Cyberbeveiliging: de hoeksteen van een veilige, verbonden maatschappij
Tyson Storch* Trustworthy Computing Microsoft Corporation 9 maart 2012
* Diverse reviewers hebben een belangrijke bijdrage geleverd en geholpen bij het samenstellen van dit document.
Zie bijlage B voor een lijst van personen die een bijdrage hebben geleverd.
1
Inhoud Deel I: Inleiding ......................................................................................................................................... 3 Deel II: Wat is cyberbeveiliging?........................................................................................................... 3 Deel III: De aanpak van Microsoft ........................................................................................................ 5 A.
Inzicht in mogelijke bedreigingen................................................................................................. 6 1.
Cyberaanval - Redenen ............................................................................................................... 6
2.
Cyberaanval − Basismethoden................................................................................................... 7
B.
Miscrosofts benadering van risicomanagement .......................................................................... 8 1.
Ontwikkeling van veilige producten verbeteren en beveiligingslekken in producten aanpakken .................................................................................................................................... 8
2.
Beveiliging voor de toeleveringsketen verbeteren .................................................................. 9
3.
Operationele beveiliging verbeteren ...................................................................................... 10
4.
Beveiliging tegen social engineering verbeteren .................................................................. 12
Deel IV: Nieuwe nationale benaderingen voor cyberbeveiliging ............................................... 13 Deel V: Samenwerking bij het ontwikkelen van een beter beveiligde cyberspace ................ 14 A.
Gecoördineerde nationale strategie voor cyberbeveiliging ..................................................... 14
B.
Flexibel risicomanagement........................................................................................................... 15
C.
Informatie delen ............................................................................................................................ 17
D. Internationale gevolgen .................................................................................................................. 18 Deel VI: Conclusie ................................................................................................................................... 18
2
Deel I: Inleiding Cyberbeveiliging is de hoeksteen van een wereld waarin veel gebruik wordt gemaakt van netwerken. In de komende jaren zal er wereldwijd een ongekende groei plaatsvinden in het aantal internetgebruikers en apparaten. Dit zal leiden tot een ware gegevensexplosie, waardoor enorme kansen en grote uitdagingen ontstaan. Voor beleidmakers van overheden, de belangrijkste doelgroep van dit document, zijn deze uitdagingen onder andere het beschermen van volksgezondheid, openbare veiligheid, economie en nationale defensie. Al deze onderwerpen vormen kernpunten bij het besturen van een modern land. Doordat Microsoft ervaring heeft in risicomanagement bij cyberbeveiliging voor meer dan een miljard klanten, hebben we een goed inzicht in de huidige en toekomstige uitdagingen. Trustworthy Computing van Microsoft bestaat nu tien jaar. Bij onze inzet voor meer beveiliging, privacy en betrouwbaarheid blijven we de nadruk leggen op samenwerking met overheden, bedrijven en burgers. Door samen te werken in een maatschappij met steeds meer netwerkgebruik, kunnen we bouwen aan een veiligere, betrouwbaardere computerervaring. Dit document behandelt de volgende onderwerpen: 1) de aanpak van cyberbeveiliging met Trustworthy Computing, 2) observaties over nieuwe nationale benaderingen en 3) aanbevelingen aan beleidsmakers bij overheden voor het opstellen van maatregelen en procedures voor het aanpakken van belangrijke zorgen over cyberbeveiliging. Gecoördineerde strategieën voor nationale cyberbeveiliging, flexibel risicomanagement en het wereldwijd delen van informatie zullen essentieel zijn voor het succes van deze inspanningen.
