CSIRT Vanuit een IT-audit perspectief
Datum Status Betreft Team Afstudeerders
: : : : :
Begeleider
:
Maart 2008 Definitief Referaat Postgraduate IT-audit opleiding 812 E. den Bak (9981216) R. Schaap (9981286) Dr. P.H.A.M. Frijns
Colofon ‘CSIRT vanuit een IT-audit perspectief’ Het doel van dit onderzoek is het ontwerpen van een referentiekader voor oprichters en auditors van een CSIRT. De eindverantwoordelijkheid voor de inhoud van dit rapport ligt bij de auteurs.
Scriptie Deze scriptie is geschreven in het kader van de afronding van de postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam.
Begeleider Vrije Universiteit Amsterdam Dr. P.H.A.M. Frijns
Bedrijfscoach E. Krom
Auteurs E. den Bak R. Schaap
Datum Amsterdam, maart 2008
Maart 2008
Woord vooraf Voor u ligt onze afstudeerscriptie ter afronding van de postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Deze scriptie is het resultaat van een leerzaam, interessant en soms moeizaam traject, uitgevoerd van november 2007 tot en met maart 2008. Tijdens het schrijven over ons onderwerp hebben wij inzichten opgedaan over hoe in de praktijk wordt omgegaan met informatiebeveiliging en de maatregelen die daarbij worden getroffen. Wij hopen met deze scriptie dan ook een bijdrage te leveren aan het IT-audit vakgebied. Voor wie kan dit rapport een waarde hebben? Dit rapport is bedoeld voor het management van organisaties en IT-auditors, die dit rapport als handreiking kunnen gebruiken bij de opzet en toetsing van een zogenaamd CSIRT. Voor (mede)studenten en docenten van de IT-audit opleiding aan de Vrije Universiteit van Amsterdam kan dit rapport dienen als referentiemateriaal om het inzicht in de auditaspecten van een CSIRT te vergroten. Dankwoord Bij het tot stand komen van deze scriptie hebben diverse personen hun medewerking verleend en zonder hun bijdragen was het schrijven van deze scriptie niet mogelijk geweest. Een woord van dank is dan ook zeker op zijn plaats. Vanuit de Vrije Universiteit is de heer Pieter Frijns aangewezen als onze afstudeerbegeleider. Wij danken hem voor de ideeën, het doorlezen van de stukken en de begeleiding bij het afstudeertraject. Op deze plaats willen we graag ook onze bedrijfscoach Erik Krom bedanken voor de inhoudelijke bijdrage aan het eindresultaat in de vorm van adviezen en aandachtspunten. Ook bedanken wij de (gast)docenten voor de colleges van de afgelopen jaren die hebben bijgedragen aan het verbreden van onze vakkennis en de geïnterviewden voor hun praktische toelichting op het onderwerp van deze scriptie. Tenslotte willen we onze ouders, partners, collega’s en vrienden bedanken voor de ondersteuning tijdens de studie en bij het schrijven van deze scriptie. Amsterdam, maart 2008 Erwin den Bak Rob Schaap
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
3 van 61
Maart 2008
Samenvatting In het uitgevoerde onderzoek staat het onderwerp CSIRT centraal. CSIRT staat voor Computer Security Incident Response Team en richt zich op de beveiliging van IT systemen. CSIRT is een groep van mensen die verantwoordelijk is voor het afhandelen van beveiligingsincidenten en het oplossen daarvan. Een CSIRT kan ook betrokken zijn bij het bepalen, implementeren en uitvoeren van preventieve maatregelen. Dit is mede afhankelijk van de organisatievorm waarvoor wordt gekozen. Het opzetten van een CSIRT kan worden gezien als één van de beheersmaatregelen ten behoeve van de informatiebeveiliging binnen de onderneming. Vanuit het doel van de informatiebeveiliging, namelijk het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade in het bedrijf, komen we op de (generieke) doelstelling van een CSIRT: Het bijdragen aan het behalen van het gewenste beveiligingsniveau als een voorwaarde voor een betrouwbare bedrijfsvoering en het minimaliseren van bedreigingen en schade als gevolg van pogingen tot het binnendringen tot de systemen door onbevoegden. CSIRT kan een veelvoud van diensten aanbieden en kan in verschillende organisatorische rollen voorkomen. Op basis van een risicoanalyse vanuit het onderwerp informatiebeveiliging binnen de organisatie, kan een keuze worden gemaakt in de aan te bieden diensten en de organisatorische rol. Om de opzet van een CSIRT te ondersteunen en een bestaand CSIRT te kunnen beoordelen, is in het onderzoek een opzet gemaakt voor een referentiekader. De opbouw van het referentiekader is onderverdeeld in een viertal onderdelen te weten het CSIRT audit werkprogramma en de randvoorwaardelijke aspecten gezien vanuit een organisatorisch, juridisch en technisch standpunt. Het referentiekader is tot stand gekomen na het bestuderen van de literatuur, het interviewen van collega’s die betrokken zijn bij het organiseren van informatiebeveiliging binnen hun onderneming en het gebruik maken van de aanwezige kennis vanuit de postgraduate IT-audit opleiding. Het generieke karakter van het referentiekader brengt echter ook beperkingen met zich mee. Enerzijds is het referentiekader te uitgebreid als gevolg van het feit dat elk operationeel CSIRT een keuze maakt in de uit te voeren diensten en de plaats binnen de organisatie, anderzijds te beperkt aangezien de diepgang en de toepassing van het referentiekader slechts per organisatie bepaald kan worden. Het referentiekader is toegestuurd aan geïnterviewden die hun opmerkingen hebben geplaatst, zowel vanuit de theorie als de betreffende praktische omgeving van informatiebeveiliging. De belangrijkste opmerking vanuit de praktijk is dan ook geweest dat bij de opzet van het referentiekader de goede uitgangspunten zijn opgenomen, de vermelde doelstellingen en randvoorwaarden redelijk volledig zijn en voldoende aandacht is geschonken aan de praktische diepgang, zonder in details te verzanden. MAAR De praktische toepassing van het referentiekader zal in de praktijk getoetst moeten worden. Na deze toetsing zal een oordeel over de toepasbaarheid van het referentiekader gedaan kunnen worden. Hierbij zullen onderwerpen als de soort organisatie, de verleende diensten vanuit een CSIRT én de taken, verantwoordelijkheden en bevoegdheden van een CSIRT, bepalend zijn. Dit is dan ook de nieuwe uitdaging, uit te voeren in een mogelijk vervolgonderzoek.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
4 van 61
Maart 2008
INHOUDSOPGAVE Colofon Woord vooraf Samenvatting
HOOFDSTUK 1 INLEIDING .................................................................................................... 6 1.1 Achtergrond ............................................................................................................................. 6 1.2 Probleemstelling ...................................................................................................................... 6 1.3 Doelstelling en centrale vraagstelling ...................................................................................... 7 1.4 Onderzoeksdeelvragen ........................................................................................................... 7 1.5 Beperkingen ............................................................................................................................ 7 1.6 Werkwijze ................................................................................................................................ 7 1.7 Leeswijzer ............................................................................................................................... 8
HOOFDSTUK 2 BEGRIPSBEPALING ....................................................................................... 9 2.1 Informatiebeveiliging (IB)......................................................................................................... 9 2.2 Het ontwikkelen van gestructureerde IB-beheersmaatregelen ...............................................10 2.3 CSIRT ....................................................................................................................................11
HOOFDSTUK 3 GEHOUDEN INTERVIEWS .............................................................................. 16 3.1 Doel interviews .......................................................................................................................16 3.2 Bevindingen vanuit interviews ................................................................................................17
HOOFDSTUK 4 REFERENTIEKADER CSIRT ......................................................................... 18 4.1 Inleiding ..................................................................................................................................18 4.2 Beschrijving van het referentiekader ......................................................................................18 4.3 Gebruiksaanwijzing voor de toepassing van het referentiekader ............................................29
HOOFDSTUK 5 VERANTWOORDING REFERENTIEKADER ........................................................ 30 5.1 5.2 5.3 5.4 5.5
Inleiding ..................................................................................................................................30 Belangrijkste reacties vanuit de praktijk .................................................................................30 Toelichting op de verschillen tussen de theorie en praktijk .....................................................31 Toelichting op de gemaakte keuzes tussen theorie en praktijk ...............................................32 Conclusie over de waardering van de auditaspecten .............................................................32
HOOFDSTUK 6 CONCLUSIES EN AANBEVELINGEN ................................................................ 33 6.1 Beantwoording van de onderzoeksdeelvragen .......................................................................33 6.2 Slotconclusie en aanbeveling .................................................................................................35
HOOFDSTUK 7 TENSLOTTE ................................................................................................ 36 7.1 Reflectie .................................................................................................................................36 7.2 Wat hadden we anders gedaan als we geweten hadden wat we nu weten? ..........................36 7.3 Toegevoegde waarde .............................................................................................................36
BIJLAGE A. BIJLAGE B. BIJLAGE C. BIJLAGE D. BIJLAGE E. BIJLAGE F.
GERAADPLEEGDE LITERATUUR .................................................................. 37 AFKORTINGEN .......................................................................................... 39 KWALITEITSBEGRIPPEN............................................................................. 40 TABELLEN ............................................................................................... 41 CSIRT AUDIT WERKPROGRAMMA............................................................... 42 GESPREKSVERSLAGEN ............................................................................. 49
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
5 van 61
Team 812
Maart 2008
Hoofdstuk 1
Inleiding 1.1 Achtergrond Als afsluiting van de postgraduate IT-audit opleiding aan de Vrije Universiteit van Amsterdam hebben wij een onderzoek uitgevoerd naar Computer Security Incident Response Teams (CSIRT). De scriptie heeft als onderwerp “CSIRT vanuit een IT-audit perspectief”. Het idee voor de scriptie is ontstaan uit het feit dat de bedrijfsvoering binnen organisaties in toenemende mate afhankelijk is van de geautomatiseerde informatievoorziening en het nemen van maatregelen ter voorkoming van de aantasting van de beschikbaarheid, integriteit en exclusiviteit van die informatievoorziening van groot belang is. Immers het niet tijdig beschikbaar zijn van informatie of met kwade opzet gewijzigd zijn van informatie, kan veel persoonlijke - en bedrijfsschade tot gevolg hebben. Ook het niet onderkend in verkeerde handen komen van vertrouwelijke informatie kan de samenleving grote schade berokkenen. Het definiëren van beheersmaatregelen kan worden beschouwd als goed uitgangspunt voor het implementeren voor informatiebeveiliging. Enkele tot de gebruikelijke behorende beveiligingsmaatregelen zijn: • Het opstellen van informatiebeveiligingsbeleid; • Het formaliseren van verantwoordelijkheden en bevoegdheden; • Het proces van bewustmaking van informatiebeveiliging, inclusief opleiding en training; • Technische beheersmaatregelen in en rond de aanwezige informatiesystemen. Een aanvullende maatregel is het beheer van beveiligingsincidenten door middel van de introductie van een CSIRT.
1.2 Probleemstelling Er is een toenemend belang van CSIRT activiteiten waarneembaar. Onduidelijk is echter wat CSIRT exact inhoudt en binnen welke kaders CSIRT activiteiten moeten worden uitgevoerd. Deze onduidelijkheden leiden tot praktische problemen en onduidelijkheden voor CSIRT medewerkers (bijvoorbeeld: wat mag ik wel en wat mag ik niet?). Maar ook voor auditors die gevraagd worden een oordeel te vellen over de opzet en werkwijze van CSIRT leidt deze onduidelijkheid tot uitvoeringsvraagstukken (hoe moet ik het auditonderzoek uitvoeren?, welk referentiekader moet ik hanteren? etc.). Belangrijke onderwerpen bij de opzet en werkwijze van een CSIRT zijn: • Wat is de invulling van het praktische werkterrein van het CSIRT? • Welke aandacht wordt gegeven aan: 1. Het toetsen in hoeverre het CSIRT binnen hun normen is gebleven; 2. De organisatorische plek en aansturing; 3. Taken, bevoegdheden en verantwoordelijkheden; 4. Kwaliteitseisen zoals vertrouwelijkheid, integriteit en controleerbaarheid. En hoe wordt hier een invulling aan gegeven? • Wat mag een CSIRT wel/niet zelfstanding en/of überhaupt niet? • Waarvoor hebben ze toestemming nodig en wie moet die toestemming verlenen? • Wat is de acceptatie van het CSIRT binnen de organisatie?
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
6 van 61
Team 812
•
Maart 2008
Wat is het referentiekader waarbinnen de IT-auditor een CSIRT kan beoordelen, met als doel het opzetten van een CSIRT en het aanreiken van een toetsingsinstrument?
De vraag die hierbij dan ook gesteld kan worden, is in hoeverre het mogelijk is een referentiekader te ontwikkelen voor auditors en adviseurs die betrokken zijn bij het opzetten en beoordelen van CSIRT organisaties.
1.3 Doelstelling en centrale vraagstelling Bij het onderzoek in deze scriptie staat de volgende vraag centraal: Hoe kan vanuit een IT-audit perspectief een praktische ondersteuning en invulling worden gegeven aan de opzet en beoordeling van een CSIRT? Een onderdeel van de vraagstelling is tevens het vaststellen welke bestaande wet- en regelgeving en/of raamwerken van toepassing zijn.
1.4 Onderzoeksdeelvragen 1. Wat is een CSIRT? a. Wat doet een CSIRT? b. Welke organisatorische typen CSIRT’s kunnen worden onderkend? c. Welke soort diensten levert een CSIRT? d. Met welke organisatorische, technische en juridische voorwaarden heeft het CSIRT te maken? 2. Hoe is het referentiekader ingericht welke door een IT-auditor kan worden gebruikt voor het uitvoeren van een audit van een CSIRT of welke de organisatie kan gebruiken voor de opzet van een CSIRT? a. Welke aspecten zijn opgenomen in het referentiekader? b. Hoe kunnen deze aspecten worden toegepast? 3. Is het ontwikkelde instrument toepasbaar?
1.5 Beperkingen Ten aanzien van de uitvoering van het onderzoek zijn de volgende beperkingen opgenomen: • In het onderzoek vormt de relatie tussen een CSIRT en CERT geen object van onderzoek; • De feitelijke werking van de uitvoeringsorganisatie van CSIRT is buiten beschouwing gehouden; • Er is alleen onderzoek verricht naar de CSIRT organisatie en de geldende procedures, dus geen uitputtend onderzoek naar technische infrastructuren; • Eventuele uitbestede CSIRT-activiteiten zijn buiten beschouwing gehouden; • De praktische werking van het ontwikkelde referentiekader is niet onderzocht.
1.6 Werkwijze Bij de beantwoording van de onderzoeksvragen is in dit onderzoek gebruik gemaakt van literatuuronderzoek en empirisch onderzoek. Op het gebied van het begrip CSIRT is momenteel veel informatie voorhanden. Deze informatie is terug te vinden in bekende gepubliceerde literatuur in boekvorm, maar ook op het internet is inmiddels veel beschikbaar. De literatuurstudie heeft er o.a. toe geleid een antwoord te kunnen geven op de eerste onderzoekvraag “Wat is CSIRT?”. Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
7 van 61
Team 812
Maart 2008
Onze aanpak is gericht op het doorlopen van de volgende processtappen: 1. Begripsbepaling CSIRT en de inzet van een CSIRT; 2. D.m.v. een literatuurstudie onderzoeken naar een opzet van de benodigde beheersmaatregelen; 3. Het houden van interviews met medewerkers van organisaties die een CSIRT hebben, met als doel het vaststellen van de werkwijze van een CSIRT bij die organisaties; 4. Het opzetten van een referentiekader t.b.v. de opzet en een audit van een CSIRT; 5. Het verantwoorden van het referentiekader door een terugkoppeling met de geïnterviewden.
1.7 Leeswijzer Onderstaand overzicht geeft weer in welke hoofdstukken de afzonderlijke onderzoeksdeelvragen worden beantwoord: Hoofdstuk 2, Begripsbepaling In dit hoofdstuk wordt een begrippenkader beschreven dat de basis vormt voor deze scriptie. Hiermee wordt de eerste deelvraag beantwoord. Het begrippenkader geeft in hoofdlijnen weer wat een CSIRT is, wat het doet, welke typen CSIRT’s kunnen worden onderkend en welke diensten zij leveren. Hoofdstuk 3, Gehouden interviews In dit hoofdstuk worden de geïnterviewde personen genoemd. Tevens zijn de belangrijkste aspecten opgenomen die tijdens de interviews naar voren zijn gekomen en een rol hebben gespeeld bij de totstandkoming van het referentiekader. Hoofdstuk 4, Referentiekader CSIRT Het resultaat van het literatuuronderzoek, de verkregen inzichten en de opgedane kennis alsmede de resultaten van de praktijkinterviews hebben geleid tot de beantwoording van de tweede deelvraag namelijk het opstellen van een referentiekader CSIRT. Hoofdstuk 5, Verantwoording referentiekader Op basis van het opgestelde referentiekader en toetsing door referenten, wordt in dit hoofdstuk antwoord gegeven op de derde en laatste onderzoekvraag door de toepasbaarheid van het instrument te belichten. Hoofdstuk 6, Conclusies en aanbevelingen Dit hoofdstuk gaat in op de beantwoording van de onderzoeksdeelvragen en de centrale vraagstelling van dit onderzoek. Tevens worden er enkele aanbevelingen gedaan. Hoofdstuk 7, Tenslotte In dit afsluitende hoofdstuk wordt teruggeblikt op het onderzoek, de opleiding en onze persoonlijke leerervaringen naar aanleiding van het onderzoek.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
8 van 61
Team 812
Maart 2008
Hoofdstuk 2
Begripsbepaling In dit hoofdstuk wordt het begrip informatiebeveiliging nader toegelicht, hoe in de dagelijks praktijk met informatiebeveiliging (IB) wordt omgegaan en wanneer gesproken wordt over een (informatie) beveiligingsincident. Vervolgens worden de maatregelen, die samenhangen met informatiebeveiliging, geïnventariseerd. Tenslotte wordt één van de maatregelen, namelijk de opzet van een CSIRT, toegelicht. Schematisch kan de relatie tussen deze onderwerpen als volgt worden geschetst: Informatiebeveiliging Maatregelen ten behoeve van Informatiebeveiliging CSIRT Het doel van de beveiliging is het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade in het bedrijf. Hierbij zijn o.a. te noemen beveiligingsbeleid vastleggen, fysieke beveiliging, toegang – beveiliging, het “organiseren” van beveiliging etc. ÉN
Het opzetten en het operationeel laten werken van een team van mensen in het geval dat de maatregelen niet adequaat werken en dus een beveiligingsincident optreedt.
