingsnormen en andere beveiligingseisen.

10.8 Controlemaatregelen Tot slot komt dan de interne en/of externe auditor controleren of de organisatie wel aan de regels voldoet. De auditor doet dit door te kijken of de maatregel bestaat. Staat deze in het beleid, wordt deze in de praktijk uitgevoerd en functioneert de maatregel zoals bedoeld?

In de praktijk Een organisatie heeft de ISO/IEC 27002 standaard ingevoerd. Eén van de beveiligingsmaatregelen is een wachtwoordbeleid. In het beleid staat dat om toegang tot de kantoorautomatisering te krijgen een wachtwoord van 8 tekens moet worden gebruikt. Het wachtwoord mag geen Nederlands woord zijn. Het moet bovendien minimaal 1 hoofdletter en 1 cijfer of leesteken bevatten. De auditor kijkt naar de opzet: Ja, het staat in het beleid. De auditor kijkt naar het bestaan: Ja, de systeembeheerder heeft de vereiste regels ingevoerd. De auditor kijkt naar werking: Hij voert zelf diverse wachtwoorden in die niet aan de gestelde eisen voldoen. Wordt het wachtwoord geaccepteerd dan is de werking niet correct. Kan alleen een wachtwoord ingevoerd worden dat aan de eisen van het beleid voldoet, dan is de werking van de maatregel correct.

10.9 Audits van informatiesystemen Het uitvoeren van audits brengt altijd risico’s voor het productieproces van een organisatie met zich mee. De auditoren halen vaak op het moment dat het productieproces loopt, informatie uit de systemen. Dit heeft altijd effect op de rekenkracht van de computers omdat deze extra taken te verwerken krijgen. Het is daarom belangrijk ervoor te zorgen dat de audit geen storing veroorzaakt. Het is dan ook niet gewenst dat bijvoorbeeld een derde partij of een klant nog eens hetzelfde laat onderzoeken. Voor dit doel kan de auditor een Third Party Mededeling (TPM) afgeven. Deze door een onafhankelijke IT-auditor afgegeven verklaring geeft aan in hoeverre de noodzakelijke maatregelen in opzet, bestaan en werking hebben gefunctioneerd.

10.10 Bescherming van hulpmiddelen voor audits van informatiesystemen De hulpmiddelen voor systeemaudits, bijvoorbeeld programmatuur of gegevensbestanden, behoren te worden gescheiden van ontwikkelingssystemen en productiesystemen en behoren niet te worden opgeslagen in magneetbandbibliotheken of gebruikersruimten, tenzij hiervoor aanvullende beschermingsmaatregelen van een geschikt niveau zijn getroffen. Indien derden bij een audit zijn betrokken bestaat het risico dat de audithulpmiddelen en de informatie waartoe toegang is verkregen door deze derde partij worden misbruikt. Maatregelen zoals het beperken van toegang tot alleen die systemen waarin de auditor voor zijn onderzoek moet zijn, een geheimhoudingsverklaring en beperking van de fysieke toegang kunnen worden overwogen om dit risico aan te pakken, en alle daaruit voortvloeiende maatregelen zoals het onmiddellijk wijzigen van de wachtwoorden die aan auditoren zijn bekendgemaakt. Tenslotte blijft na alles wat besproken is het volgende altijd van kracht: hoe sterk een organisatie haar beveiliging ook geregeld heeft … de beveiliging is zo sterk als de zwakste schakel!

89


10.11 Samenvatting In dit hoofdstuk hebben we ten slotte de rol van weten regelgeving besproken. Wetgeving bestaat voor fiscale zaken, privacy, maar ook voor zakendoen. Naast lokale wetgeving hebben we te maken met buitenlandse regelgeving zoals de Sarbanes-Oxley Act die er voor zorgt dat een Nederlandse bank alleen op de beurs in Wallstreet zaken kan doen, als zij aantoont aan deze Amerikaanse regelgeving te voldoen. We hebben gezien dat standaarden zoals de ISO/IEC 27002 helpen bij het naleven van weten regelgeving. Intellectuele eigendomsrechten van anderen dienen net zo goed beschermd te worden als de eigendommen van de organisatie. Als een bedrijf tonnen, misschien wel miljoenen gestoken heeft in de ontwikkeling van een product, dan wil het natuurlijk niet dat een ander het ongevraagd kopieert en voor een lage prijs aanbiedt. Tenslotte is er de audit, waarin we kunnen aantonen dat we aan de eisen voor de beveiliging van de informatie voldoen.

10.12 Casus Incasso BV is een groot incassobureau dat de inning van achterstallige betalingen voor een groot aantal klanten regelt. Incasso BV is als eenmanszaak begonnen en in de loop der jaren uitgegroeid tot een bedrijf met een vijftal vestigingen in de Benelux. Het bedrijf heeft zestig medewerkers in dienst. Incasso BV biedt, op bescheiden schaal, ook bancaire diensten. In verband met de uitgebreide weten regelgeving wordt u ingehuurd om er zorg voor te dragen dat informatiebeveiliging op basis van de ISO/IEC 27002 standaard geïmplementeerd wordt. U zoekt uit welke weten regelgeving hier geldt en werkt op basis hiervan het beleid uit. Tot slot dient u er voor te zorgen dat de naleving van bovenstaande zaken aantoonbaar ingeregeld is wanneer een externe audit uitgevoerd wordt. Beschrijf wat u moet doen om het juiste beveiligingsniveau te bepalen. Welke beveiligingsmaatregelen moeten globaal uitgevoerd worden? Hoe toont u aan de auditoren aan dat uw bedrijf zijn zaken op orde heeft? Met welke van overheidswege opgelegde regelgeving heeft u zoal te maken?

90

Basiskennis Beveiliging van Informatie. Dit boek is geschikt als studieboek voor het ISFS examen van de EXIN

Recommend Documents