Deel II: Wat is cyberbeveiliging? Cyberbeveiliging omvat allerlei verschillende concepten, van informatiebeveiliging tot operationele beveiliging en beveiliging van computersystemen. Cyberbeveiliging heeft voor verschillende groepen een verschillende betekenis. Voor individuele burgers betekent het dat zij zich veilig voelen en dat hun persoonlijke gegevens en privacy beschermd zijn. Voor bedrijven draait cyberbeveiliging om het waarborgen van de beschikbaarheid van essentiële bedrijfsfuncties en de bescherming van vertrouwelijke gegevens door operationele beveiliging en informatiebeveiliging. Voor overheden betekent dit het beschermen van burgers, bedrijven, essentiële infrastructuur en computersystemen van de overheid tegen aanvallen of storingen. De definities kunnen variëren, 3
maar cyberbeveiliging staat in wezen voor de gezamenlijke activiteiten en middelen waarmee burgers, bedrijven en overheden op een veilige, vertrouwelijke en betrouwbare manier kunnen voldoen aan hun doelstellingen op het gebied van computergebruik. Voor beleidsmakers bij de overheid omvatten dergelijke doelstellingen het beschermen van de volksgezondheid en openbare veiligheid, economische veiligheid en nationale defensie. Deze onderwerpen zijn essentieel voor het besturen van een modern land. Tegenwoordig vormt ICT een essentieel fundament van de moderne maatschappij en van de manier waarop overheden openbare diensten, economische groei en nationale veiligheid beheren. In de Europese Unie is de ICT-sector bijvoorbeeld rechtstreeks verantwoordelijk voor vijf procent van het bruto binnenlands product.1 De invloed van ICT op andere sectoren is misschien nog wel belangrijker. Deze bedraagt 75% van de algehele economische invloed van het internet.2 ICT kan helpen bij het verwezenlijken van belangrijke overheidsdoelstellingen, zoals economische stabiliteit, veiligheid, vrijheid, sociale stabiliteit, openbare veiligheid en onderwijs. Dit alles kan leiden tot verbetering van het algehele welzijn en de levenskwaliteit van de bevolking. Tegelijkertijd vormt afhankelijkheid van ICT een steeds groter risico. Een gevarieerde groep spelers, van natiestaten tot geavanceerde criminele organisaties met veel financiële middelen of los samenwerkende groepen "hacktivisten", richten hun pijlen op een omgeving waarin steeds meer netwerken worden gebruikt. Hierdoor ontstaan er voor beleidsmakers nieuwe uitdagingen, zoals de mogelijkheid voor aanvallers om anoniem en razendsnel aan te vallen (een toetsaanslag reist in 150 milliseconden de wereld rond); een snelle groei van het aantal mobiele apparaten die mogelijk minder goed beveiligd zijn dan traditionele pc's; en een stijging van het aantal internetgebruikers wereldwijd, die door hun eigen werkwijzen nieuwe kwetsbare punten kunnen veroorzaken. Door deze dynamiek zal cyberbeveiliging een noodzakelijke hoeksteen voor de ICT-sector als geheel blijven om de rol als motor van innovatie, groei, werkgelegenheid en sociale ontwikkeling te behouden. Naarmate cyberspace zich verder ontwikkelt en de invloed van ICT op elke sector van de economie toeneemt, moet ook cyberbeveiliging verder worden ontwikkeld aangezien er nieuwe omgevingen en dreigingen ontstaan. Dreigingen en technologieën hebben de potentie om zich veel sneller te ontwikkelen dan regelgeving. Daarom moeten overheid en industrie samenwerken om passende frameworks te ontwikkelen waarmee oplossingen voor cyberbeveiliging de dreigingen kunnen bijhouden terwijl er ruimte voor innovatie blijft. Een belangrijke manier om veranderende dreigingen te kunnen bijhouden, is ervoor te zorgen dat 1
Zie het bericht van de Europese Commissie: Digitale agenda voor Europa COM (2010) 245 Zie het rapport van McKinsey Global Institute: Internet matters: The Net’s sweeping impact on growth, jobs and prosperity (2011, Engelstalig) 2
4
overheid en industrie zich niet alleen richten op resultaten, maar ook op het proces. Samengevat draait het om het ontwikkelen van een op risico's gebaseerde beveiliging in plaats van toepassing van standaard compliance.
Deel III: De aanpak van Microsoft We raden beleidsmakers aan om bij het ontwikkelen van hun eigen beleid en procedures voor hun burgers de praktijkaanpak van Microsoft in overweging te nemen, die in dit Deel III wordt besproken. Na tien jaar Trustworthy Computing stellen we vast dat onze inzet voor grotere veiligheid, privacy en betrouwbaarheid3 van onze producten en diensten belangrijker is dan ooit. Door onze ervaring bij het beheersen van risico's hebben we een goed inzicht in huidige en toekomstige uitdagingen voor beleidsmakers van overheden bij het ontwikkelen van strategieën, plannen en regelgeving op het gebied van cyberbeveiliging. We hebben bijvoorbeeld methoden en tools zoals de Security Development Lifecycle (SDL) ontwikkeld, waarmee beveiligingslekken in onze producten worden beperkt. Ook hebben we defensieve functies ontwikkeld, zoals de functies die het Microsoft Security Response Center heeft ontwikkeld, waarmee we efficiënt kunnen reageren wanneer er nieuwe lekken of aanvallen worden vastgesteld. Deze inspanningen hebben een meetbare, positieve invloed gehad op het beveiligingsprofiel van onze producten en diensten. Microsoft is actief in alle onderdelen van de beveiligingssector en het IT-ecosysteem. We werken samen met beleidsmakers, technische en commerciële leiders, normalisatie-instellingen en belangengroepen, zoals SAFECode,4 om op te komen voor beveiligingsinnovatie en een betere computerervaring voor iedereen. Hierna volgt een beknopt overzicht van Microsofts benadering van risicomanagement, waaronder inzicht in de ontwikkeling van mogelijke bedreigingen en de toepassing van deze kennis om onze producten en diensten veiliger te maken. Risico's kunnen nooit volledig worden weggenomen, maar kunnen wel worden beheerst (bijvoorbeeld geaccepteerd, overgedragen of beperkt). Risicomanagement is misschien niet nieuw voor overheden, maar bij cyberbeveiliging komen heel andere uitdagingen kijken. Overheden, bedrijven en burgers kunnen profiteren van onze ervaring en procedures wanneer zij hun eigen beveiligingsrisico beter willen begrijpen en beheersen.