2.1 Informatiebeveiliging (IB) Informatiebeveiliging wordt vaak onderscheiden naar de volgende gebieden: 1. Externe beveiliging: Beheersingsmaatregelen in het kader van gebruik van internettechnologie; 2. Interne logische beveiliging: Toegangsbeveiliging; 3. Interne fysieke beveiliging: Beveiligingsmaatregelen van o.a. gebouwen en technische apparatuur. In het onderzoek is de externe beveiliging in ogenschouw genomen. Externe beveiliging staat de laatste jaren extra in de belangstelling, vooral als gevolg van de ontwikkelingen in de digitale economie. Particulieren en organisaties communiceren elke dag op de digitale snelweg, waarbij vele vertrouwelijke gegevens over en weer worden gestuurd. Dit zijn vaak gegevens die van uitzonderlijk belang zijn bij zowel de organisaties als de particulieren. Derden kunnen dan ook erg geïnteresseerd zijn in deze gegevens.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
9 van 61
Team 812
Maart 2008
Op beveiligingsgebied is dan ook een aantal ontwikkelingen waar te nemen die van invloed zijn op het gebied van de Externe Beveiliging: • Verhoging van het beveiligingsbewustzijn binnen de organisatie en de maatschappij; • Het eenduidig beleggen van een autoriteit op het gebied van Informatie (Beveiligings) Management; • Eenduidigheid voor het centrale punt binnen de organisatie waar de routes voor risicobeheersing en calamiteiten beginnen én eindigen; • Samenwerking zowel nationaal als internationaal op het gebied van informatiebeveiliging. Beveiliging wordt niet meer gezien als een noodzakelijk kwaad op het moment dat er beveiligingsincidenten optreden, maar wordt gezien als een structureel onderdeel van de gehele IT- Beheer organisatie. Een voorbeeld van een verhoogde aandacht voor veilig internetten e.d. is de Waarschuwingsdienst van de overheid (http://www.waarschuwingsdienst.nl). Dit is een gratis dienst van de Nederlandse overheid. Waarschuwingsdienst.nl is een bron van informatie over veilig internetten en geeft voorlichting en adviezen over computerbeveiliging. Daarnaast waarschuwt deze dienst tegen computervirussen, wormen en beveiligingslekken in software en probeert op deze manier beveiligingsincidenten tegen te gaan. Een beveiligingsincident kan het beste worden omschreven als een gebeurtenis of het constateren van een gebeurtenis, die een bedreiging vormt of kan gaan vormen voor de vertrouwelijkheid, beschikbaarheid en/of integriteit van gegevens in de beschreven geautomatiseerde systemen binnen de organisatie. Dit kan worden veroorzaakt door o.a. SPAM, virussen, wormen, hacking, malware, etc. Om de impact van beveiligingsincidenten te kunnen verminderen, is een mix van beveiligingsmaatregelen nodig voor de detectie, preventie, repressie en correctie van deze incidenten. De maatregelen moeten zowel technisch als organisatorisch van aard zijn, zoals wordt beschreven in de Code voor Informatiebeveiliging die als best practice door veel organisaties wordt geïmplementeerd.
2.2 Het ontwikkelen van gestructureerde IB-beheersmaatregelen In paragraaf 2.1 is het toenemende belang van informatiebeveiliging beschreven. Toch lezen we dagelijks in de media dat met name de externe informatie beveiliging van een aantal gerenommeerde ondernemingen niet altijd waterdicht blijkt te zijn. Enkele voorbeelden: • Elektronisch bankieren niet 100% veilig, banken eisen veilige computer; • Gegevens verzekerden bij zorgverzekeraar CZ op straat; • Beschikbaarheid van www.postbank.nl: Nu even niet beschikbaar! Ook berichten over beveiligingsincidenten zoals virusaanvallen, het inbreken op bedrijfsnetwerken en onvoldoende beveiliging van bedrijfsinformatie zijn regelmatig in het nieuws.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
10 van 61
Team 812
Maart 2008
Wat doen de bedrijven zelf hier dan tegen? Natuurlijk is het belang van informatiebeveiliging altijd al een belangrijk onderwerp geweest bij het ontwerpen en inrichten van de geautomatiseerde systemen binnen de organisatie. Informatiebeveiliging is gebaseerd op de drie beveiligingscriteria vertrouwelijkheid, beschikbaarheid en integriteit. Beveiliging van informatie is belangrijk omdat men zich bewust moet zijn van het feit dat geautomatiseerde systemen kwetsbaar zijn, zeker wanneer er sprake is van externe communicatie. Het is dan ook van essentieel belang dat een organisatie zijn beveiligingsbehoeften bepaalt. Hiervoor kunnen drie hoofdbronnen worden aangewezen: 1. Beoordeling van de risico’s van de organisatie, rekening houdend met de bedrijfsstrategie en bedrijfsdoelstellingen van de organisatie; 2. Wet– en regelgeving en contractuele eisen waaraan de organisatie en bij de organisatie externe betrokkenen aan moeten voldoen; 3. Visie op informatieverwerking en informatiebeveiliging van de organisatie zelf. Het specifieke onderwerp informatiebeveiliging is dan ook vaak belegd binnen de IT–(Beheer)organisatie. In grotere organisaties worden vaak aanvullende maatregelen getroffen om incidenten en kwetsbaarheden van de systemen op een aanvullende wijze intern te behandelen. Een van de maatregelen die worden getroffen is de opzet c.q. inrichting van een zogenaamd CSIRT = Computer Security Incident Response Team.
2.3 CSIRT CSIRT staat voor Computer Security Incident Response Team en wordt veelvuldig gebruikt als synoniem voor de beschermde term CERT, Computer Emergency Response Team. Andere synoniemen die worden gebruikt zijn: • IRT (Incident Response Team); • CIRT (Computer Incident Response Team); • SERT (Security Emergency Response Team). Een CSIRT is een groep van mensen die verantwoordelijk is voor het laten afhandelen van beveiligingsincidenten en het oplossen daarvan. Een CSIRT kan ook betrokken zijn bij het bepalen, implementeren en uitvoeren van preventieve maatregelen. Dit is mede afhankelijk van de organisatievorm waarvoor wordt gekozen. De diensten van een CSIRT worden over het algemeen uitgevoerd voor een gedefinieerde klantgroep. In de meeste gevallen zijn dit de business – en IT-afdelingen van de eigen organisatie. Het is niet altijd noodzakelijk om een CSIRT op te richten. De taken vanuit informatiebeveiliging kunnen ook in de bestaande IT–Beheerorganisatie worden opgenomen. Dit is mede afhankelijk van de omvang van de organisatie, het gewenste niveau van informatiebeveiliging en de diensten die in het kader van informatiebeveiliging verricht worden.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
11 van 61
Team 812
Maart 2008
Missie en doelstelling van een CSIRT De missie en doelstelling voor een CSIRT zijn afhankelijk van diensten die een CSIRT aanbiedt en de organisatorische plaats in de organisatie. In de praktijk zijn er dan ook vele doelstellingen van een CSIRT aanwezig. Op basis van het handboek CSIRT van de Carnegie Mellon University is voor de volgende (generieke) doelstelling gekozen: Het bijdragen aan het behalen van het gewenste beveiligingsniveau als een voorwaarde voor een betrouwbare bedrijfsvoering en het minimaliseren van bedreigingen en schade als gevolg van pogingen tot het binnendringen tot de systemen door onbevoegden. Uit het voorgaande is gebleken dat de redenen om te starten met een CSIRT divers zijn. Er is dan ook een aantal voordelen, maar ook nadelen te noemen voor het oprichten van een CSIRT. Voordelen: • Preventie en coördinatie door een apart ingericht team verhoogt de snelheid waarmee beveiligingsincidenten kunnen worden gelokaliseerd en opgelost; • Voor beveiligingsgerelateerde vragen, opmerkingen en beveiligingsincidenten is er één centraal aanspreekpunt; • Risicovermindering bij gebruik van informatie via aansluiting bij (inter)nationale netwerken van CSIRT’s; • Kennisdeling door het aan de aangesloten leden beschikbaar stellen van verzamelde adviezen en best practices. Naast de genoemde voordelen zijn er ook enkele nadelen aanwezig: • Een CSIRT kan als bedreiging worden gezien in de organisatie van reeds aanwezige incident teams of helpdesks; • Welke diepgang van onderzoek is uiteindelijk noodzakelijk om resultaten op te leveren en hoe wordt hierbij omgegaan met persoonsgegevens? • Het opzetten van een CSIRT brengt een initiële investering met zich mee zowel qua personele bezetting als apparatuur. Door het toenemende aantal beveiligingsincidenten, de veranderende wetgeving (o.a. Sarbanes–Oxley (SOX) en privacy wetgeving) en het idee dat informatiebeveiliging meer proactief werken verlangt, is er steeds meer behoefte binnen een organisatie om de beveiligingsincidenten op een adequate manier te behandelen. Gevolgen van het niet adequaat handelen zijn o.a. imago schade, geen beschikbaarheid van services en wetsovertredingen. Om aan deze gevolgen het hoofd te bieden, is met name bij grotere organisaties een sterke behoefte en drang aanwezig om binnen de organisatie een verantwoordelijkheidsgebied op te richten, waar de incidenten op het vlak van de informatiebeveiliging centraal worden gelokaliseerd, gerapporteerd, gecoördineerd, behandeld en afgehandeld. Welke diensten worden door een CSIRT aangeboden? De meest voorkomende diensten, in de theorie én praktijk, die door een CSIRT kunnen worden aangeboden, zijn in tabel 1 opgenomen. Afhankelijk van de beschreven missie en doestellingen van het CSIRT en de vraag vanuit de klanten (intern en extern) zal een keuze worden gemaakt.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
12 van 61
Team 812
Maart 2008
Reactieve diensten worden op afroep uitgevoerd door een gebeurtenis of verzoek, virusmelding, vaststellen ongeoorloofde toegang etc. De reactieve functie wordt vaak vergeleken met de brandweerfunctie, dus reageren op een bepaalde gebeurtenis. Proactieve diensten leveren assistentie en informatie voor de geautomatiseerde informatiediensten met als doel het veiligstellen van de vertrouwelijkheid, integriteit en beschikbaarheid van systemen en netwerken. Hoofddoel is het voorkomen van beveiligingsincidenten en het verminderen van het effect van beveiligingsincidenten wanneer deze zich dan toch manifesteren. Beveiligingsbeheer en diensten beveiligings - kwaliteit ondersteunen bestaande bedrijfsprocessen en functioneren onafhankelijk van incidentbeheer. Reactieve diensten
Proactieve diensten
Beveiligingsbeheer en diensten beveiligings kwaliteit Risico – analyse uitvoeren
Alarmeren en waarschuwen
Mededelingen en waarschuwingen communiceren
Incident coördinatie Afhandeling en coördinatie kwetsbaarheden Afhandeling en coördinatie besmettingen Begeleiding forensisch onderzoek
Technologische bewaking Beveiligingsaudits – of onderzoeken
Beveiligingsadvies Calamiteiten – en continuïteitsanalyse
Analyse van beveiligings – middelen, applicaties en infrastructuur Intrusion en detection diensten ontwikkelen
Beveiligingsbewustwording bevorderen Educatie en opleiding verzorgen Certificeren van o.a. applicaties
Tabel 1 – Voorbeeld aanbod van CSIRT diensten
Op basis van de praktijk is waar te nemen dat met name de primaire taak van een CSIRT incidentbehandeling en –coördinatie is, waaronder de volgende activiteiten vallen: • Het nemen van maatregelen ter bescherming van de betreffende systemen of netwerken; • Het leveren van oplossingen en/of schade beperkende maatregelen; • Het zoeken naar inbreuken; • Het filteren van netwerkverkeer; • Het herstellen, patchen of opnieuw opbouwen van systemen; • Het vastleggen van incident gerelateerde gegevens; • Het onderzoeken van storingen.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
13 van 61
Team 812
Maart 2008
De rollen en de organisatorische plaats van een CSIRT Voordat een overzicht wordt gepresenteerd van de verschillende mogelijkheden van een organisatorische inrichting van een CSIRT, is het goed om een aantal van de aanwezige formele nationale en internationale samenwerkingsverbanden in beeld te brengen. Elk land heeft zijn eigen NREN, wat staat voor National Research Education Netwerk. Binnen deze NREN is vaak sprake van een TF (Taskforce) actief, die specifieke onderwerpen op het gebied van informatiebeveiliging bespreekt. De NREN’s zijn in Europa bij elkaar gebracht binnen het TERENA (Trans European Research Education Netwerk Association). De doelstelling van TERENA is het creëren van een forum om de samenwerking, innovatie en kennisuitwisseling te bevorderen op het gebied van het gebruik van de internettechnologie, technische infrastructuur en diensten, in gebruik bij de aangesloten leden. De Nederlandse vertegenwoordiger in TERENA is SURFnet B.V. SURFnet B.V. maakt deel uit van de SURF organisatie, waarin Nederlandse universiteiten, hogescholen en onderzoeksinstellingen nationaal en internationaal samenwerken aan innovatieve ICT-voorzieningen. Wereldwijd zijn de verschillende CSIRT’s georganiseerd in het Forum for Incident Response and Security Teams (FIRST). De doelstelling van FIRST is in eerste instantie de gelegenheid te geven om binnen het Forum incidenten, reactief en proactief, op een effectieve manier te behandelen. Dit wordt o.a. bereikt door het organiseren van bijeenkomsten, waar de reacties op bestaande incidenten wordt besproken maar ook nieuwe bedreigingen worden geanalyseerd en uitgewerkt. Rollen Er zijn meerdere (organisatorische) rollen mogelijk voor een CSIRT: Beveiligingsteam Veelal wordt er bij een beveiligingsteam op ad hoc basis personeel uit de lijn “weggehaald”. Deze rol wordt vaak toegepast bij het “kleinere” MKB. Formeel is er dus geen sprake van een CSIRT of een vergelijkbaar team met een formeel mandaat. Intern gedecentraliseerd CSIRT Het team is verspreidt over de organisatie en/of geografische locaties. De toepassing zien we vaak bij grotere bedrijven waar de verantwoordelijkheid voor IT diensten is gesplitst over organisatiedelen en/of geografische locaties. Intern gecentraliseerd CSIRT Het team is centraal actief, veelal in gebruik bij grotere bedrijven waar de verantwoordelijkheid voor IT-diensten is gecentraliseerd. Coördinatie CSIRT Eigenlijk een incidentenafhandelingsteam, waarbij de beveiligingsincidenten niet alleen worden gecoördineerd maar vaak ook in samenwerking met de “lijn” worden opgelost en toekomstige herhaling voorkomen wordt. Om een keuze mogelijk te maken voor één van de organisatiemodellen, moet vooraf een expliciete keuze worden gemaakt welke diensten het team gaat aanbieden hoe de samenwerking met de bestaande IT–organisatie vorm wordt gegeven, de volwassenheid en de ervaring van de lokale IT-afdelingen en welke mandaat het CSIRT verkrijgt.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
14 van 61
Team 812
Maart 2008
De organisatorische plaats Het antwoord op de vraag: “Op welke wijze moet invulling worden gegeven aan de relatie tussen CSIRT en de IT–organisatie?”, kan alleen maar worden beantwoord indien duidelijk is vastgesteld op welke wijze CSIRT in het organigram is opgenomen. Aspecten die hierbij een belangrijke rol spelen zijn het mandaat van CSIRT, flexibiliteit, kennisdeling en volwassenheid van de bedrijfsprocessen c.q. organisatie. De volgende twee situaties komen vaak voor in de praktijk: 1. CSIRT is onderdeel van de IT–organisatie; 2. De twee instanties opereren naast elkaar. De discussie over de taken en bevoegdheden van beide instanties, levert vaak de start van een verbeterproces op, zodanig dat de IT–organisatie zich meer richt op het duurzaam inrichten van taken als security management, incidentmanagement en changemanagement, terwijl CSIRT vaak veel meer puur operationeel bezighoudt met het oplossen van plotseling optredende beveiligingsincidenten c.q. -crises. Vanuit de verschillende rollen en de organisatorische plaats van een CSIRT, zal intensieve communicatie moeten plaatsvinden met de huidige organisatie, waarbij aandacht is voor: 1. Communicatie over het bestaan en het mandaat van CSIRT in de organisatie; 2. De verdeling van de taken binnen de organisatie in de situatie dat er zowel een IT–beheer organisatie als een CSIRT aanwezig is; 3. Informatievoorziening over opgetreden beveiligingsincidenten zowel richting de eigen interne organisatie als extern, naar vakorganisaties of derden. Het bestaan alsmede het efficiënt en effectief functioneren van een CSIRT is sterk afhankelijk van onvoorwaardelijke steun van het topmanagement van de organisatie inclusief een commitment van de IT–Beheer organisatie. Indien deze belangrijke voorwaarde is vervuld, is er een taak weggelegd voor het CSIRT. Hierbij moet CSIRT zelf aangeven welke taken en verantwoordelijkheden binnen de organisatie aanwezig moeten zijn en de verdeling hiervan tussen de IT–Beheer organisatie en CSIRT. Voor wat betreft de voorwaarden over het rapporteren van incidenten zijn een aantal richtlijnen beschikbaar waarvan één van de belangrijkste de “Incident Reporting Guidelines” van de internationale CERT–organisatie is. Exchange the knowledge is the answer !! Tenslotte aandacht voor het gebruik van grote hoeveelheden data door een CSIRT. Om de oorspronkelijke missie van een CSIRT, het hoofd bieden aan onverwachte beveiligingscrises, mogelijk te maken, maakt CSIRT gebruik van veel gegevens, zoekt zij bewust naar verdwenen gegevens, vraagt gegevens op in beschikbare logboeken en fixeert gegevens om verdere manipulatie van deze gegevens te voorkomen. Essentieel voor het ongestoord en geautoriseerd verrichten van de beschreven diensten door een CSIRT, is het beschrijven van een juridisch kader. Dit juridische kader behoeft niet uitputtend te zijn, maar zal wel de juridische grenzen beschrijven voor het uitvoeren van vooraf gedefinieerde diensten, die het CSIRT verricht. Helaas zijn de juridische grenzen niet altijd duidelijk te omschrijven en zijn interpretaties op basis van de Jurisprudentie altijd aanwezig. Dit ontslaat het CSIRT of zijn/haar management er niet van een juridisch kader op te stellen door professionals die zowel de taal van de jurist als die van het CSIRT spreken. In geval van onduidelijkheden of twijfelgevallen, zullen deze professionals ter beschikking moeten staan om de specifieke situatie op wettelijke aspecten te toetsen en te beoordelen.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
15 van 61
Team 812
Maart 2008
Hoofdstuk 3
Gehouden interviews 3.1 Doel interviews Het doel van de interviews is om van de partijen die betrokken zijn bij de opzet en beoordeling van een CSIRT te vernemen welke aspecten van belang zijn. Dit geeft vervolgens inzicht in de praktijksituatie. Het begrippenkader en de gehouden interviews hebben geleid tot een verbeterd beeld van de verschillende oplossingsmogelijkheden voor de opzet van een referentiekader CSIRT. De geïnterviewden hebben in de rol van referent vervolgens een reactie gegeven op het toegestuurde referentiekader, welke uiteindelijk heeft geleid tot een definitief kader. Hiervoor zijn gesprekken gevoerd met mensen die betrokken zijn op de verschillende niveaus, dus zowel op strategisch -, tactisch - als op operationeel niveau. Met de volgende personen zijn interviews gehouden: Naam Mw. L. El Mhamdi Dhr. J. van Zessen Dhr. J. Schuurman Dhr. P. Kornelisse Dhr. M. Koek Dhr. M. van der Heide Dhr. S. McIntyre Dhr. W. Hafkamp
Functie Juriste Senior Manager Consultant Security Officer en voorzitter van SURFcert Director IT Advisory Coördinator Security Audits Security Officer Security Officer Programmamanager Informatiebeveiliging
Organisatie Ministerie van Defensie - DTO Ministerie van Defensie SURFnet KPMG Fox - IT KPN Internet Solutions XS4All Internet B.V. Rabobank
Tabel 2 – Lijst met geïnterviewden
Om inzicht te krijgen in het begrip CSIRT, wat ze doen en welke aspecten van belang zijn, zijn aan de geïnterviewden de volgende onderwerpen voorgelegd: • •
• •
Kennismaking met de geïnterviewde en diens betrokkenheid binnen de organisatie; Wat is CSIRT? a. Wat doet CSIRT? b. Achtergrond van de organisatie waarbinnen CSIRT actief is; c. Structuur, organisatie en ophanging van CSIRT; d. Gehanteerde procedures en protocollen; e. Taken, rollen en diensten van CSIRT; f. Samenstelling CSIRT; g. Communicatie met en door CSIRT; h. De acceptatie van CSIRT binnen de organisatie; Verschillen tussen overheid en commerciële sector; Wat ziet u als belangrijkste aspecten van een referentiekader t.b.v.: a. Medewerkers die betrokken zijn bij de opzet van een CSIRT en b. Auditors die betrokken zijn bij de toetsing van een CSIRT.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
16 van 61
Team 812
Maart 2008
De gehouden interviews hadden over het algemeen een open karakter. De bovenstaande onderwerpen zijn weliswaar gebruikt om structuur aan de interviews te geven, maar toch is voldoende ruimte gelaten voor de eigen inbreng van de geïnterviewden.
3.2 Bevindingen vanuit interviews Uit de verschillende gehouden interviews is een aantal bevindingen naar voren gekomen waarvan de belangrijkste hieronder kort zijn samengevat. De volledige interviewverslagen zijn terug te vinden in bijlage F. De verslagen en de bevindingen hebben geholpen bij het opstellen van het referentiekader zoals in het volgende hoofdstuk wordt beschreven. • • • • • • • • • • • •
Voer een risicoanalyseproces uit voordat een CSIRT actief wordt; De CSIRT-leden dienen adequate kennis en vaardigheden te hebben zowel op het technische, communicatieve als het management – inhoudelijke vlak. Vanuit het hoger management dienen de juiste mandaten goed en duidelijk te zijn opgesteld; De taken, verantwoordelijkheden en bevoegdheden dienen te zijn uitgewerkt; Er dient een goede vertrouwensrelatie te zijn tussen het CSIRT en de IT-Beheersorganisatie; De communicatie met de IT-Beheersorganisatie en de gebruikersgroepen dient goed te worden verzorgd; Het uitwisselen van kennis binnen het CSIRT, met de IT- Beheerorganisatie, de gebruikers en met de vakorganisaties moet geregeld zijn; Toetsing van de afhandeling van beveiligingsincidenten en calamiteiten; De continuïteit en beschikbaarheid van het CSIRT dient te worden gewaarborgd (denk aan het personele verloop en het wegvallen van kennis); Op welke wijze is de vertrouwelijkheid van de gegevens van derden gewaarborgd; Attentie voor de juridische kant vooral ook bij het verkrijgen van informatie t.b.v. de bewijslast; Het hebben van een instrument voor het meten van de effectiviteit en efficiency van het team.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
17 van 61
Team 812
Maart 2008
Hoofdstuk 4
Referentiekader CSIRT 4.1 Inleiding Dit hoofdstuk beschrijft de resultaten van het onderzoek die hebben geleid tot het opstellen van een referentiekader. In dit hoofdstuk staat de tweede centrale onderzoeksvraag centraal: Hoe is het referentiekader ingericht welke door een IT-auditor gebruikt kan worden voor het uitvoeren van een audit van een CSIRT of welke de organisatie kan gebruiken voor de opzet van een CSIRT? Het referentiekader is ontstaan op basis van de bestudeerde literatuur en empirische gegevensverzameling. De gehouden interviews en de terugkoppeling van de geïnterviewden op het referentiekader zijn in het instrument verwerkt. Bij het opstellen van het referentiekader zijn afwegingen en keuzes gemaakt ten aanzien van de opgenomen beheersmaatregelen. Een toelichting op de gemaakte keuzes en afwegingen is opgenomen in hoofdstuk 5. In paragraaf 4.2 zijn de aandachtspunten opgenomen die samen het referentiekader vormen. Tevens wordt de onderlinge samenhang van de opgenomen categorieën toegelicht. Paragraaf 4.3 geeft kort weer hoe het referentiekader kan worden toegepast.
4.2 Beschrijving van het referentiekader In deze paragraaf volgt een beschrijving van het totale referentiekader als instrument. De samenstelling en -hang van de verschillende categorieën worden kort toegelicht alsook de waardering die per controlemaatregel van het audit werkprogramma kan worden gegeven. Samenstelling en samenhang Het totale referentiekader zoals dat in dit hoofdstuk wordt beschreven, is samengesteld uit een aantal categorieën, te weten: • • • •
CSIRT audit werkprogramma; Organisatorische randvoorwaardelijke aspecten; Juridische randvoorwaardelijke aspecten; Technische randvoorwaardelijke aspecten.
Het CSIRT audit werkprogramma vormt hierbij het voornaamste onderdeel, maar mag niet los worden gezien van de andere categorieën. Om ervoor te zorgen dat het instrument een toegevoegde waarde levert aan de organisatie of auditor is het van belang dat bij de opzet of audit van een CSIRT naar de onderlinge samenhang van de categorieën wordt gekeken. Bij het niet toepassen van alle categorieën bij de oordeelsvorming, bestaat het risico dat een beperkt beeld wordt gevormd met betrekking tot de status van het CSIRT. Voorafgaand aan een beschrijving van de verschillende categorieën van het referentiekader wordt eerst toegelicht welke kwaliteitsaspecten een rol hebben gespeeld bij de totstandkoming van het referentiekader.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
18 van 61
Team 812
Maart 2008
Kwaliteitsaspecten Op basis van de bestudeerde literatuur en de empirische gegevensverzameling zijn de risico’s geïnventariseerd en gerelateerd aan kwaliteitsaspecten. De aandachtspunten die vanuit de interviews naar voren zijn gekomen zijn mede bepalend geweest bij het vaststellen welke kwaliteitsaspecten van belang zijn. Hieronder worden de van toepassing zijnde kwaliteitsaspecten kort beschreven: • Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT processen; • Continuïteit: de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben; • Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd1. Diensten In het referentiekader zijn alleen aspecten opgenomen, die van toepassing zijn op een beperkt aantal diensten die door een CSIRT geleverd kunnen worden. Dit referentiekader kan dus niet als een volledig referentiekader worden beschouwd. De basis voor het referentiekader heeft betrekking op de volgende drie diensten van een CSIRT: • Coördinatie van beveiligingsincidenten (incident response); • Voorlichting; • Advies; Coördinatie van beveiligingsincidenten Deze primaire dienst dient altijd geleverd te worden. Zonder deze taak zou een CSIRT zichzelf eigenlijk geen CSIRT mogen noemen. Coördinatie van beveiligingsincidenten houdt in: het oprichten en operationeel houden van een meldpunt voor beveiligingsincidenten, het coördineren en bewaken van een adequate afhandeling daarvan. Voorlichting Het geven van voorlichting over preventie van incidenten en actuele bedreigingen. Hieronder valt ook het doorgeven van waarschuwingen van andere CSIRT’s. Het delen van kennis met anderen is tevens een belangrijk onderdeel van deze dienst ter bevordering van de kennis en kunde van alle betrokkenen. Daarnaast moet het leiden tot het sneller kunnen afhandelen van beveiligingsincidenten. Advies Advisering ten aanzien van ICT-beveiligingsaspecten en het beveiligingsbeleid. Een CSIRT kan gevraagd en ongevraagd advies uitbrengen om specifieke beveiligingsproblemen te helpen oplossen dan wel verminderen.
1
Definities kwaliteitsaspecten ontleend aan IT auditing aangeduid (NOREA geschrift 1)
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
19 van 61
Team 812
Maart 2008
4.2.1 Het CSIRT audit werkprogramma CSIRT audit werkprogramma
Referentiekader Organisatorische Juridische aspecten aspecten
Technische aspecten
In deze paragraaf wordt het CSIRT audit werkprogramma toegelicht. Per onderdeel wordt kort aangegeven wat daarvan de inhoud is. Het doel van deze paragraaf is om de lezer inzicht te geven in de opzet van het werkprogramma. Om die reden is niet het hele werkprogramma opgenomen, maar slechts een voorbeeld. Het complete werkprogramma is terug te vinden in bijlage E. Het werkprogramma is als volgt opgebouwd: • Audit doelstellingen • Audit scopes • Doelstelling controlemaatregel • Verwacht resultaat • Waardering CSIRT audit werkprogramma/toetsingskader Audit doelstellingen: • • • • •
Het waarborgen dat bedrijfsmiddelen adequaat worden bewaakt en beschermd; Het waarborgen dat beleid en procedures met betrekking tot computerincidenten, inbraakdetectie of noodreactieproces, overeenkomen met standaarden en best practices; Het waarborgen dat noodzakelijke middelen worden ingezet om computerincidenten of inbraakpogingen te kunnen voorkomen of detecteren en dat medewerkers adequaat zijn opgeleid; Het waarborgen dat rollen en verantwoordelijkheden van primaire functies die zijn betrokken bij het reageren op computerincidenten, inbraakpogingen of noodgevallen zijn ontwikkeld en gecommuniceerd binnen de organisatie; Het waarborgen dat computer beveiligingsincidenten, inbraakpogingen en noodgevallen worden geëscaleerd naar het van toepassing zijnde managementniveau overeenkomstig standaarden en best practices.
Tabel 3 – CSIRT werkprogramma audit doelstellingen
De bovenstaande doelstellingen geven dus aan welke audit doelstellingen door middel van de te controleren maatregelen dienen te worden gewaarborgd.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
20 van 61
Team 812
Maart 2008
CSIRT Audit werkprogramma/toetsingskader Audit Scope: A. B. C.
D. E.
F.
Bekijken en evalueren van alle ontwikkelde beleidsdocumenten, procedures en formulieren met betrekking tot computer incidenten, inbraakdetectie of het noodreactieproces; Bekijken en evalueren van het gebruik van het risicoanalyseproces om het computer beveiligingsincident, inbraakdetectie en noodreactieproces te kunnen vaststellen; Bekijken en evalueren van de aanschaf van de inzet van middelen die er voor zijn ontwikkeld om een computer beveiligingsincident of inbraakpoging te kunnen voorkomen en detecteren; Bekijken en evalueren van de gebruikerstrainingen van computer beveiligingsincident en inbraakdetectie programmatuur; Bekijken en evalueren van de rollen en verantwoordelijkheden van primaire functies die betrokken zijn bij het reageren op computer beveiligingsincidenten, inbraakdetectie en noodgevallen; Bekijken en evalueren van het computer beveiligingsincident, inbraak of noodescalatieproces.
Tabel 4 – CSIRT werkprogramma audit scope
Het werkprogramma geeft naast de audit doelstellingen en audit scopes per audit scope aan welke controlemaatregelen behandeld dienen te worden en wat daarvan het verwacht resultaat zou moeten zijn. Nadat voldoende inzicht is verkregen met betrekking tot de behandelde controlemaatregel kan per maatregel een waardering worden gegeven. Onderstaand een voorbeeld van een audit scope met daarbij een voorbeeld van de te behandelen controlemaatregel en het verwacht resultaat. Audit Scope A Bekijken en evalueren van alle beleidsdocumenten, procedures en formulieren m.b.t. computer beveiligingsincidenten, inbraakdetectie of het noodreactieproces om te waarborgen dat deze in overeenstemming zijn met standaarden en best practices. Doelstelling controlemaatregel
Verwacht resultaat
A1. Verkrijg een kopie van alle beleidsen proceduredocumenten die zijn gebruikt bij het documenteren van het computer beveiligingsincident, inbraak of noodreactieproces.
Een recente versie van alle beleiden procedure documenten zou aanwezig moeten zijn.
Waardering (N/B/A/O)
Deze documenten dienen op het hoogste managementniveau te zijn geaccordeerd.
Tabel 5 – Voorbeeld uitwerking CSIRT audit werkprogramma
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
21 van 61
Team 812
Maart 2008
Waardering van de auditaspecten van het werkprogramma Bij het hanteren van het audit werkprogramma kan per controlemaatregel worden aangegeven wat daarvan de status is. In Tabel 6 zijn de vier keuzemogelijkheden opgenomen. Afkorting N B A O
Omschrijving Niet afdoende Behoeft aandacht/verbetering Afdoende Onbekend
Tabel 6 – Waardering van de auditaspecten
Toelichting (N)iet afdoende Bij het toetsen van een controlemaatregel is vastgesteld dat deze niet in afdoende mate aanwezig is. (B)ehoeft aandacht/verbetering Bij het toetsen van een controlemaatregel is vastgesteld dat deze aanwezig is, maar niet afdoende en dus voor verbetering in aanmerking komt. (A)fdoende De getoetste controlemaatregel is aanwezig en voldoet aan de verwachtingen. (O)nbekend De status van de getoetste controlemaatregel is onbekend en kon niet in voldoende mate worden vastgesteld. Het gebruik van het werkprogramma en het geven van een waardering voor elk van de controlemaatregelen heeft niet het doel om een absoluut negatief dan wel positief oordeel te kunnen geven. Het heeft slechts de bedoeling om bij betrokkenen en belanghebbenden van een CSIRT consensus te bereiken over de status van het CSIRT en inzichtelijk te krijgen welke mogelijke risico’s een organisatie loopt t.a.v. de informatiebeveiliging van de betreffende organisatie.
4.2.2 Organisatorische randvoorwaardelijke aspecten CSIRT Audit werkprogramma
Referentiekader Organisatorische Juridische aspecten aspecten
Technische aspecten
In het voorgaande hoofdstuk is het begrippenkader van informatiebeveiliging en CSIRT behandeld ingedeeld naar diensten en activiteiten. Op basis van dat kader wordt in deze paragraaf een referentiekader opgesteld voor de organisatorische, juridische en technische aspecten. Deze referentiekaders stelt een organisatie in staat de status van CSIRT binnen een organisatie vast te stellen. Voor wat betreft de technische aandachtspunten is geen uitputtend onderzoek verricht naar de infrastructuur. Wel is op applicatieniveau nagedacht over enkele mogelijkheden om informatie terug te vinden en veilig te stellen in het geval het vergaren van bewijsmateriaal van belang is. Verantwoordelijkheden, bevoegdheden en taken van een CSIRT Het waarborgen van de beschikbaarheid, integriteit en exclusiviteit van de ICT-infrastructuur binnen een organisatie en de daarin opgenomen informatie vereist een specifieke deskundigheid. Deskundigheid die enerzijds in staat is interne en externe dreigingen te onderkennen en te vertalen in concreet te nemen maatregelen, anderzijds Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
22 van 61
Team 812
Maart 2008
het op effectieve en efficiënte manier reageren op manifest geworden dreigingen en de hieraan gerelateerde incidenten. Deze moeten worden gepositioneerd in een zich continu wijzigend geheel aan ICT-infrastructuurcomponenten, hun individuele instellingen en beheer- en controle maatregelen die daarbij in samenhang zijn in een zich steeds wijzigend dreigingsbeeld. In een CSIRT is de noodzakelijke expertise en ervaring aanwezig om hieraan te kunnen voldoen. Hiermee wordt uiteindelijk bereikt dat: • De verantwoordelijkheid voor het vroegtijdig onderkennen en analyseren van dreigingen op de beschikbaarheid, exclusiviteit en integriteit van de ICT-infrastructuur is toegewezen en belegd binnen een organisatie; • Een gespecialiseerd team is geformeerd dat gevraagd en ongevraagd voorstellen doet over uit te voeren oplossingen in relatie tot beveiligingsrisico’s en daadwerkelijke voorgedane incidenten in de ICT-infrastructuur. Naast het op basis van dreigingsbeelden en risico-inschattingen permanent auditen van de ICT-infrastructuur en het nemen van maatregelen ter voorkoming van het manifest worden van dreigingen is het CSIRT tevens de vraagbaak en adviseur voor de organisatie op het gebied van de informatiebeveiliging. Mandatering CSIRT Het mandaat van een CSIRT wordt binnen een organisatie door de directie bepaald en formeel bekrachtigd. Gezien de ervaringen die zijn opgedaan tijdens de interviews omvat de mandatering standaard de volgende punten: • Het CSIRT verricht haar werkzaamheden aan de hand van de vigerende wet- en regelgeving; • Het CSIRT heeft het mandaat om binnen de organisatie beheerde omgevingen alle noodzakelijke onderzoek- en rapportagewerkzaamheden uit te voeren die in het kader van een CSIRT noodzakelijk zijn, met name het onderzoeken en rapporteren van geconstateerde afwijkingen van het vastgelegde beveiligingsniveau; • Het CSIRT heeft het mandaat om binnen de beheerde omgevingen direct corrigerende acties uit te (laten) zetten in samenspraak met de verantwoordelijke informatiemanager; • Het CSIRT heeft het mandaat om, voor wat betreft alle externe koppelingen, te handelen conform de separaat gedefinieerde regelgeving en instructies; • Het CSIRT heeft geen mandaat voor de zogenaamde opsporingsbevoegdheid. In voorkomende gevallen worden altijd via de directie de geëigende instanties gewaarschuwd, waarna CSIRT hooguit om ondersteuning kan worden gevraagd. Inbedding CSIRT in de organisatie Naast de manier waarop de processen ten aanzien van onderzoek en vastlegging worden ingericht is het ook van belang de betreffende processen op een correcte wijze in te bedden in de organisatie, derhalve de integratie van de CSIRT-organisatie in de bestaande organisatie. Zoals uit het eerder beschreven werkprogramma al is gebleken, zijn voor goed onderzoek en vastlegging van digitaal bewijs veel verschillende specialisaties nodig. Zo is er behoefte aan technisch geschoolde functionarissen voor het onderzoek naar de oorzaken en oplossingen van incidenten, aan functionarissen met kennis van de betreffende bedrijfsprocessen, aan juridische medewerkers en aan informatiebeveiligingsspecialisten.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
23 van 61
Team 812
Maart 2008
Bij de inbedding in de organisatie komt men al snel uit op en zogenaamde matrix-organisatie. Bij een dergelijke organisatievorm worden functionele teams samengesteld uit functionarissen uit de verschillende afdelingen. Gezien de overwegend technisch georiënteerde taakstelling van een CSIRT, zullen de meeste functionarissen uit de reguliere IT-afdeling afkomstig zijn. In onderstaande tabel worden de organisatorische aandachtspunten samengevat, zoals opgenomen in het referentiekader. Nr Organisatorische aandachtspunten 1
De organisatie beschikt over geaccepteerd en door de hoogste leiding geaccordeerd en gecommuniceerd informatiebeveiligingsbeleid.
2
Aan de CSIRT-organisatie zijn door het hoger management de juiste mandaten toegekend voor zowel reguliere taken als voor situaties m.b.t. calamiteiten.
3
De functie informatiebeveiliging is belegd in de organisatie waarbij onderscheid wordt gemaakt tussen werkzaamheden op strategisch, tactisch en operationeel niveau.
4
De werkwijzen van de informatiebeveiligingsfunctie zijn vastgelegd in de vorm van formele procedures en werkinstructies.
5
De organisatie beschikt over een standaard methodiek voor het uitvoeren van risicoanalyses.
6
Voor ieder nieuw informatiesysteem en voor belangrijke aanpassingen aan bestaande informatiesystemen wordt een risico - analyse uitgevoerd.
7
De onderneming heeft een CSIRT-organisatie opgezet, inclusief de richtlijnen en procedures voor escalatie (richting hogere managementniveaus).