3
In dit document wordt niet specifiek ingegaan op privacy en betrouwbaarheid, maar deze elementen zijn ook steunpilaren van Trustworthy Computing. Ga voor meer informatie over privacy en betrouwbaarheid naar de Trustworthy Computing-website. 4
Zie Software Assurance For Excellence in Code (Engelstalig) op www.safecode.org.
5
A. Inzicht in mogelijke bedreigingen Als overheden werken aan hun doelstellingen voor nationale veiligheid door effectieve cyberbeveiliging, is het van essentieel belang dat zij inzicht hebben in de belangrijkste aanvalsredenen en -methoden. Zo kunnen zij effectief en efficiënt middelen inzetten om de risico's te minimaliseren.
1. Cyberaanval - Redenen In het technisch document Rethinking the Cyber Threat - A Framework and Path Forward (Engelstalig) verdeelt Scott Charney5 de redenen voor cyberaanvallen in vier hoofdcategorieën:
5
Cybercrime omvat de grootste categorie (van jongeren tot veelplegers) en het grootste aantal redenen en activiteiten (van complexe fraude tot ernstige beschadigingen van IT-systemen in vredestijd). Economische spionage betreft het binnendringen bij bedrijven en andere organisaties om intellectuele eigendommen, handelsgeheimen of andere waardevolle gegevens te stelen. Economische spionage blijkt te worden bedreven door kwaadwillenden die zelfstandig handelen, evenals door personen die werken namens overheden van landen die hun eigen industrieën steunen door intellectueel eigendom te stelen uit andere landen (of landen die niet optreden tegen dergelijk diefstallen). Binnen deze categorie hebben overheden duidelijk verschillende opvattingen over de definitie van aanvaardbaar gedrag. Veel landen vinden bijvoorbeeld dat bedrijven moeten concurreren op een eerlijk speelveld en dat juridische systemen de rechten moeten beschermen van bedrijven die nieuwe ideeën ontwikkelen. Een ander verschil van opvatting, dat nog meer problemen oplevert dan economische spionage, heeft betrekking op de vrijheid van meningsuiting. Militaire spionage heeft betrekking op de aantijgingen dat een nationale overheid binnendringt in gegevenssystemen van een andere overheid, bijvoorbeeld bij overheidsinstellingen en/of defensie. Zonder af te doen aan de ernst van deze aantijgingen, is het belangrijk om te erkennen dat militaire spionage al sinds mensenheugenis voorkomt en dat sommige slachtoffers van militaire spionage zichzelf ook schuldig maken aan dergelijke activiteiten. Cyberoorlog is een zeer moeilijk gebied omdat het internet een gedeeld en geïntegreerd domein is. In de fysieke wereld is het eenvoudiger om militaire doelen te onderscheiden van burgerdoelen. Op het internet zijn deze duidelijke afbakeningen niet mogelijk.
Scott Charney is Corporate Vice President van Trustworthy Computing bij Microsoft.
6
Ongeacht de achterliggende reden vormen cyberaanvallen een groot probleem omdat een potentieel anonieme en niet-traceerbare persoon zonder veel middelen belangrijke activiteiten van een nationale overheid of bedrijf kan bedreigen en de veiligheid van burgers en de economie in gevaar kan brengen.