8
De CSIRT-organisatie werkt conform een standaard methodiek die is vastgelegd in procedures en werkwijzen.
9
Er is een standaard rapportagestructuur gedefinieerd met betrekking tot beveiligingsincidenten.
10
De organisatie beschikt over een intern- en extern communicatieplan waarin de omgang met beveiligingsincidenten specifiek wordt behandeld.
11
Er wordt voldoende aandacht besteed aan de opleiding van medewerkers.
12
Alle noodzakelijke documentatie (inclusief vakliteratuur) is beschikbaar voor de CSIRT organisatie.
13
De organisatie heeft vastgelegde afspraken gemaakt om in het geval van een calamiteit de bereikbaarheid en beschikbaarheid van betrokken specialisten en expertises te kunnen waarborgen.
14
De CSIRT organisatie beschikt over een geformaliseerd back-up plan.
Tabel 7 – Organisatorische aandachtspunten
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
24 van 61
Team 812
Maart 2008
4.2.3 Juridische randvoorwaardelijke aspecten CSIRT audit werkprogramma
Referentiekader Organisatorische Juridische aspecten aspecten
Technische aspecten
In het kader van dit onderzoek is het niet doenlijk om alle juridische aspecten te behandelen en wordt er dus een afbakening gemaakt. Dit onderzoek handelt over CSIRT’s, het incident response proces en digitaal onderzoek, zodoende worden de meest relevante juridische onderwerpen nader uitgewerkt die hiermee het meeste verwant zijn. Afbakening Het beschouwinggebied wordt afgebakend door de scope te beperken tot handelingen die gepleegd worden met geautomatiseerde middelen. Daarbij wordt ook enige aandacht besteed aan handelingen gepleegd door het eigen personeel, aangezien uit onderzoek is gebleken dat veelal deze doelgroep hierbij betrokken is. Binnen het proces van incident response zijn er onderwerpen die een juridisch karakter kennen o.a. opsporing en afhandeling. Bij het opsporen van incidenten kan de vraag gesteld worden wat het juridische kader is waarmee rekening gehouden moet worden indien bewijsmateriaal verzameld wordt nadat geconstateerd is of vermoed wordt dat een persoon verdachte handelingen heeft gepleegd. Deze vraag is van cruciaal belang omdat onrechtmatig verkregen bewijs door de rechter terzijde wordt gelegd en dus niet wordt meegenomen bij de bewijsopbouw. Dit kan betekenen dat er te weinig bewijs overblijft waardoor de zaak verloren is. Digitaal onderzoek Het onderwerp digitaal onderzoek wordt in de huidige literatuur hoofdzakelijk gepresenteerd als een technisch vakgebied waarin met behulp van tools en operating systeem commando's bepaalde informatie uit systemen wordt geëxtraheerd. In de praktijk blijkt echter dat de puur technische invalshoek van incident response in het algemeen en digitaal onderzoek in het bijzonder te beperkt is. De echte toegevoegde waarde van een goed werkend CSIRT-team en goed incident response proces blijkt in de praktijk te liggen in de integratie van de organisatorische, juridische en technische aspecten die een rol spelen in een dergelijk proces. Digitaal onderzoek kan niet los worden gezien van het incident response proces waarin het is ingebed. In deze paragraaf wordt dan ook een topdown benadering gebruikt waarbij de afhandeling van incidenten vanuit de organisatorische inrichting en processen wordt bekeken. Vanuit de organisatorische invalshoek zullen vervolgens juridische en technische verbijzonderingen worden aangebracht in het referentiekader. Bewijsvergaring In deze paragraaf wordt nader ingegaan op de eerste vraag: welke middelen staan de werkgever ter beschikking om bewijs te verzamelen betreffende een (mogelijk) incident. In een aantal wetten zijn de regels opgenomen die gehanteerd moeten worden om op rechtmatige wijze de handelingen van personen te mogen controleren. De belangrijkste wetten in dit kader zijn de Grondwet, de WOR (Wet op Ondernemingsraden), de Wet Bescherming Persoonsgegevens (WBP) en de Wet Computer Criminaliteit II. In tegenstelling tot de wetgeving in de Verenigde Staten is in de Europese wetgeving de bescherming van de privacy veel stringenter vastgelegd. Zoals reeds gesteld, wordt onrechtmatig verkregen bewijs afgestraft met bewijsuitsluiting. Veelal wordt in dit geval de privacy geschonden. Aangezien het controleren van de handelingen van medewerkers een inbreuk op de privacy kan betekenen (en dus uitmond in onrechtmatig verkregen bewijs) wordt onderstaand eerst ingegaan op de juridische aspecten van het begrip privacy.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
25 van 61
Team 812
Maart 2008
Wet Bescherming Persoonsgegevens De WBP heeft betrekking op persoonsgegevens en bevat voorschriften van dwingend recht wat wil zeggen dat het niet is toegestaan bepalingen in een contract op te nemen die in strijd zijn met de WBP. Dit betekent dat er voor de werkgever vrijwel geen mogelijkheden zijn om eigen beleid te ontwikkelen op de WBP. De WBP is voor digitaal onderzoek met name van belang indien, met behulp van geautomatiseerde systemen, gegevensverzamelingen over personen worden aangelegd en indien er digitaal beeld- en geluidsfragmenten worden opgeslagen. Tevens is de WBP van belang indien er naar aanleiding van een incident een medewerker wordt ontslagen. In sommige gevallen is de reden voor ontslag op staande voet evident. In andere gevallen echter hoeft een afzonderlijk incident niet van een dusdanige zwaarte te zijn dat ontslag op staande voet gerechtvaardigd is. Bij het herhaald voorkomen van incidenten kan dit echter wel het geval zijn. In de jurisprudentie is terug te vinden dat een goede registratie van incidenten noodzakelijk is. Uit de registratie moet blijken om welke incidenten het betrof en dat de betrokkene hiervoor een officiële waarschuwing heeft gekregen. Verwerking van Persoonsgegevens Zoals reeds aangegeven richt de WBP zich op de verwerking van persoonsgegevens. In de zin van de wet is een persoonsgegeven een gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. Hierbij kan onderscheid gemaakt worden in direct of indirect identificeerbare persoonsgegevens. Voorbeelden van direct identificeerbare persoonsgegevens zijn: naam, geboortedatum adres, vingerafdruk. Voorbeelden van indirect identificeerbare persoonsgegevens zijn de stem en het kenteken van een motorvoertuig. In dit geval zijn een aantal handelingen noodzakelijk om de gegevens van een persoon te kunnen afleiden. In de wet wordt aangegeven dat indien er te veel moeite moet worden gedaan om de gegevens van een persoon te achterhalen er geen sprake is van een persoonsgegeven. Deze vage regelgeving maakt het in sommige gevallen moeilijk om de WBP in de praktijk correct toe te passen. Bij de WBP is het van belang of persoonsgegevens geheel of gedeeltelijk geautomatiseerd verwerkt worden. Indien de persoonsgegevens niet geautomatiseerd verwerkt worden, geldt de wet alleen indien de persoonsgegevens in een bestand worden opgenomen. In dit verband is alleen sprake van een bestand indien er aan een aantal criteria wordt voldaan, te weten: • De persoonsgegevens moeten onderdeel uitmaken van een gestructureerd geheel; • Het bestand moet volgens bepaalde criteria toegankelijk zijn; • Het bestand moet betrekking hebben op verschillende personen. Onder verwerking van persoonsgegevens wordt verstaan het verzamelen, het vastleggen, het ordenen, het bewaren, het raadplegen, het ter beschikking stellen en het met elkaar in verband brengen van persoonsgegevens. In relatie tot digitaal onderzoek betekent dit dat het "digitaal" observeren (o.a. in- en uitloggen van de werknemer, het tracen van een medewerker m.b.v. een audit trail, het monitoren van e-mail berichten) in principe onder de werking van de WBP vallen. Het is dus noodzakelijk dat de gegevensverwerking voldoet aan de algemene beginselen van gegevensverwerking. Bij de verwerking van persoonsgegevens geldt te allen tijde dat de gegevens alleen mogen worden verwerkt indien dat noodzakelijk is voor de behartiging van een gerechtvaardigd belang. In art. 7 WBP wordt de zogenaamde doelbinding beschreven. Dat wil zeggen dat persoonsgegevens alleen mogen worden verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Een onderzoek zou feitelijk niet uitgevoerd kunnen worden als te allen tijde aan de informatieplicht moet worden voldaan. In artikel 43 WBP wordt aangegeven dat niet aan de informatieplicht hoeft te worden voldaan indien dit in het belang is van: • De veiligheid van de staat; Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
26 van 61
Team 812
• • • •
Maart 2008
De voorkoming, opsporing en vervolging van strafbare feiten; Gewichtige economische en financiële belangen van de staat en andere openbare lichamen; Het toezicht op de naleving van wettelijke voorschriften; De bescherming van de betrokkene of van de rechten en vrijheden van anderen.
Het bovenstaande geldt ook voor het recht van inzage dat de betrokkene normaal heeft. In onderstaande tabel worden de juridische aandachtspunten samengevat, zoals opgenomen in het referentiekader. Nr Juridische aandachtspunten 1
Bij de inrichting en de uitvoering van het CSIRT en computer incident reactie proces dient de werkgever zich te houden aan de wet- en regelgeving. In dit verband wordt met name gewezen op de Europese richtlijnen, de Wet Bescherming Persoonsgegevens en de regelgeving van de toezichthoudende instanties.
2
De werkgever dient zich als goed werkgever te gedragen. Dit houdt o.a. in dat de principes van subsidiariteit en proportionaliteit toegepast dienen te worden.
3
Er dient een dossier te worden opgebouwd van de incidenten die zich in het verleden hebben voorgedaan. In vele gevallen is het plegen van meerdere incidenten noodzakelijk alvorens verregaande disciplinaire maatregelen kunnen worden genomen.
4
De medewerker dient na het plegen van een incident, dat niet zwaar genoeg is voor het nemen van verregaande disciplinaire maatregelen, een officiële waarschuwing te krijgen. Indien het tot een rechtszaak komt is het voor de rechter van belang te weten of de verdachte officieel gewaarschuwd is voor het plegen van incidenten.
Tabel 8 – Juridische aandachtspunten
4.2.4 Technische randvoorwaardelijke aspecten CSIRT Audit werkprogramma
Referentiekader Organisatorische Juridische aspecten aspecten
Technische aspecten
Wanneer een beveiligingsincident heeft plaatsgevonden en binnen de organisatie is geëscaleerd, zullen de betrokkenen zoveel mogelijk bewijs en informatie gaan verzamelen. Ook hierin kunnen technische hulpmiddelen een rol spelen, derhalve welke technische hulpmiddelen staan de organisatie ter beschikking bij het analyseren en onderzoeken van een beveiligingsincident. Bij het vergaren van informatie kan globaal onderscheid worden gemaakt tussen informatievergaring op systeemniveau en op netwerkniveau. Hierna wordt alleen het onderzoek op systeemniveau beschreven. Systeemonderzoek In deze paragraaf zullen verschillende mogelijkheden worden behandeld voor het doen van onderzoek binnen systemen waarop of waarmee (vermoedelijk) een beveiligingsincident heeft plaats gevonden. Eén van de belangrijkste aspecten bij het onderzoeken van systemen is de bewijsvoering. Technisch is het haalbaar om heel veel informatie uit systemen te halen. Wanneer de informatie echter als bewijs in een rechtszaak gebruik moet worden, zullen bepaalde zekerheden moeten worden ingebouwd. De juridische aspecten van deze bewijsvergaring zijn eerder al behandeld. Bij de uitvoering van systeemonderzoeken kunnen verschillende hulpmiddelen worden gebruikt, te weten: • Disk-cloning software; Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
27 van 61
Team 812
• • •
Maart 2008
Integriteitsgarantie; Zoekprogrammatuur; Geïntegreerde programmatuur.
Deze hulpmiddelen zullen in het vervolg van deze paragraaf verder kort worden toegelicht. Disk-cloning software Om uit systemen verkregen gegevens als bewijsmateriaal te kunnen opvoeren moet men beschikken over een exacte weergave van de originele informatie. Eén van de kenmerken van moderne systemen is echter dat de betreffende informatie (bijvoorbeeld configuratie-informatie en loggegevens) continu worden aangepast door het systeem. Voor het doen van onderzoek is het dus noodzakelijk een systeem voor onbepaalde tijd te “bevriezen”, waarna men op zoek kan gaan naar de noodzakelijke informatie. Ook dit zoeken zelf kan echter de informatie op het betreffende medium al veranderen. Om dit te voorkomen wordt over het algemeen gebruik gemaakt van zogenaamde disk-cloning software. Dergelijke programmatuur maakt bit voor bit een exacte kopie van een bepaald medium, waarna onderzoek kan plaatsvinden op de kopie en niet op het originele systeem. Integriteitsgarantie Zoals hierboven aangegeven is het essentieel om een integere kopie te maken van gegevens op systemen. Voor bijvoorbeeld een rechter kan het echter ook noodzakelijk blijken om aan te tonen dat de betreffende gegevens niet zijn veranderd of aangepast. Hiervoor kan gebruik worden gemaakt van cryptografische checksums die over de originele gegevens worden uitgerekend. De uitkomsten van deze berekening kunnen vervolgens bij een vertrouwde partij in bewaring worden gegeven. Zoekprogrammatuur Moderne harde schijven bevatten een veelheid aan informatie (grootte van 30 GB of meer zijn meer regel dan uitzondering), wat betekent dat het zoeken naar een bepaald stukje informatie zeer lang kan duren. Om dit probleem op te lossen zijn verschillende zoektools beschikbaar. Bij het zoeken naar gegevens op media zijn twee aspecten van belang, te weten: • Bepalen naar welke informatie gezocht moet worden; • De wijze van zoeken. Om te weten naar welke informatie gezocht moet worden, moet eerst inzicht bestaan in de aard van het beveiligingsincident. Vervolgens kunnen de meest waarschijnlijke scenario's voor de uitvoering van het beveiligingsincident worden opgesteld, aan de hand waarvan kan worden bepaald naar welke specifieke informatie het CSIRT - team moet gaan zoeken. Om de grote hoeveelheid informatie efficiënt te doorzoeken is een goede zoektool onmisbaar. Naast het zoeken op standaard tekst zou een dergelijke tool ook geavanceerdere opties moeten bevatten, bijvoorbeeld zoeken aan de hand van reguliere expressies en het gebruik van wildcards. Geïntegreerde programmatuur Veel onderzoek vindt vaak plaats met een verzameling losse programmaatjes waartussen geen of weinig verband valt te onderkennen. Een dergelijke werkwijze komt de efficiency van onderzoeken niet ten goede. De oplossing hiervoor is gevonden in het ontwikkelen van geïntegreerde suites waarin de meest voorkomende technische handelingen zijn geïntegreerd. Geïntegreerde software suites bevatten over het algemeen een verzameling van de hierboven genoemde functionaliteit voor het kopiëren van gegevens, het digitaal tekenen van deze gegevens, het zoeken binnen deze gegevens en het terugzetten van kopieën op schone systemen. Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
28 van 61
Team 812
Maart 2008
In onderstaande tabel worden de technische aandachtspunten samengevat, zoals opgenomen in het referentiekader. Nr Technische aandachtspunten 1
Zowel op systeem als op applicatieniveau worden van alle relevante events loggingsgegevens bijgehouden.
2
Er is een systeem aanwezig om de gegevens uit de logbestanden op eenduidige wijze te ontsluiten en toegankelijk te maken.
3
De organisatie heeft een intrusion detection systeem geïmplementeerd (waarvan het gebruikskader is beschreven) en de signalen uit dit systeem worden op adequate wijze gecommuniceerd met de CSIRT-organisatie.
4
Kritieke informatiesystemen beschikken over een eigen signaleringsfunctie met betrekking tot mogelijke incidenten, waarmee afwijkend gedrag kan worden gesignaleerd.
5
De organisatie beschikt over hulpmiddelen voor het uitvoeren van systeemonderzoeken. Mogelijke onderdelen hiervan zijn disk-cloning software, integriteitsgarantie software en specialistische zoekprogrammatuur.
6
De organisatie beschikt over hulpmiddelen voor het uitvoeren van netwerkonderzoeken.
7
Op kritische externe verbindingen worden bijvoorbeeld honey pots gebruikt om aanvallers te misleiden en informatie te verzamelen over de aanvaller en het type aanval.
Tabel 9 – Technische aandachtspunten
4.3 Gebruiksaanwijzing voor de toepassing van het referentiekader In de vorige paragraaf is beschreven uit welke elementen het referentiekader is opgebouwd en hoe het wordt toegepast. Zoals al eerder is genoemd, is dat het gebruik van het werkprogramma en het geven van een waardering voor elk van de controlemaatregelen niet het doel heeft om een absoluut negatief dan wel positief oordeel te kunnen geven. Het heeft slechts de bedoeling om bij betrokkenen en belanghebbenden van een CSIRT consensus te bereiken over de status van een CSIRT en inzichtelijk te krijgen welke mogelijke risico’s een organisatie loopt t.a.v. de informatiebeveiliging van de betreffende organisatie. Daarnaast is het referentiekader bedoeld voor verschillende doelgroepen, te weten: • Betrokkenen bij de opzet van een CSIRT en • IT-auditors bij de beoordeling van een CSIRT. De benadering en de inzet van het referentiekader verschilt daarom ook. Voor de eerste doelgroep is het van belang te weten aan welke aspecten aandacht dient te worden gegeven om een goed CSIRT op te zetten. Het referentiekader heeft in dat geval meer een adviesfunctie en is richtinggevend. Het is dan ook niet de bedoeling en noodzakelijk om voor elk van de opgenomen controlemaatregelen een waardering te geven. Voor de tweede doelgroep ligt dat echter anders. Het gebruik van het referentiekader en het werkprogramma in het bijzonder, heeft ten doel een oordeel te kunnen geven over de status van een reeds opgezet CSIRT en tegelijkertijd kan het bestaan worden getoetst. Het oordeel dat uiteindelijk zal worden gegeven, is dan gebaseerd op de waardering die aan elk aspect is toegekend. Daardoor wordt dus de attestfunctie vervuld. Hoewel het voor de hand zou kunnen liggen om na de toetsing van het CSIRT alle plussen en minnen bij elkaar op te tellen alvorens een (absoluut) oordeel te geven geldt ook voor deze doelgroep het bereiken van consensus binnen de organisatie over een goed of minder goed opgezet CSIRT. De IT-auditor zal bij het uiteindelijk opstellen van de bevindingen, conclusies en aanbevelingen hier rekening mee dienen te houden. Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
29 van 61
Team 812
Maart 2008
Hoofdstuk 5
Verantwoording referentiekader 5.1 Inleiding In deze scriptie staat de volgende vraag centraal: Hoe kan vanuit een IT - audit perspectief een praktische ondersteuning en invulling worden gegeven aan de opzet en beoordeling van een CSIRT? Een onderdeel van de vraagstelling is tevens vast te stellen welke bestaande wet- en regelgeving en/of raamwerken van toepassing zijn. Vanuit deze vraagstelling heeft er literatuuronderzoek plaatsgevonden naar de mogelijke (organisatorische) rollen van een Computer Security Incident Response Team, die aanwezig kunnen zijn, welke diensten door de verschillende vormen wordt aangeboden en wat de organisatorische, technische en juridische voorwaarden zijn, om tot de opzet van een CSIRT te (kunnen) komen. Dit onderzoek heeft geleidt tot een referentiekader waarin de volgende categoriën zijn opgenomen: • CSIRT audit werkprogramma; • Organisatorische randvoorwaardelijke aspecten; • Juridische randvoorwaardelijke aspecten; • Technische randvoorwaardelijke aspecten. Om dit referentiekader te kunnen afstemmen met de praktijk van vandaag de dag, hebben er meerdere interviews met gerenommeerde Nederlandse organisaties plaatsgevonden, die internationaal via verschillende organisaties op het gebied van Informatiebeveiliging Nederland ook vertegenwoordigen. Het doel van de interviews en welke interviews hebben plaatsgevonden kunt u nalezen in hoofdstuk 3. Het referentiekader is vervolgens toegezonden aan de geïnterviewden, die vanuit de dagelijkse praktijk hun reacties hebben verstrekt.
5.2 Belangrijkste reacties vanuit de praktijk Het resultaat vanuit het toegezonden referentiekader mag er zijn: Alle geïnterviewden hebben gereageerd, dus een respons van 100%. De reacties variëren van opmerkingen over de opzetstructuur van het referentiekader tot en met inhoudelijke opmerkingen over de verschillende aspecten. De belangrijkste reacties kunnen als volgt worden samengevat: • Indeling naar audit werkprogramma en organisatorische, juridische en technische voorwaarden op een juiste manier toegepast; • Genoemde aspecten redelijk compleet met de opmerking dat afhankelijk van de organisatorische rol en aan te bieden diensten slechts een beperkt aantal aspecten van toepassing is; • De diepgang voor het doel, de opzet en auditen van een CSIRT, is voldoende. Nadere uitwerking van de genoemde aspecten is altijd noodzakelijk aangezien de inrichting van het CSIRT sterk afhankelijk is van de organisatie en de uit te voeren taken van het CSIRT. Dit geldt ook voor de toepassing op strategisch, tactisch en operationeel niveau; • Maak duidelijk aan de (interne of externe) klanten van het CSIRT wat je taken zijn en ook wat je taken niet zijn en verkrijg voor de uit te voeren taken het mandaat van de hoogste leiding. Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
30 van 61
Team 812
Maart 2008
Een afzonderlijk onderdeel is de validiteit van het referentiekader. De validiteit is onder te verdelen in de gezichtsvaliditeit, inhoudelijke validiteit en bruikbaarheidvaliditeit oftewel de gebruikersvriendelijkheid. • • •
Gezichtsvaliditeit is de mate waarin het referentiekader, op het eerste zicht, lijkt te meten wat het behoort te meten. De inhoudelijke validiteit is de mate waarin het referentiekader de opzet en beoordeling van een CSIRT meet. De bruikbaarheidvaliditeit is de mate waarin het referentiekader als gebruikersvriendelijk wordt ervaren.
De reacties die zijn ontvangen doen geen expliciete uitspraak over de verschillende validiteittoetsen maar het aangegeven referentiekader wordt als volledig beschouwd, kan een antwoord voorbereiden op het wel/niet behalen van de doelstellingen, opzet en beoordeling van een CSIRT én wordt als gebruikersvriendelijk ervaren. Een toets op de werking in de praktijk van het referentiekader heeft echter nog niet plaatsgevonden.
5.3 Toelichting op de verschillen tussen de theorie en praktijk Bij het bestuderen van de reacties vanuit de praktijk in relatie met het uitgevoerde literatuuronderzoek van het theoretische kader, o.a. het handboek CSIRT van Carnegie Mellon, zijn een aantal opmerkelijke verschillen geconstateerd, die hieronder worden weergegeven en toegelicht. •
De complete inhoudsopgave wat een CSIRT zou kunnen doen, is in de theorie uitgewerkt, waarbij minder aandacht wordt geschonken aan de verschillende (organisatorische) rollen die een CSIRT kan uitvoeren inclusief de bijbehorende uit te voeren diensten. In de praktijk is waar te nemen dat een CSIRT op de eerste plaats is opgezet om beveiligingsincidenten te signaleren, af te handelen, te rapporteren en indien noodzakelijk beleidsaanpassingen voor te bereiden;
•
In de theorie wordt voor wat betreft de gebruikte standaard hard– en software meer gesproken over de benodigde instrumenten om bedreigingen en incidenten tijdig op te sporen en te detecteren. In de praktijk komt vaak zelf gemaakte software voor, die op basis van de bedrijfsspecifieke situatie en ervaringen op dit gebied zijn ontworpen;
•
In de theorie wordt het belang van het deelnemen aan netwerken primair gezien als het in bredere kring verspreiden van kennis. In praktische zin worden de contactpersonen vanuit netwerken gebruikt als belangrijke informatiebron om bedreigingen en incidenten “voor” te zijn;
•
Kennis en vaardigheden zijn zeer belangrijke aspecten voor het op een juiste en volledige wijze uitvoeren van de taken van een CSIRT. De praktijk voegt hieraan toe sterke communicatieve - en management technische vaardigheden. Het leveren van toegevoegde waarde en het verkopen hiervan is van wezenlijk belang voor het effectief en efficiënt functioneren van een CSIRT.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
31 van 61
Team 812
Maart 2008
5.4 Toelichting op de gemaakte keuzes tussen theorie en praktijk Zoals in paragraaf 5.3 al is aangegeven, worden in de theorie mogelijke taken van een CSIRT uitgewerkt en toegelicht. Uit de reacties van de geïnterviewden is duidelijk naar voren gekomen dat slechts een beperkt deel van deze taken in de praktijk wordt uitgevoerd. Hier ligt het uitdrukkelijke besluit van de hoogste leiding aan ten grondslag. Bij de uitwerking van het referentiekader is dan ook als uitgangspunt gekozen een theoretische basis te nemen met aanvulling van de praktische toepassingen. De volgende keuzes zijn gemaakt: • In de praktijk komen vaak specifieke situaties voor die specialistische juridische vakmanschap vragen. Dit is in het referentiekader bewust niet opgenomen gezien het specialistische karakter. De keuze voor de opgenomen aspecten in de juridische aandachtspunten zijn dan ook op een “hoog” niveau geformuleerd en moeten gezien worden als richtinggevend; • In de praktijk zijn niet alleen de inrichtingsaspecten van een CSIRT van wezenlijk belang maar komen ook de organisatorische, juridische en technische aspecten bijna dagelijks aan de orde. In deze scriptie ligt de nadruk op de opzet en het auditen van een CSIRT. Daarnaast zijn de organisatorische, juridische en technische aspecten als randvoorwaarden opgenomen; • Eén van de belangrijkste opmerking vanuit de praktijk is dat het opstarten van een CSIRT ALTIJD vanuit de uitkomsten van een risico - analyse moet worden opgestart. In de bestudeerde theorie is de risico – analyse al uitgevoerd en is besloten om een CSIRT op te richten; • In de uitwerking van de dienst training en opleiding is in dit kader uitgegaan van opleiding en training door eigen personeel. Ook zijn er echter organisaties die dit uitbesteden, waarbij extra aandacht geschonken zou moeten worden aan privacy van gegevens en security.
5.5 Conclusie over de waardering van de auditaspecten Bij de beoordeling van het audit werkprogramma is aan de geïnterviewden gevraagd hun professionele mening te geven t.a.v. de voorgestelde waarderingsmogelijkheden om per controlemaatregel aan te geven wat de status van deze controlemaatregel is. De vier mogelijkheden zijn: Afdoende, Behoeft aandacht c.q. verbetering, Niet afdoende en Onbekend. Het overgrote merendeel van de geïnterviewden heeft positief gereageerd op deze indeling en dit biedt dan ook de gelegenheid om per audit scope en audit doelstelling een waardering aan te geven die luidt Afdoende, Behoeft aandacht c.q. verbetering, Niet afdoende en Onbekend. Afhankelijk van het aantal soorten waarderingen en het professional judgement van de auditor kan worden aangegeven of de audit doelstellingen zijn gerealiseerd. Hierbij dient nog te worden benadrukt dat het geven van een waardering per maatregel niet het doel heeft om een absoluut positief dan wel absoluut negatief oordeel te geven over de status van die maatregel. Na het doorlopen van het werkprogramma zou bij alle betrokken partijen voldoende consensus moeten bestaan over de algehele stand van zaken ten aanzien van het CSIRT. Of de gekozen indeling van de waarderingsmogelijkheden ook in de praktijk voldoende houvast geeft om die stand van zaken te kunnen bepalen zou een onderwerp kunnen zijn voor vervolgonderzoek. De vraag blijft namelijk nog bij hoeveel verschillende soorten waarderingen de audit doelstellingen nu werkelijk zijn gerealiseerd en wanneer niet. Dit is mede afhankelijk van de gekozen diensten van het CSIRT en welke aspecten van het werkprogramma voor een organisatie de hoogste prioriteit hebben. Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
32 van 61
Team 812
Maart 2008
Hoofdstuk 6
Conclusies en aanbevelingen In dit hoofdstuk worden de belangrijkste conclusies van dit onderzoek belicht. Hierbij wordt een relatie gelegd met de deelvragen uit hoofdstuk 1. Het hoofdstuk wordt afgesloten met een antwoord op de centrale vraagstelling van het onderzoek.
6.1 Beantwoording van de onderzoeksdeelvragen
1. Wat is een CSIRT? o Wat doet een CSIRT? o Welke organisatorische typen CSIRT’s kunnen worden onderkend? o Welke soort diensten levert een CSIRT? o Met welke organisatorische, technische en juridische voorwaarden heeft het CSIRT te maken?
Het begrip CSIRT heeft de laatste jaren sterk aan populariteit gewonnen. Dit is voornamelijk een reactie op de sterke toename van het aantal beveiligingsincidenten, die al dan niet via de media aan een groot publiek kenbaar zijn gemaakt. Om tegemoet te komen aan het effectief en efficiënt bestrijden van deze beveiligingsincidenten zijn in de praktijk een aantal standaarden ontwikkeld, die zich richten op het takenpakket, de rollen, de organisatorische invulling en de te gebruiken hulpmiddelen. Bij de ontwikkeling van deze standaarden heeft men ook stilgestaan bij de voorwaarden waaraan voldoen moet worden, om tot een succesvolle opzet van een CSIRT te komen. Voorwaarden die hierbij elke keer weer terugkomen zijn: • Bepaal de plaats van het CSIRT in de organisatie; • Luister goed naar de behoeften van de doelgroep(en); • Kweek vertrouwen, maar denk ook aan de verschillende belangen; • Bepaal de technische speelruimte binnen de aanwezige geldende wet – en regelgeving. Een vastomlijnd kader voor de oprichting van een CSIRT is dan ook niet voorhanden. Het organisatorische type dat wordt gehanteerd en de diensten die worden aangeboden zijn sterk afhankelijk van de omvang van de organisatie, de volwassenheid en ervaring van de lokale IT – afdelingen, de mate van verwevenheid met de bedrijfsvoering en het soort bedrijfsvoering. De oprichting van een CSIRT wordt dan ook wel samengevat in 4 stappen: 1. Waarom heeft een organisatie een CSIRT nodig en wat is de missie en de doelstelling ? 2. Het CSIRT wordt geboren en krijgt zijn identiteit; 3. Er wordt invulling gegeven aan de uitvoering van de met elkaar afgesproken taken, bevoegdheden en verantwoordelijkheden; 4. Het verwerven van een definitieve plaats in de organisatie. Om de opzet van een CSIRT op een gestructureerde wijze te laten plaatsvinden, zijn alle aspecten die hierbij een rol kunnen spelen, samengevoegd in het referentiekader en opgenomen in hoofdstuk 4.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
33 van 61
Team 812
Maart 2008
2. Hoe is het referentiekader ingericht welke door een IT-auditor kan worden gebruikt voor het uitvoeren van een audit van een CSIRT of welke de organisatie kan gebruiken voor de opzet van een CSIRT? o Welke aspecten zijn opgenomen in het referentiekader? o Hoe kunnen deze aspecten worden toegepast?
Zoals hierboven bij de beantwoording van onderzoeksdeelvraag “1. Wat is een CSIRT?” al is aangegeven is dat er geen referentiekader is op te stellen, die voor één bepaalde organisatie van toepassing is. Het is echter wel mogelijk om alle verschillende aspecten op te nemen, die in de organisatie zouden kunnen voorkomen. De reacties van gerenommeerde organisaties zoals KPN, XS4ALL, SURFnet en het Ministerie van Defensie, bevestigen dat het in deze scriptie opgenomen referentiekader eerder te uitgebreid is dan onvolledig voor de genoemde bedrijven. Daarnaast is op te merken dat de diepgang én de toepassing van het referentiekader per organisatie bepaald moet worden. Het referentiekader is onderverdeeld in een audit werkprogramma, organisatorische -, juridische – en technische randvoorwaardelijke aspecten. Deze vier onderdelen dienen in onderlinge samenhang te worden meegenomen bij de advies- of attestfunctie van de IT-auditor. Door enkel één afzonderlijk onderdeel te beschouwen ontstaat een onvolledig beeld van de status van een CSIRT. De toepassing van de aspecten van het referentiekader is gelegen in een richtinggevende functie naar de organisatie waarbinnen een CSIRT wordt opgezet of beoordeeld. Indien alleen advies dient te worden gegeven bij de oprichting van een CSIRT kan bijvoorbeeld de waardering van de controlemaatregelen achterwege worden gelaten. Een betreffende controlemaatregel uit het werkprogramma is dan puur bedoeld als een te adresseren aandachtspunt en van een beoordeling kan dan geen sprake zijn. Het CSIRT functioneert immers nog niet. Er kan dan ook worden geconcludeerd dat het beschreven referentiekader een aanvulling is op de beschikbare literatuur over het onderwerp van deze scriptie.
3. Is het ontwikkelde instrument toepasbaar?
De toepassing van de aspecten en het instrument is zoals aangegeven sterk afhankelijk van welke soort diensten wordt aangeboden en de organisatorische plaats van het CSIRT. Wel kan worden gesteld dat op basis van de praktische toetsing met geïnterviewden vast is komen te staan dat de toepasbaarheid van het referentiekader als instrument wel aanwezig is. Hierbij dient wel de beperking te worden opgemerkt dat de implementatie van het referentiekader in de praktijk nog niet is toegepast.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
34 van 61
Team 812
Maart 2008
6.2 Slotconclusie en aanbeveling Na beantwoording van de diverse deelvragen wordt in deze paragraaf een antwoord gegeven op de centrale vraagstelling van dit onderzoek. Deze luidt als volgt: Hoe kan vanuit een IT-audit perspectief een praktische ondersteuning en invulling worden gegeven aan de opzet en beoordeling van een CSIRT?
Door het bestuderen van de bestaande literatuur, het interviewen van collega’s uit de praktijk van de informatiebeveiliging en de gewaardeerde inbreng van onze bedrijfsbegeleider en VU – begeleider, is het mogelijk gemaakt om op de eerste plaats de verschillende vormen van een CSIRT en de aan te bieden diensten compleet in beeld te brengen én ten tweede een referentiekader op te stellen inclusief de bijbehorende randvoorwaarden. De waarde van het referentiekader inclusief de randvoorwaarden is dan ook het hebben van een instrument ter ondersteuning van de opzet of het auditen van een CSIRT of vergelijkbaar orgaan. In dit referentiekader wordt dan ook geen onderscheid gemaakt naar de organisaties, waarbinnen een CSIRT worden opgericht c.q. wordt geaudit. Aanbeveling Een afzonderlijk onderdeel is de validiteit van het referentiekader. De validiteit is onder te verdelen in de gezichtsvaliditeit, inhoudelijke validiteit en bruikbaarheidvaliditeit oftewel de gebruikersvriendelijkheid. • • •
Gezichtsvaliditeit is de mate waarin het referentiekader, op het eerste zicht, lijkt te meten wat het behoort te meten. De inhoudelijke validiteit is de mate waarin het referentiekader de opzet en beoordeling van een CSIRT meet. De bruikbaarheidvaliditeit is de mate waarin het referentiekader als gebruikersvriendelijk wordt ervaren.
Om een uitspraak te kunnen doen over de verschillende vormen van validiteit zal naast de opzet van het referentiekader ook een toets moeten plaatsvinden naar de praktische werking. Deze toets heeft nog niet plaatsgevonden bij de geïnterviewden en kan dan ook de volgende stap inleiden met de titel: Het aanscherpen van het referentiekader op basis van praktische ervaringen.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
35 van 61
Team 812
Maart 2008
Hoofdstuk 7
Tenslotte 7.1 Reflectie In dit laatste en afrondende hoofdstuk blikken wij terug op het uitgevoerde onderzoek en geven wij onze eigen mening over de toegevoegde waarde van deze scriptie voor het IT-audit vakgebied. Daarnaast noemen wij enkele mogelijke gebieden die relevant zouden kunnen zijn voor nader onderzoek en die wij niet hebben behandeld. Dit onderzoek, wat heeft geleid tot een referentiekader CSIRT, is voor ons een leerzaam en soms moeizaam traject geweest. Gedurende het onderzoek hebben wij ook enkele drempels moeten nemen. Het aanvankelijke voorstel en de aanpak van ons onderzoek bleek toch niet de aanpak te zijn die de VU voor ogen had. In het initiële voorstel lag de nadruk te veel op de juridische aspecten van CSIRT, terwijl de bruikbaarheid van de scriptie voor collega IT-auditors te weinig naar voren kwam. Na een gesprek met de VU en onze scriptiebegeleider hebben wij daarna gekozen voor een bredere aanpak waarbij ook organisatorische en technische aspecten zouden worden meegenomen. Tevens ontstond het idee om een referentiekader te ontwikkelen die een oprichter of auditor van een CSIRT in staat zou moeten stellen de status van de informatiebeveiliging binnen een organisatie te kunnen bepalen. Wij zijn blij dat wij in de gelegenheid zijn gesteld om ons onderzoek bij diverse partijen te mogen uitvoeren. Wij hebben de medewerking en het geduld van de geïnterviewden als zeer prettig ervaren. Alle betrokkenen waren erg behulpzaam en geïnteresseerd in de voortgang van ons onderzoek. Dit heeft ons enorm gemotiveerd. De kennis en ervaring die wij tijdens de opleiding hebben opgedaan heeft ons daarnaast ook goed geholpen het onderwerp van deze scriptie op een gestructureerde en overzichtelijke wijze te benaderen.
7.2 Wat hadden we anders gedaan als we geweten hadden wat we nu weten? Zoals gesteld, is de start van het onderzoek moeizaam geweest met name gericht op het definiëren van de scope van de scriptie. Om te kunnen starten met het feitelijke werk moet de kop en in mindere mate de staart wel duidelijk zijn voor onderzoekers en begeleiders. Na het literatuuronderzoek hebben de voorbereidingen en de gesprekken met de collega’s uit de praktijk een enorme motivatie gegeven om een instrument te maken, waarin niet alleen de theorie op een gestructureerde wijze naar voren komt, maar de praktische toepassing mogelijk gemaakt wordt. Helaas heeft een praktische toets van het instrument nog niet plaatsgevonden, mede als gevolg van de beperkte beschikbaarheid van collega’s uit de praktijk, maar ook de vele gesprekken die hebben plaatsgevonden over de gestructureerde opzet van de scriptie. Conclusie: Op tijd starten, scope duidelijk hebben, hoofdlijnen in een vroegtijdig stadium al opschrijven en veel contact houden met de begeleiders.
7.3 Toegevoegde waarde Wij zijn van mening dat het resultaat van ons onderzoek van toegevoegde waarde is voor het IT-audit vakgebied. Informatiebeveiliging is “hot” en de wijze waarop organisaties de daarmee samenhangende risico’s het hoofd bieden is de basis geweest van ons onderzoek. Het referentiekader geeft de IT-auditor dan ook een handvat en de mogelijkheid het raamwerk (desgewenst) nog verder te concretiseren en te gebruiken bij de advisering voor de opzet van een CSIRT of bij de auditen van een CSIRT. Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
36 van 61
Team 812
Maart 2008
BIJLAGE A. Geraadpleegde literatuur 1.
Gerubriceerde documentatie
2.
In totaal zijn er 19 gerubriceerde (en dus vertrouwelijke) documenten geraadpleegd. Boeken
3.
Fijneman, R., Lindgreen, E.R., Veltman, P. (2005), Grondslagen IT-auditing, Sdu Uitgevers, Den Haag, ISBN 90-395-2297-9 Franken, Prof. Mr. H. e.a. (2004), Recht en Computer, Kluwer, Deventer, ISBN 9013-01986-2 ISO (2005), Code voor Informatiebeveiliging - NEN-ISO/IEC 17799:2005 Klauw-Koops, Mr. F.A.M. van der, Corvers, Mr. S.F.M. (1995), Praktisch informaticarecht, Tjeenk Willink, Zwolle, ISBN 90-271-4239-4 Kleve, P. (1996), Rechtsvragen over informatietechnologie, Vermande, Lelystad, ISBN 90-5458-400-9 NOREA (1997), Studierapport nr 2 - Een kwaliteitsmodel voor Register EDPauditors, ISBN 90-74409-04-0 NOREA (1998), IT-auditing aangeduid, NOREA geschrift No. 1, ISBN 90-74409-059 NOREA (2002), Studierapport nr 3 - Raamwerk voor ontwikkeling Normenstelsels en Standaarden, ISBN 90-74409-08-3 NOREA (2002), ZekeRE Privacy Praat, J. van, Suerink, H. (2004), Inleiding EDP-auditing, Ten Hagen & Stam, ISBN 90-440-07599 Soudijn, K. (2005), Onderzoeksverslagen schrijven, Bohn Stafleu van Loghum, Houten, ISBN 90-313-4336-6 Artikelen
4.
NautaDutilh N.V. (2005), Juridische risico's van ongecontroleerd gebruik email en internet, MessageLabs Online bronnen
Carnegie Mellon University (2002), CSIRT services, Carnegie Mellon University, (pdf). Op 30-9-2007 ontleend aan http://www.cert.org/csirts/services.html ENISA (2006), A step-by-step approach on how to set up a CSIRT (WP2006/5.1 CERT-D1/D2), (pdf). Op 19-12-2007 ontleend aan http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA Geest, Mr. E. van (2005), Handleiding Cybercrime II, GOVCERT.NL, Den Haag. (pdf). Op 15-1-2008 ontleend aan http://www.govcert.nl/download.html?f=37 Killcrece G., Kossakowski K.P., Ruefle R., Zajicek M. (2003), Organizational Models for CSIRTs (CMU/SEI-2003-HB-001). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, (pdf). Op 18-12-2007 ontleend aan http://www.sei.cmu.edu/pub/documents/03.reports/pdf/03hb001.pdf Rijksuniversiteit Groningen (2004), Operationeel Framework voor het CERT-RU versie 1.0, (pdf). Op 27-11-2007 ontleend aan http://www.ru.nl/cert/introductie/certru/cert-ru/operational West-Brown M.J, Stikvoort D., Kossakowski K.P., Handbook for CSIRT’s (CMU/SEI2003-HB-002), Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2003. (pdf). Op 17-12-2007 ontleend aan http://www.sei.cmu.edu/pub/documents/03.reports/pdf/03hb002.pdf
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
37 van 61
Team 812
Maart 2008
http://cert.surfnet.nl http://enisa.europa.eu http://wetten.overheid.nl http://www.cbpweb.nl http://www.cert.nl http://www.cert.org http://www.cmu.edu http://www.csirt.org http://www.ejure.nl http://www.first.org http://www.govcert.nl http://www.gvib.nl http://www.iusmentis.com http://www.justitie.nl http://www.kluwer.nl http://www.rechtspraak.nl http://www.security.nl http://www.surfnet.nl http://www.terena.org http://www.uba.uva.nl http://www.waarschuwingsdienst.nl
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
38 van 61
Team 812
Maart 2008
BIJLAGE B. Afkortingen Afkorting CERT CERT/CC CSIRTError! Reference source not found. FIRSTError! Reference source not found. IB ICT IRTError! Reference source not found. NREN SERTError! Reference source not found. SOX TERENA TF WBP
Omschrijving Computer Emergency Response Team Computer Emergency Response Team/Coordination Centre Computer Security Incident Response Team
Forum for Incident Response and Security Teams
Informatiebeveiliging Informatie- en Communicatietechnologie Incident Response Team
National Research Education Netwerk Security Emergency Response Team
Sarbanes – Oxley Trans European Research Education Network Association Taskforce Wet Bescherming Persoonsgegevens
Tabel 10 – Afkortingen
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
39 van 61
Team 812
Maart 2008
BIJLAGE C. Kwaliteitsbegrippen Begrippen Beschikbaarheid Continuïteit Controleerbaarheid
Exclusiviteit
Integriteit
Vertrouwelijkheid
Omschrijving De mate waarin een ICT-dienst, systeem of component toegankelijk is voor de geautoriseerde gebruikers. De mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben. De mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. De mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT-processen. De mate waarin het object (gegevens en informatie-, technischeen processystemen) in overeenstemming is met de afgebeelde werkelijkheid. Met vertrouwelijkheid wordt bedoeld dat een gegeven alleen te benaderen is door iemand die gerechtigd is het gegeven te benaderen.
Tabel 11 – Kwaliteitsbegrippen
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
40 van 61
Team 812
Maart 2008
BIJLAGE D. Tabellen Tabellen Tabel 1 – Voorbeeld aanbod van CSIRT diensten ........................................................... 13 Tabel 2 – Lijst met geïnterviewden .................................................................................. 16 Tabel 3 – CSIRT werkprogramma audit doelstellingen ..................................................... 20 Tabel 4 – CSIRT werkprogramma audit scope ................................................................. 21 Tabel 5 – Voorbeeld uitwerking CSIRT audit werkprogramma.......................................... 21 Tabel 6 – Waardering van de auditaspecten .................................................................... 22 Tabel 7 – Organisatorische aandachtspunten .................................................................. 24 Tabel 8 – Juridische aandachtspunten ............................................................................ 27 Tabel 9 – Technische aandachtspunten .......................................................................... 29 Tabel 10 – Afkortingen .................................................................................................... 39 Tabel 11 – Kwaliteitsbegrippen ........................................................................................ 40 Tabel 12 – CSIRT audit werkprogramma ......................................................................... 48
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
41 van 61
Team 812
Maart 2008
BIJLAGE E. CSIRT audit werkprogramma CSIRT audit werkprogramma/toetsingskader Audit doelstellingen: • Het waarborgen dat bedrijfsmiddelen adequaat worden bewaakt en beschermd. • Het waarborgen dat beleid en procedures met betrekking tot computerincidenten, inbraakdetectie of noodreactieproces, overeenkomen met standaarden en best practices; • Het waarborgen dat noodzakelijke middelen worden ingezet om computerincidenten of inbraakpogingen te kunnen voorkomen of detecteren en dat medewerkers adequaat zijn opgeleid; • Het waarborgen dat rollen en verantwoordelijkheden van primaire functies die zijn betrokken bij het reageren op computerincidenten, inbraakpogingen of noodgevallen zijn ontwikkeld en gecommuniceerd. binnen de organisatie; • Het waarborgen dat computer beveiligingsincidenten, inbraakpogingen en noodgevallen worden geëscaleerd naar het van toepassing zijnde managementniveau overeenkomstig standaarden en best practices. Audit Scope: A. Bekijken en evalueren van alle ontwikkelde beleidsdocumenten, procedures en formulieren met betrekking tot computer incidenten, inbraakdetectie of het noodreactieproces; B. Bekijken en evalueren van het gebruik van het risicoanalyseproces om het computer beveiligingsincident, inbraakdetectie en noodreactieproces te kunnen vaststellen; C. Bekijken en evalueren van de aanschaf van de inzet van middelen die er voor zijn ontwikkeld om een computer beveiligingsincident of inbraakpoging te kunnen voorkomen en detecteren; D. Bekijken en evalueren van de gebruikerstrainingen van computer beveiligingsincident en inbraakdetectie programmatuur; E. Bekijken en evalueren van de rollen en verantwoordelijkheden van primaire functies die betrokken zijn bij het reageren op computer beveiligingsincidenten, inbraakdetectie en noodgevallen; F. Bekijken en evalueren van het computer beveiligingsincident, inbraak of noodescalatieproces. Audit Scope A Bekijken en evalueren van alle beleidsdocumenten, procedures en formulieren m.b.t. computer beveiligingsincidenten, inbraakdetectie of het noodreactieproces om te waarborgen dat deze in overeenstemming zijn met standaarden en best practices. Doelstelling controlemaatregel Verwacht resultaat Waardering (N/B/A/O) A1. Verkrijg een kopie van alle beleidsEen recente versie van alle beleiden proceduredocumenten die zijn en procedure documenten zou gebruikt bij het documenteren van het aanwezig moeten zijn. computer beveiligingsincident, Deze documenten dienen op het inbraak of noodreactieproces. hoogste managementniveau te zijn geaccordeerd. LET OP: Het zal moeilijk zijn om de audit naar het computer beveiligings incident, inbraak of noodreactieproces voort te zetten als beleid, procedures en formulieren niet zijn ontwikkeld. Het is dan aan te bevelen te overleggen hoe de evaluatie dient te worden vervolgd dan wel te stoppen. Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
42 van 61
Team 812
Maart 2008
A2. Bekijk en stel vast of de CSIRT beleids- en proceduredocumenten in overeenstemming is met standaarden en best practices.
A3. Bekijk en evalueer hoe toevoegingen, wijzigingen en verwijderingen op de beleid- en proceduredocumenten worden uitgevoerd.
A4. Selecteer een steekproef van bijgewerkte beleid en procedures. Stel vast of voor het geselecteerde beleid en de procedures de procedures zijn gevolgd zoals die in stap A3 zijn opgesteld. A5. Bepaal of een periodieke review van beleid en procedures wordt uitgevoerd.
Vrije Universiteit Amsterdam
De volgende onderwerpen zouden minimaal moeten zijn opgenomen: • Missie en doelstelling; • Beveiligingsbeleid; • Risicobeoordeling; • Classificatie van gegevens; • Herstelproces; • Handhaving; • Achtervolging - en beboeting procedure; • Hoe om te gaan met de media? • Hoe worden andere CSIRT’s benaderd? • Woordenlijst (bijv. beveiligingsincident, gebeurtenis, calamiteit, incidenttypen); • Incidenttaxonomie; • Hoe wordt contact gelegd met de handhavende macht? • Hoe worden incidenten en noodgevallen gedetecteerd en opgelost? • Omgang met bewijsmateriaal; • In stand houden van veilige communicatie, indien nodig out-of-band; • Contact informatie (naam, tel. nrs.) van CSIRT-leden; • Gebruikerstrainingen; • Hoe wordt om gegaan met informatie afkomstig uit het afhandelen van een beveiligingsincident, inbraak of noodgeval? Een proces zou aanwezig moeten zijn om te kunnen vaststellen wie, wanneer en hoe wijzigingen in de beleid- en proceduredocumenten worden doorgevoerd. Het management moet de zekerheid en het vertrouwen kunnen hebben dat informatie op een juiste en accurate wijze wordt onderhouden. De steekproef zou het proces moeten volgen dat in stap A3 van de Audit voor het bijwerken van beleid en procedures wordt verstrekt. Een proces dat periodiek (d.w.z., driemaandelijks of halfjaarlijks) beleid en procedures beoordeelt helpt het management om updates niet te vergeten.
CSIRT vanuit een IT-audit perspectief
43 van 61
Team 812
Maart 2008
A6. Neem een steekproef van beleid- en procedure documenten om vast te kunnen stellen of ze het periodieke reviewproces hebben ondergaan. Bepaal of het proces dat in stap A5 is beschreven is gevolgd. A7. Bekijk en evalueer hoe het beleid en de procedures aan de aangewezen individuen wordt verstrekt.
A8. Selecteer een steekproef van beleid en procedures. Bepaal of deze aan de aangewezen individuen zijn verstrekt.
Voor de steekproef zou het proces moeten zijn gevolgd dat in stap A5 is vertrekt voor de periodieke beoordeling van beleid en procedures. Het ontwikkelen van een proces voor de distributie van beleid en procedures helpt het management verzekeren dat werknemers beschikken over tijdige en juiste informatie. Voor het voorbeeld zou het opgegeven proces uit stap A7 moeten zijn gevolgd voor de distributie van beleid en procedures.
Audit Scope B Bekijken en evalueren van het gebruik van het risicoanalyseproces om te kunnen waarborgen dat de bedrijfsmiddelen (d.w.z. de hardware, software en informatie) op de juiste wijze worden beschermd, overeenkomstig standaarden en best practices. Doelstelling controlemaatregel Verwacht resultaat Waardering (N/B/A/O) B1. Bekijk en evalueer hoe het De volgende onderwerpen zouden aanvankelijke minimaal moeten zijn risicobeoordelingsproces werd geadresseerd: uitgevoerd. • Bedrijfsmiddelen (wat moet worden beschermd en bewaakt); • Bedreigingen (wie zouden in de bedrijfsmiddelen geïnteresseerd kunnen zijn); • Kwetsbaarheden (welke technische zwakheden zouden kunnen bestaan en welke bestaan er nu); • Gevolgen (wat is het slechtste scenario dat zich kan voordoen in het geval van een computer beveiligingsincident, inbraak of noodgeval); • Waarschijnlijkheid van een bedreiging (wat zijn de ervaringen van overige verwante branche organisaties). B2. Bekijk en evalueer hoe het Het ontwikkelen van een risicobeoordelingsproces is risicobeoordelingsproces identiek uitgevoerd voor nieuwe projecten, aan de aanvankelijke processen en informatiesystemen. risicobeoordeling die voor nieuwe projecten en processen moet worden uitgevoerd helpt het management om nieuwe projecten en processen voldoende te beschermen m.b.v. het computer beveiligingsincident, het inbraak en noodreactieproces.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
44 van 61
Team 812
Maart 2008
B3. Neem een steekproef van nieuwe projecten, processen of systemen. Stel vast of voor deze voorbeelden het risicobeoordelingsproces is gevolgd zoals is beschreven bij stap B2. B4. Bekijk en evalueer het proces dat periodiek de huidige omgeving opnieuw beoordeelt.
Voor het voorbeeld zou het proces moeten zijn gevolgd zoals die in stap B2 is vertrekt m.b.t. de risicobeoordeling van nieuwe projecten en processen. Een proces zou moeten bestaan om de huidige omgeving periodiek te herbeoordelen. Het proces zou de aanvankelijke veronderstellingen, alle veranderingen in de omgeving of het project/proces sinds de aanvankelijke beoordeling en toekomstige plannen voor het project/proces moeten omvatten. Het ontwikkelen van een periodieke herbeoordeling helpt het management om er zeker van te zijn dat de eerder geïdentificeerde risico's nog steeds geldig zijn, dat veranderingen in de omgeving in overweging worden genomen, alsook dat toekomstige plannen zijn besproken. Voor de laatste herbeoordeling zou het verstrekte proces uit stap B4 moeten zijn gebruikt.
B5. Bekijk de meeste recente herbeoordeling van de huidige omgeving. Stel vast of het proces is gevolgd zoals is beschreven in stap B4. Audit Scope C Bekijken en vaststellen of de middelen die zijn aangeschaft of zelf zijn ontwikkeld om een computer beveiligingsincident of inbraak te detecteren en/of voorkomen voldoen aan de standaarden en best practices. Doelstelling controlemaatregel Verwacht resultaat Waardering (N/B/A/O) C1. Verkrijg een volledig overzicht van de Een huidig overzicht van hulpmiddelen die zijn gekocht of zelf hulpmiddelen zou aanwezig ontwikkeld om een computer moeten zijn. Het overzicht zou minstens moeten bevatten: beveiligingsincident of een inbraak • Naam hulpmiddel; te detecteren en te verhinderen. • Leverancier/ontwikkelaar; • Aanschaf- of ontwikkeldatum; • Versienummers; • Vernieuwingsdatum evt. onderhoudscontract; • Vervangingsdatum hulpmiddel of de datum per wanneer het hulpmiddel niet meer wordt ingezet; • Verantwoordelijke binnen de gebruikende organisatie.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
45 van 61
Team 812
Maart 2008
C2. Selecteer een aantal voorbeeldhulpmiddelen. Interview de gebruikers van de hulpmiddelen om vast te stellen of het proces is gevolgd zoals bij stap C1 is genoemd. C3. Stel vast en evalueer welke activiteiten door de hulpmiddelen worden gedetecteerd en/of bewaakt, wat de doelmatigheid is van de ingezette middelen en in de behoefte voorzien.
C4. Stel vast en evalueer het proces om te waarborgen dat de meest recentste releases en versies van de hulpmiddelen worden ingezet. C5. Bepaal en evalueer het proces waarbij nieuwe hulpmiddelen worden geëvalueerd, geaccepteerd en beschikbaar worden gesteld voor gebruik.
Het voorbeeldoverzicht zou moeten laten zien of de hulpmiddelen nog in gebruik zijn OF zijn vervangen.
Afhankelijk van de diensten zouden de hulpmiddelen bijvoorbeeld de volgende onderwerpen moeten adresseren: • Netwerkbewaking; • Authenticatie/Wachtwoorden; • Service-Filtering; • Scanning hosts voor bekende kwetsbaarheden; • Integriteitcontrole; • Firewall, Proxy en Filtering; • Secure Remote Access / Autorisatie. Het proces zou procedures moeten bevatten voor het verkrijgen van: • Updates; • Patches. Het proces zou moeten waarborgen dat de meest recentste en geschiktste hulpmiddelen zijn geëvalueerd en aangeschaft of ontwikkeld vanaf het moment dat deze beschikbaar zijn gekomen.
Audit Scope D Bekijken van de gebruikerstrainingen van de hulpmiddelen die er voor zijn ontwikkeld om een computer beveiligingsincident of inbraak te detecteren en/of voorkomen. Doelstelling controlemaatregel Verwacht resultaat Waardering (N/B/A/O) D1. Verkrijg een overzicht van de Een recent overzicht van medewerkers die gebruiker zijn van medewerkers die gebruik maken de hulpmiddelen. van de hulpmiddelen zou beschikbaar moeten zijn. D2. Verkrijg een trainingsoverzicht van Een trainingsschema geeft enige medewerkers die de hulpmiddelen zekerheid dat de bij stap D1 zullen gaan gebruiken. genoemde medewerkers de juiste training hebben verkregen. D3. Stel het proces vast van het opnieuw Een proces zou moeten bestaan toewijzen van het gebruik van de om op verzoek het gebruik van de hulpmiddelen aan medewerkers als hulpmiddelen door andere resultaat van promoties, ontslag of werknemers als resultaat van pensionering. Het proces zou ook promoties, ontslag of pensionering een trainingsschema moeten toe te kunnen wijzen. bevatten.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
46 van 61
Team 812
Maart 2008
Audit Scope E Bekijken en evalueren van de rollen en verantwoordelijkheden van primaire functies die betrokken zijn bij het reageren op computer beveiligingsincidenten, inbraakdetectie en noodgevallen. Doelstelling controlemaatregel Verwacht resultaat Waardering (N/B/A/O) E1. Verkrijg een organisatieschema De volgende functies zouden waarin de functies en medewerkers moeten zijn vertegenwoordigd: zijn opgenomen die verantwoordelijk • Beveiligingscoördinator of zijn voor het computer afgevaardigde; beveiligingsincident, inbraak of • Netwerkspecialist; noodgevallen proces. • Platformspecialist (bijv. Linux, Windows Server en - XP); • Fraudespecialist; • Juridische medewerker; • IT-auditors.
E2. Evalueer de functies en medewerkers die worden genoemd in het verkregen organogram van stap E1.
E3. Interview een voorbeeld aantal medewerkers zoals genoemd in het verkregen organogram van stap E1 om vast te kunnen stellen of zij zijn doordrongen van hun taken en verantwoordelijkheden. Hun reactie zou een ervaring moeten bevatten met betrekking tot het meest recentste computer beveiligingsincident, inbraak of noodgeval.
Vrije Universiteit Amsterdam
Deze functies hoeven niet daadwerkelijk allemaal in het team zijn opgenomen, maar kunnen als rol ook buiten het team aan medewerkers zijn toegekend. Belangrijk is dat gekeken wordt naar de benodigde competenties binnen het team. De functies en medewerkers waarborgen dat: • De verantwoordingsstructuur het proces ondersteunt; • De functie van de medewerker voorziet in de behoefte van het computer beveiligingsincident, inbraak of noodgevallen proces; • Alle beschikbare functies zijn vervuld of binnenkort vervuld zullen gaan worden. Geen enkele functie zou langdurig vacant moeten zijn. Medewerkers hebben een duidelijk besef van hun taken en verantwoordelijkheden.
CSIRT vanuit een IT-audit perspectief
47 van 61
Team 812
Maart 2008
Audit Scope F Bekijk het computer beveiligingsincident, inbraak of noodescalatieproces. Doelstelling controlemaatregel Verwacht resultaat Waardering (N/B/A/O) F1. Verkrijg een kopie van het Het proces zou minimaal de volgende punten moeten computer beveiligingsincident, adresseren: inbraak, of noodescalatieproces • Controle of er zich daadwerkelijk een beveiligingsincident, inbraak of noodgeval heeft voorgedaan; • Het veiligstellen van interne communicatiekanalen; • Het inlichten van de juiste medewerkers; • Is de oorzaak van het probleem weggenomen; • Herstel van de getroffen systemen; • Op welk moment en in welke situaties wordt handhavende macht ingezet; • Vaststelling of het publiek wordt geïnformeerd; • Hoe wordt het proces bijgewerkt en verspreid onder de juiste medewerkers. F2. Selecteer een aantal voorbeelden De voorbeelden zouden moeten van echte beveiligingsincidenten, laten zien of het proces zoals inbraakpogingen of noodgevallen beschreven bij stap F1 is gevolgd. om vast te kunnen stellen of het escalatie proces is gevolgd zoals Het betreft hier veelal operationele beschreven bij stap F1. en vertrouwelijke gegevens die door de organisatie wellicht eerst nog worden “gesaneerd”. Tabel 12 – CSIRT audit werkprogramma
Legenda N Niet afdoende B Behoeft aandacht/verbetering A Afdoende O Onbekend
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
48 van 61
Team 812
Maart 2008
BIJLAGE F. Gespreksverslagen INTERVIEWVERSLAG I Datum: Betreft: Bedrijf: Locatie:
19-12-07 / 9:00 - 10:30 CSIRT Defensie (DTO) Den Haag
Aanwezig:
Lebna El Mhamdi (LEM - Defensie) Rob Schaap (RSC), Erwin den Bak (EDB) EDB
Auteur:
Inleiding RSC en EDB stellen zich kort aan LEM voor. RSC geeft een toelichting op de scriptie zoals die bij DTO wordt uitgevoerd. RSC merkt daarbij op dat het eerder genoemde onderzoeksobject CERT (Computer Emergency Response Team) niet juist is en dat dit het zgn. CSIRT (Computer Security Incident Response Team) moet zijn. EDB vraagt LEM of deze de door EDB opgestuurde vragenlijst goed heeft ontvangen. LEM heeft helaas geen exemplaar van de vragenlijst in haar email inbox aangetroffen. EDB bevestigd dat de vragenlijst op ma 17-12-2007 aan LEM is opgestuurd. LEM ontvangt ter plekke alsnog een papieren exemplaar. RSC geeft een introductie van de vragenlijst. Rol CSIRT Voor de zekerheid vragen EDB en RSC naar de rol van LEM binnen DTO in relatie tot het CSIRT en of LEM bekend is met de term CSIRT. LEM geeft aan dat zij bekend is met de term en dat zij voor ongeveer 70% betrokken is bij de juridische aspecten van de beveiliging in het algemeen en in het bijzonder voor 30% betrokken is bij CSIRT incidenten. LEM legt uit dat de taak- en functieomschrijving van een CSIRT-lid helder is (beschreven), maar dat over de uitvoering van de functie niet veel bekend is (het hoe). In een dreigingsituatie is direct handelen noodzakelijk, maar is niet altijd even duidelijk welke (IT) instrumenten de CSIRT-leden mogen inzetten. LEM uit haar twijfels over de rol van het CSIRT en of het CSIRT algemeen wordt geaccepteerd binnen DTO en overige departementen. LEM geeft als voorbeeld de dubieuze positie van het CSIRT binnen projecten en/of trajecten, waaronder offerteaanvragen. De praktijk is nl. dat het CSIRT te laat wordt betrokken/ingeschakeld. LEM legt uit dat wanneer er m.b.t. een beveiligingsincident en het nemen van een beslissing sprake is van beperkte denktijd en voorbereiding het hoofd beveiliging (HB=Erik Krom) de verantwoordelijkheid belegt bij de betrokken lijnmanager (commandant) zelf. LEM legt verder uit dat het CSIRT daarnaast ook nog over onvoldoende middelen beschikt om goed te kunnen functioneren. Het team wordt (nog) niet geheel geaccepteerd als volwaardige gesprekspartner en wordt nog teveel gezien als een groep techneuten die in belangrijke projecten wel eens vertragend zouden kunnen werken. Contacten en relevante websites N.a.v. de rol van een CSIRT binnen een overheidsorganisatie en de juridische complicaties die kunnen optreden bij het vervullen van de functie- en taakomschrijving neemt LEM telefonisch contact op met een collega van het Ministerie van Buitenlandse Zaken (Coen de Voogd, 0703484236, coen –
[email protected]). RSC geeft een korte inleiding van de scriptie en geeft aan graag in contact te willen komen met personen die ons (algemene en bijzondere) informatie kunnen geven m.b.t. CSIRT’s en de daaraan verbonden juridische aspecten. Coen is zeer welwillend en geeft een aantal websites op die het bezoeken waard zijn.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
49 van 61
Team 812
Maart 2008
- www.first.org (FIRST is the global Forum for Incident Response and Security Teams) - www.govcert.nl (tip: CERT in a box) - www.enisa.europa.eu (European Network and Information Security Agency) - www.kpn-cert.nl - cert.surfnet.nl - Securitymanagement magazine - Digitale Bibliotheek van de VU Amsterdam Coen noemt Scott McIntyre. Scott werkt bij XS4ALL, is lid van FIRST en is als technische professional actief binnen het CERT/CSIRT van XS4ALL. XS4ALL begeleid tevens diverse scriptietrajecten. Verder noemt hij nog Jaco Lighthart en Vincent Tielen van DTO, beide exmedewerkers van Govcert. Interviewvragen Gezien de tijd en het feit dat LEM de vragenlijst niet vooraf heeft kunnen doornemen worden alleen nog vraag 6 en 9 toegelicht. 6. Wat daarnaast wel interessant is om te weten is op welke problemen jij (de juriste/pre-CERT) in concreto al is gestuit en welke oplossingen ze heeft bedacht en in hoeverre deze in strijd waren met het standpunt van de BC en het standpunt van de juristen (en/of eigen IT auditors). - De huidige situatie is niet helder. In de meeste discussies neemt de lijnmanager (commandant) of de directie de beslissing of een actie m.b.t. een beveiligingsincident/project is toegestaan of niet; - Er is verder nog verschil tussen eigen DTO medewerkers en externen. T.a.v. eigen DTO medewerkers kunnen nog wel disciplinaire maatregelen worden getroffen indien een functionaris buiten zijn/haar boekje is gegaan. Voor overige situaties is dat meer diffuus; - M.b.t. het geven van juridisch advies bij beveiligingsincidenten is de huidige aanpak: bestudering van de voorliggende casus, raadplegen van relevante wetboeken, naslaan jurisprudentie en het raadplegen van de VIRBE (voorschrift informatie rijksdienst beveiliging). 9. In welke mate dienen pre-CERT leden op de hoogte te zijn van de wet- en regelgeving? Wat kan en mag je van ze verwachten? Volgen ze momenteel zelf al een vorm van een bepaald protocol? - Er wordt momenteel geen protocol gevolgd, anders dan het informeren en consulteren van het hoofd beveiliging en de interne juriste; - Verder is het voor CSIRT-leden niet haalbaar om op de hoogte zijn van de wet- en regelgeving. Momenteel worden – om misstappen te voorkomen - samen met de juriste de actuele kwesties getoetst. Dit geldt voor elk CSIRT-lid. - De werkmethode is veelal reactief. Is er een beveiligingsincident waarvan de juridische aspecten verder onderzocht moeten worden dan wordt de zaak bekeken en pas daarna gereageerd. Preventief handelen is erg lastig. Betrokken CSIRT leden kunnen onmogelijk exact van de relevante wet- en regelgeving op de hoogte zijn. LEM zegt toe tevens nog schriftelijk (per email) op wo 19-12-07 op de volledige vragenlijst te zullen reageren.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
50 van 61
Team 812
Maart 2008
INTERVIEWVERSLAG II Datum: Betreft: Bedrijf: Locatie:
22-1-08 / 15:00 – 17:00 CSIRT Defensie (DTO) Den Haag
Aanwezig:
Jan van Zessen (JVZ – Defensie), Rob Schaap (RS) en Erwin den Bak (EB). EB
Auteur:
Aanleiding T.b.v. het onderzoek benaderen RS en EB verschillende partijen met de vraag iets te vertellen over: Wat is CSIRT? Wat ziet u als belangrijkste aspecten van een referentiekader t.b.v.: a. medewerkers die betrokken zijn bij de oprichting van een CSIRT en b. auditors die betrokken zijn bij de toetsing van een CSIRT NB: tevens wordt continu de vraag gesteld of het hier gaat om: • De zienswijze van de geïnterviewde als professional; • Het de eigen mening is van de geïnterviewde; • Het puur het theoretisch kader betreft, o.b.v. beschikbare publicaties over dit onderwerp; • Het de reeds bestaande situatie betreft van de organisatie waar de geïnterviewde werkzaam is. Achtergrond JVZ geeft een korte toelichting op zijn achtergrond, waar hij de afgelopen jaren werkzaam is geweest en in welke functie. JVZ heeft binnen de Marine en overige onderdelen van Defensie verschillende (seniore) personele functies en bestuursfuncties bekleed, is Directeur/Hoofd Automatisering geweest en is momenteel binnen DTO (afdeling BBP=Bureau Beleid en Plannen) Senior Manager Consultant t.b.v. de directie. JVZ geeft verder aan dat binnen Defensie/DTO de stafafdelingen Communicatie, P&O, FD, IA (Audit) en E&F zullen worden samengevoegd tot de afdeling/eenheid Planning en Beleidsondersteuning. JVZ schetst kort de BG/IVENT organisatiestructuur. ACTIE JVZ: opsturen van een (zo volledig mogelijk) organogram. RS en EB geven daarna een korte toelichting over hun eigen achtergrond (wordt hier niet verder uitgewerkt). Interviewvragen Na de inleiding geeft JVZ antwoord op de 2 gestelde interviewvragen, waarbij hij opmerkt dat in zijn algemeenheid CERT en CSIRT synoniemen zijn en dat de naam CERT alleen gevoerd mag worden indien een beveiligingsteam is gecertificeerd door CERT/CC. Verder houdt CERT zich veelal (binnen Defensie?) bezig met beleidsmatige onderwerpen, terwijl CSIRT puur operationeel bezig is. Vraag 1 – Wat is CSIRT? JVZ geeft in hoofdlijnen aan wat hij verstaat onder een CSIRT en beschrijft dit begrip o.b.v. twee primaire aspecten: a. De rol van een CSIRT; b. De ophanging van het CSIRT binnen de staande organisatie. 1a – Rollen I. II. III. IV.
Beleidsondersteuning: green, white en red teaming Certificeringsonderzoeken: advies m.b.t. implementaties Brandweerfunctie: reactie op opgetreden incidenten en calamiteiten Bewustwording: Consensus en training
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
51 van 61
Team 812
I.
Maart 2008
Green: bijhouden van dreigingen van buitenaf en binnenuit m.b.t. beveiliging en de huidige ontwikkelingen (dreigingsanalyse, wat speelt er in cyberland en wat komt er op ons af); White: in overleg met en (veelal) op verzoek van de klantgroep/eenheid (bijv. netwerkbeheerders) kijken naar verschillende onderzoeksobjecten (bijv. een datacenter) en daarbij bepalen of het object voldoet aan gestelde veiligheidseisen; Red: het zonder aankondiging verrichten van onderzoek in opdracht van het hoger management naar de veiligheidsstatus van een object., vaak n.a.v. een calamiteit (waarbij een zgn. noodenveloppenprocedure geldt).
II. Het uitvoeren van onderzoek naar en het geven van advies over nog in te voeren computer en of informatiesystemen. Het (controle) onderzoek is gebaseerd op door Defensie eigen opgestelde (beveiligings) kwaliteitseisen en een certificering wordt alleen afgegeven indien is voldaan aan alle/een minimum aantal eisen. Hierbij wordt o.a. gekeken naar een ontwerpschets van een systeem en de feitelijke inrichting ervan. De certificeringonderzoeken hebben als doel het kunnen blijven monitoren van alle ontwikkeltrajecten op ICT gebied en het geven van bevindingen t.a.v. de beveiliging. Het CSIRT is niet eindverantwoordelijk voor een ontwikkeltraject. Hoofd CSIRT rapporteert aan een lijnmanager over de bevindingen. III. Hoe wordt er gereageerd op de verschillende soorten beveiligingsincidenten en welke “weerberichten” worden er afgegeven naar de organisatie over de impact van een eventuele dreiging. Hoe wordt een invulling gegeven aan de coördinatie m.b.t. calamiteitenplanning. IV. Verzorgen van trainingen, consensus verkrijgen en kweken (awareness) richting de klantgroep/eenheid en lijnmanagers t.a.v. de beveiliging van systemen en het belang ervan om dit goed te (laten) verzorgen. Dit aspect speelt een belangrijke rol bij ontwikkeltrajecten van computer en/of informatiesystemen en wordt getracht duidelijk te maken dat het CSIRT team hierbij een belangrijke gesprekspartner is/kan zijn. Deze rol wordt ingevuld door: het verzorgen van workshops en lezingen en deze te laten presenteren door zowel de specialisten als het hoofd van een CSIRT met als doel het voorkomen van beveiligingsincidenten en (eventueel) daaruit voortvloeiende calamiteiten. 1b – Ophanging in de organisatie JVZ geeft aan dat binnen Defensie is gekozen om het CSIRT onderdeel te laten zijn van de IV/ICT beheersorganisatie, maar dat de aansturing direct wordt gegeven door de Bestuursorganisatie (Beveiligings Autoriteit). Het CSIRT staat dus niet op zichzelf. Het CSIRT heeft geen lijnverantwoordelijkheid naar een IV/ICT, maar er is een nauwe samenwerking en de communicatie is veelal direct en informeel. De samenwerking tussen CSIRT en IV/ICT dient goed te zijn om het daadwerkelijk doorvoeren van een oplossing voor een beveiligingsincident goed te laten verlopen. Apropos. Het CSIRT bij Defensie/DTO is voortgekomen vanuit de eigen IV/ICT beheersorganisatie. Beveiligingsincidenten worden direct neergelegd bij het CSIRT. JVZ merkt verder op dat de ophanging van een CSIRT sterk afhankelijk is van het type organisatie en de ingevoerde organisatiestructuur.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
52 van 61
Team 812
Maart 2008
Vraag 2 – Aspecten referentiekader Bekeken vanuit de oprichter van een CSIRT en een auditor die een CSIRT dient te toetsen. Oprichter a. Het kunnen leveren/opzetten van een goede lab/test werkomgeving b. Voldoende toegang tot computers en informatie(systemen) c. De CSIRT-leden dienen de juiste competenties te hebben (kennis en vaardigheden) d. Vanuit het hoger management dienen de juiste mandaten te zijn opgesteld e. De taken, verantwoordelijkheden en bevoegdheden dienen te zijn uitgewerkt f. Er dient een goede vertrouwensrelatie te zijn tussen het CSIRT en de ICT beheersorganisatie g. De communicatie richting de beheersorganisatie en de gebruikersgroepen dient goed te worden verzorgd. Auditor a. Controleren op het misbruik van bevoegdheden i.h.k.v. ‘red-teaming’ b. De vastlegging van gevolgde procedures i.h.k.v. ‘red-teaming’. Hierbij kan een opsporingsbevel van kracht zijn c. Toetsing van de afhandeling van beveiligingsincidenten en calamiteiten d. Is de lab/test omgeving nog representatief in vergelijking met de productieomgeving e. Hoe is de aansluiting van de bevindingen van een CSIRT (over een onderzoeksobject) op het dreigingsprofiel van de gebruikersgroep waarvoor een rapport is opgesteld f. Hoe is de aansluiting van een uitgevoerd (certificerings) onderzoek door het CSIRT, de daaraan gekoppelde bevindingen en de uitgevoerde acties van een lijnmanager g. Toetsing van de ondernomen acties en gevolgde procedure m.b.t. calamiteitenplanning h. De status van een eventuele screening van CSIRT-leden die van toepassing kan zijn, i.v.m. de toegang tot vertrouwelijke informatie. i. Hoe vaak en op welke manier is men opgetreden om aan training en communicatie een invulling te geven. De indeling die JVZ geeft m.b.t. de auditorsrol is gebaseerd op de overall rollen van een CSIRT. Rol 1 Beleidsondersteuning: a t/m e, rol 2 Certificeringsonderzoeken: f, rol 3 Brandweerfunctie: g en h, rol 4 Bewustwording: i. Acties JVZ -
toesturen van een organogram toesturen van een beschrijving: wat is een incident en wat is een calamiteit Lebna El Mhamdi (DTO-juriste) contacten om te reageren op een door RS en EB opgestuurde vragenlijst en interviewverslag.
-
ter afstemming het toesturen van het interviewverslag naar JVZ
RS/EB
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
53 van 61
Team 812
Maart 2008
INTERVIEWVERSLAG III Datum: Betreft: Bedrijf: Locatie:
28-1-08 / 10:00 – 11:30 CSIRT SURFnet Utrecht
Aanwezig:
Jacques Schuurman (JS – SURFnet), Rob Schaap (RS) en Erwin den Bak (EB) EB
Auteur:
Aanleiding T.b.v. het onderzoek benaderen RS en EB verschillende partijen met de vraag iets te vertellen over: Wat is CSIRT? a. Achtergrond van de organisatie waarbinnen CSIRT actief is b. Structuur, organisatie en ophanging van CSIRT c. Rollen en diensten van CSIRT Wat ziet u als belangrijkste aspecten van een referentiekader t.b.v.: a. Medewerkers die betrokken zijn bij de oprichting van een CSIRT en b. Auditors die betrokken zijn bij de toetsing van een CSIRT Achtergrond RS en EB geven een korte toelichting over hun achtergrond (wordt niet verder uitgewerkt). JS geeft een korte toelichting over zijn achtergrond, waar hij de afgelopen jaren werkzaam is geweest en in welke functie. JS heeft eind jaren tachtig de Informatica opleiding aan de VU gedaan. Daarna heeft JS zich van ‘89-’98 bezig gehouden met het opzetten van een campusnetwerk inclusief de bijbehorende organisatie. Na een korte uitstap naar de commerciële sector is JS in ‘99 begonnen bij SURFnet als aanvoerder van het SURFcert. Interviewvragen Na de inleiding geeft JS antwoord op de 2 gestelde interviewvragen, waarbij hij opmerkt dat het wereldje van CERT/CSIRT erg klein is. Ter illustratie: JS is bevriend met Klaus-Peter Kossakowski, één van de auteurs van het Handbook CSIRT. Men komt bij conferenties, symposia en themadagen vaak weer dezelfde bekende sprekers tegen. Daarnaast merkt JS op dat CSIRT’s bij bijvoorbeeld vele universiteiten vanuit de praktijk als wens/eis op een natuurlijke manier zijn ontstaan, zonder de hulp van een handboek CSIRT. De gehanteerde werkmethoden leiden dan later tot een ‘proof of concept’, waarbij een handboek als een soort glazuurlaag functioneert om een CSIRT-team verder te organiseren. Vraag 1 – Wat is CSIRT? Deze vraag valt uiteen in: a. De achtergrond van SURFnet, hoe deze is ontstaan en georganiseerd; b. De organisatie/ophanging van het CSIRT binnen de staande organisatie; c. De taken/rollen/diensten van CSIRT. 1a – SURFnet als organisatie De stichting SURFfoundation is opgericht in 1986 en heeft de volle 100% aandelen van de SURFnet B.V. De stichting bestaat er voor de universiteiten, hogescholen en onderzoeksinstellingen. De stichting staat onder toezicht van de Raad van Toezicht, terwijl SURFnet onder toezicht staat van de Raad van Commissarissen. SURFnet B.V. telt ca. 62 medewerkers. Het operationele werkgebied van het aanbieden van een hoogwaardig netwerk wordt uitgevoerd door SARA en Telindus. De missie van SURFnet omvat vrij vertaalt voornamelijk “het aanbieden van een hoogwaardig computernetwerk met een hoge prestatie”. Geld is geen leidmotief. SURFnet biedt Nederland momenteel SURFnet6, een netwerk van traditionele IP en lichtpaden. Samen vormen zij een backbone met een bandbreedte van 40Gbps. Aan het netwerk zijn universiteiten, hogescholen en onderzoeksinstellingen gekoppeld.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
54 van 61
Team 812
Maart 2008
Bij elkaar ongeveer 180 instellingen. Inclusief de eindgebruikers telt het netwerk ongeveer 900.000 klanten. Ten behoeve van testing (Research & Development) mogen onder bepaalde voorwaarden ook commerciële instellingen (tijdelijk) gebruik maken van het netwerk. SURFnet is echter geen ISP. TERENA (te Amsterdam) is de Europese overkoepelende organisatie waarin elk NREN van de individuele landen is ondergebracht. SURFnet is daarvan dus ook lid, net als Frankrijk, Duitsland, etc. Bij elkaar ongeveer 33 leden. Elk land kent zijn eigen NREN (National Research Education Netwerk). SURFnet is dat dus voor Nederland. TERENA faciliteert bijeenkomsten om de leden (NREN’s) op de hoogte te houden van uiteenlopende onderwerpen: beveiliging, mobility, Next Generation Network, etc. Binnen een NREN houdt een Taskforce (TF) zich vervolgens ook weer bezig met bepaalde onderwerpen. SURFnet wordt op dat gebied (in ieder geval Europees) gezien als trendzettend. Wereldwijd zijn de verschillende CSIRT’s georganiseerd in FIRST. 1b – Ophanging CSIRT in de organisatie In ’92 is de voorloper van het huidige SURFcert opgericht. Het CSIRT team telt momenteel 10 mensen, zo’n 2 fte. Van die 10 werken er 6 bij SURFnet zelf en 4 bij aangesloten instellingen. De reden om externen in het team op te nemen: - deze leden zijn een afspiegeling van de doelgroep - ze hebben feeling met de eindgebruikers - de vereiste kennis en vaardigheden van de door de klant gebruikte programmatuur en besturingssystemen is aanwezig. Bij de aangesloten universiteiten en hogescholen is veelal een eigen CSIRT actief die nauw samenwerkt met SURFcert. JS noemt als voornaamste randvoorwaarden voor het SURFcert: - het moet 7x24 beschikbaar zijn - de expertise van de beheerders moet breed zijn vertegenwoordigd (Unix, Windows, netwerken, routering) - het team moet daarnaast ook nog goedkoop zijn. JS is vervolgens verantwoordelijk voor de functionele aansturing van het CSIRT, mag geen mensen ontslaan, wel mensen uit het team zetten en rapporteert aan de directeur van SURFnet B.V. Deelnemen aan het CSIRT kan alleen op basis van voordracht. Je wordt dus door een ander als een geschikte kandidaat voorgedragen, je kunt niet naar een CSIRT-functie solliciteren. De huidige opzet van het SURFcert (CSIRT) wordt niet alleen door veel organisaties binnen het onderwijs gekopieerd, maar ook in de commerciële sector (denk aan Philips). JS merkt op dat er (bijna) geen verschil is tussen een non-profit organisatie en een commercieel bedrijf. Het belangrijkste is gewoon dat het team het juiste mandaat heeft gekregen, zodat het in geval van calamiteiten direct en adequaat kan optreden (bijvoorbeeld het (laten) afsluiten van een gedeelte van het netwerk). 1c – Taken/rollen/diensten CSIRT JS noemt in het kort als belangrijkste (minimale) taken: - incident response (zonder deze taak mag het zich geen CSIRT noemen) - voorlichting (ter voorkoming van incidenten/calamiteiten). Het SURFnet-netwerk is een open netwerk en SURFnet als B.V. is verplicht (maar wil dit ook zelf) kennis met anderen te delen. - Advies en preventie t.a.v. (nog) in te voeren (informatie)systemen bij aangesloten klanten. Dit heeft geen bindende status. SURFnet verzorgt wel accreditaties van CSIRT’s. SURFcert doet zelf geen security audits voor klanten. Dit doen andere marktpartijen. De bij SURFnet aangesloten organisaties dienen zelf aan calamiteitenplanning te doen. Bij het zich manifesteren van een calamiteit/incident assisteert SURFcert wel. JS vergelijkt de rollen van SURFcert wel met de rollen van brandweer, ambulance, politie.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
55 van 61
Team 812
Maart 2008
Vraag 2 – Aspecten referentiekader JS noemt de onderstaande voornaamste aspecten bekeken vanuit de oprichter van een CSIRT en een auditor die een CSIRT dient te toetsen: •
4. 5. 6.
7.
Het op orde hebben van de interne procedures en de bekendheid hiermee door de teamleden en het management. De borging van team is van belang, waarbij ook de bereidheid dient te worden getoetst om mee te werken in het geval van een calamiteit/incident. • De werkkaders dienen op orde te zijn: 1. Uitvoeringsaspecten van werkprocessen 2. Wat mag wel/niet (intern gericht binnen het CSIRT en extern gericht gerelateerd aan de klant). Het bekijken van de patronen van het netwerkverkeer van een klant mag namelijk wel, maar het inhoudelijk inspecteren van de informatie weer niet. Het beschikken over de informatie mag wel, maar het delen van de informatie met anderen niet. Hoe is de extern gerichte informatiehuishouding georganiseerd? Is deze veilig? Gebruik van PGP? CSIRT-leden tekenen een geheimhoudingsverklaring, maar ondergaan geen officiële screening. Het toetsen van de veronderstelde kennis van de CSIRT-leden: 1. Kan alleen door te kijken naar de competenties. Dit doet de organisatie zelf. 2. Bij het ontbreken van verwachte/vereiste know how wordt op eigen initiatief de kennis alsnog verworven door trainingen en cursussen De continuïteit van het CSIRT dient te worden gewaarborgd (denk aan het personele verloop en het wegvallen van kennis)
EB: Denk je dat als CSIRT’s hun werk goed doen en daarbij vanuit de voorlichtende rol de IT beheersorganisatie op het gebied van beveiliging weet te professionaliseren, deze teams zich zelf op den duur overbodig maken? JS: Neen. CSIRT’s zullen nodig blijven, ook al ontstaan er nieuwe bedreigingen waar geen geëigende procedures voor zijn ontwikkeld. Het inventieve vermogen van een CSIRT blijft altijd belangrijk voor een organisatie. Acties RS/EB 3. ter afstemming het toesturen van het interviewverslag naar JS
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
56 van 61
Team 812
Maart 2008
INTERVIEWVERSLAG IV Datum: 8-2-08 Betreft: CSIRT Bedrijf: Fox-IT Locatie: Delft Aanwezig: Afwezig: Auteur:
Mark Koek (MK – Fox-IT), Rob Schaap (RS) Erwin den Bak (EB) RS
Inleiding RS geeft eerst de doelstelling van dit gesprek aan: Welke ervaringen MK heeft met de werking van CSIRT, welke diensten ze verrichten, wat de organisatorische ophanging is en welke aspecten van belang zijn bij de opzet en audit van een CSIRT. MK heeft eerst een aantal jaren samengewerkt met Don Stikvoort,
[email protected], in verschillende functies waaronder een secretariële functie voor de FIRST – organisatie. Daarna voor Govcert om CERT voor de Rijksoverheid te introduceren en te implementeren, voor Deloitte als Consultant en sinds eind 2007 bij Fox–IT als coördinator security audits. Diensten die een CSIRT aanbiedt 1. Correctieve incident response = de hoofdtaak 2. Preventief: • Geven van waarschuwen over geconstateerde kwetsbaarheden of bedreigingen aan de Beheer organisatie. • Security awareness, dus bijdragen aan de bewustwording van Informatie Beveiliging. 3. Consultancy, dus bijdragen aan het oplossen van incidenten en calamiteiten. 4. Advisering in de situatie dat de organisatie eigen software ontwikkelt. Een naam die hierbij wordt genoemd is Ken van Wyk, die hierover een boek heeft geschreven. Organisatorische plaats van een CSIRT MK geeft aan dat een CSIRT vaak is ontstaan vanuit de bestaande IT – organisatie, met als doel een afzonderlijk team ter beschikking te hebben, die op een hoog technisch vlak ondersteuning geeft aan deze IT – organisatie. Voorwaarden zijn wel een goede relatie tussen de IT – beheerorganisatie en het CSIRT en een duidelijk geformuleerd mandaat voor CSIRT m.a.w. wat mogen ze wel en niet. In de praktijk uit dit zich vaak in de oprichting van een zogenaamde Virtuele CSIRT. Dit is een team die een bepaald % van hun taak besteedt aan inwinnen van informatie over mogelijke bedreigingen, aanwezigheid van kwetsbaarheden binnen de huidige IT – infrastructuur en het verstrekken van adviezen. Aspecten van belang zijn bij de opzet van een CSIRT • Het hebben van voldoende gekwalificeerd personeel, niet alleen op het vlak van een brede vaktechnische kennis maar ook de communicatieve en management technische vaardigheden om een bepaald incident c.q. calamiteit feitelijk te stoppen. • De aanwezigheid van een breed netwerk, individueel en via de officiële kanalen. • Beheersing van de techniek van incidenttracking • Hebben van een mandaat, goed en duidelijk omschreven. • Het hebben van vertrouwen binnen de organisatie. Collega’s willen niet vaak “de vuile was buiten hangen”. Aspecten van belang zijn bij de audit van een CSIRT • Vaststellen van de opzet, bestaan en werking van de aanwezige procedures voor informatiebeveiliging • Op welke wijze is de vertrouwelijkheid van de gegevens van derden gewaarborgd. • Screening van eigen personeel en ingehuurd personeel. • Voldoen aan de verbeterde Code voor Informatiebeveiliging o.a. hoofdstuk 12 en 13.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
57 van 61
Team 812
Maart 2008
INTERVIEWVERSLAG V Datum: Betreft: Bedrijf: Locatie:
11-2-08 CSIRT KPN-CERT Den Haag
Aanwezig:
Martijn van der Heide (MH), Rob Schaap (RS) Erwin den Bak (EB) RS
Afwezig: Auteur:
CERT = een gedeponeerde handelsnaam, die slechts na toestemming gebruikt mag worden. MH is gestart bij Unisource en werd lid van UniCERT t.b.v. zakelijke klanten voor de ondersteuning bij incidenten en ondersteuning bij technische problemen. In 2002 / 2003 heeft hij KPN-CERT opgericht t.b.v. het KPN netwerk zelf en naar de klanten toe. Dit onderscheid is bewust opgezet om een onderscheid aan te brengen tussen de interne omgeving, beveilig dit eerst goed, en de externe omgeving waar de klanten zich begeven. Binnen KPN onderscheiden ze meerdere onderdelen / divisies, die allemaal een eigen security team hebben. Eenmaal per 2 weken is er een overleg waar deze verantwoordelijken van deze onderdelen bij elkaar komen om 1. problemen met elkaar te bespreken en delen en 2. ontwikkelingen aan elkaar toe te lichten met security als gemene deler. KPN-CERT bestaat uit 6 personen, die onderverdeeld zijn naar de takken: • Zakelijke ISP, 2 personen • Particuliere ISP, 2 personen • XS4ALL • Mobiele tak. De meeste personen werken parttime binnen deze taken, echter MH werkt eigenlijk 100% voor het KPN-CERT. De organisatorische plaats van het KPN-CERT is binnen operations. Er wordt via KPN Security maandelijks naar de CFO dus Raad van Bestuur gerapporteerd. Op Corporate niveau wordt door KPN Security dan ook de Policy en richtlijnen opgesteld. MH, zou jij nog willen kijken of deze ter beschikking kunnen worden gesteld?? Diensten die het KPN-CERT verricht 1. Incident Management zowel de signalering als de oplossing of adviseren over de oplossing. 2. Onderhouden van contacten met de buitenwereld t.b.v. wat komt eraan aan bedreigingen. 3. Adviseren over gesignaleerde kwetsbaarheden en communiceren naar de afzonderlijke security omgevingen. 4. Scanning van applicaties. 5. Code reviews 6. Ondersteuning op het gebied van security bij het bouwen van nieuwe applicaties. Aandachtspunten bij het oprichten van een CSIRT 1. Wat kan je leveren aan wie, eerst het mandaat verkrijgen en duidelijk inrichten in alle geldingen van de organisatie. 2. Leg de relaties naar de organisatie en overtuig de ( interne ) klanten ervan welke toegevoegde waarde wordt geleverd. Eerst de direct productieve diensten maar ook aandacht voor de stafafdelingen zoals HR, Legal, Financiën etc. 3. Blijf permanent alert op benodigde kennis en vaardigheden en zorg er dus voor dit in huis te hebben.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
58 van 61
Team 812
Maart 2008
Aandachtspunten bij het auditen van een CSIRT 1. 2. 3. 4. 5.
Goede vastlegging van de incidenten gewaarborgd, wat was er eigenlijk aan de hand? Afhandeling van de incidenten volgens afgesproken procedures gelopen? Is de vertrouwensrelatie bij Informatie – overdracht niet geschonden Is informatie over incidenten altijd beveiligd, encrypt, verzonden? Attentie voor de juridische kant vooral ook bij het verkrijgen van informatie t.b.v. de bewijslast. 6. Waarborg van up to date zijn via nationale en internationale netwerken?
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
59 van 61
Team 812
Maart 2008
INTERVIEWVERSLAG VI Datum: Betreft: Bedrijf: Locatie:
11-2-08 CSIRT XS4All Internet B.V. Diemen
Aanwezig:
Scott McIntyre (SM), Rob Schaap (RS) Erwin den Bak (EB) RS
Afwezig: Auteur:
SM is the Security Officer at XS4ALL with a team of 4 colleagues. XS4ALL makes no difference between security issues to customers or by customers, however, the handlers of security and abuse incidents (Abuse Beheer) do not directly interact with customers. Another department, the Abuse Centre, is focussed on customer-contact. Abuse Beheer (the sub-department SM works in) is responsible for all incident handling, both for events effecting XS4ALL as a company and their customers. XS4ALL has one Security Officer and one Privacy Officer. The third member of the Abuse Beheer team spends 50% of his time handling abuse/security incidents, and 50% working with overall system administration and filesystem maintenance for XS4ALL and her customers. The fourth member of the team works directly with customers of collocation and hosting, providing some hands-on assistance to customers of these products requiring security assistance. SM mentioned that the set – up of a CSIRT strongly depends on the kind of organisation and the services they provide. So it’s difficult to have a general framework which you can use for setting up a CSIRT in every organisation. SM explains here that you can not have a template which works for every company or organisation in setting up a CSIRT. There are a number of guides and frameworks out there (ENISA has an excellent one, so does CERT/CC) which tell you how to take inventory of your organisation, and how to define the services you want your CSIRT to cover, but every CSIRT must reflect the organisation it is based in. The way XS4ALL works is not the same as KPN, or Planet or many other organisations. But our system addresses the needs our organisation has. Beside these people there are also structures for coordination. Bi-weekly Security meetings with members of the CSIRT, technical and development officer and process minded people. The abuse centre with the core competences technique and communication with the different customers, business and retail. The abuse – centre is a so called Help Desk with security background. Important point: the Abuse Centre ONLY works on Abuse issues, They have special training and tasks, and do not help people with general Internet issues. We do this for security and privacy reasons, to make sure customers receive specialised knowledge and assistance. Organizational set – up of the CSIRT in XS4ALL Director XS4ALL Manager technique and development Manager System Administration Operational Security Officer In other words, as the Security Officer SM reports directly to the overall manager of Technique and Development, as well as to the Director, as needed. Set – up is strongly operational orientated, especially in handling security incidents. This is partially due to the nature of our work. XS4ALL is a very technical organisation and our handlers of security incidents must have a technical understanding and background.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
60 van 61
Team 812
Maart 2008
Important aspects in the case of setting up a CSIRT • • • • •
Mandate of the constituency; Clearness in who you are, what are you going to do (approach) and who you are helping (who is the customer); Support in the organization (From management!); Make a risk inventory before you start with your team. Also make an inventory of the services and products your company/organisation creates. By knowing what you have and what you do, you can better define your CSIRT to fit your needs; Attention to Pro Active Work like training, education, security thinking in the organisation etc.
Important aspects in the case of auditing a CSIRT • Measuring effectiveness and efficiency of the team; • Procedure how to work not only available but also used in a correct way; • Legal Compliances like “Wet Computercriminaliteit”, “Wet Bescherming Persoonsgegevens”etc. Availability of a juridical department or specialist.
Vrije Universiteit Amsterdam
CSIRT vanuit een IT-audit perspectief
61 van 61