2. Cyberaanval − Basismethoden Beleidsmakers van overheden moeten niet alleen inzicht hebben in de reden, maar ook in de vier mogelijke methoden die kwaadwillenden gebruiken voor aanvallen:6 Beveiligingslekken in producten. Het eerste gebied waarop aanvallers zich kunnen richten, zijn beveiligingslekken die ontstaan tijdens de ontwikkeling van het product. ICT-producten worden steeds complexer en worden gemaakt door mensen. Daarom zullen ze nooit perfect zijn. Aanvallers kunnen proberen gebruik te maken van beveiligingslekken in hardware en software, zoals het besturingssysteem, toepassingen en services. Toeleveringsketen, inclusief productintegratie en aflevering. Het tweede gebied waarop aanvallers zich kunnen richten, is het product of de dienst die de klant ontvangt. De aanvaller kan hierin beveiligingslekken aanbrengen. We verwijzen hiernaar als problemen in de toeleveringsketen en hieronder vallen aanvallen op productleveranciers en onderaannemers, evenals kwaadwillende insiders en producten die tijdens transport of tijdens implementatie bij de klant kunnen worden gemanipuleerd. Operationele beveiliging. Nadat het product is geproduceerd en veilig is afgeleverd aan de klant, kijkt een aanvaller hoe het product is geïmplementeerd en welke procedures er worden gebruikt. De aanvaller zoekt hierbij naar zwakke plekken in de operationele beveiliging van een organisatie. Potentiële zwakke plekken kunnen worden gevonden wanneer een bedrijf op zijn netwerk geen beleid met minimale rechten hanteert, geen strenge wachtwoorden vereist, software-updates en beveiligingspatches niet tijdig toepast of nonchalant is bij het aannemen van medewerkers. Social engineering. Nu de beveiliging van producten en diensten steeds beter wordt, zien we dat social engineering de favoriete aanvalsmethode wordt. Cyberaanvallers worden steeds beter in het opstellen van geloofwaardige e-mails die schadelijke code bevatten. Sommige aanvallers doen zich voor als IT-medewerkers en vragen om wachtwoorden. Verdediging tegen social engineering en de technische inspanningen om de schade hiervan te beperken, werden vroeger gezien als een onderdeel van operationele beveiliging, maar Microsoft beschouwt dit nu als een afzonderlijke categorie.
6
Matt Thomlinson, General Manager, Trustworthy Computing bij Microsoft, spreekt van vier gebieden waarop aanvallers zich kunnen richten. Zie de voordracht (Engelstalig) op het symposium over informatiebeveiliging van de Noord-Atlantische Verdragsorganisatie (NAVO) in 2011.
7
B. Miscrosofts benadering van risicomanagement In reactie op de hierboven beschreven aanvalsmethoden beperkt Microsoft de risico's door het ontwikkelen van veiligere producten, maatregelen tegen beveiligingsrisico's in de toeleveringsketen, operationele beveiliging en inzicht in social engineering. Daarbij wordt gebruikgemaakt van interne programma's en methoden voor risicomanagement, ontwikkelingsmodellen, risicoprofielen en bewakingstools. Zo probeert Microsoft continu de efficiëntie en effectiviteit van zijn risicomanagement te verbeteren. Waar nodig deelt Microsoft deze procedures met de branche en beleidsmakers.
1. Ontwikkeling van veilige producten verbeteren en beveiligingslekken in producten aanpakken Vanaf de beginfase van een product passen we bij Microsoft strikte processen en tools toe om beveiligingslekken te voorkomen. Tijdens ontwikkeling wordt onze Security Development Lifecycle (SDL) gebruikt voor elk product. Deze methode heeft bewezen de beveiliging van software te kunnen verbeteren. We hebben het SDL-proces en veel van onze tools beschikbaar gesteld voor anderen. Deze kunnen worden gedownload van http://microsoft.com/SDL.7 SDL heeft geleid tot minder beveiligingslekken en hogere kosten voor het uitvoeren van een aanval. We zien inderdaad dat aanvallers zich minder richten op Microsoft-producten omdat deze minder kwetsbaar zijn. In de editie van augustus 2011 van IT Threat Evolution8 kwam geen van de 10 belangrijkste beveiligingslekken voor in een Microsoft-product. Veel overheden en bedrijven gebruiken SDL nu bij de interne ontwikkeling van software en services.9 We investeren ook in beperkende maatregelen, zodat een aanvaller die een beveiligingslek ontdekt, daar veel moeilijker gebruik van kan maken. Deze beperkingen, zoals Address Space Layout Randomization (ASLR)10 in Windows Vista en latere productversies, zijn ingebouwd in het besturingssysteem en zijn meestal standaard ingeschakeld. Hiermee worden de aanvalsmogelijkheden beperkt. Een gebruiker merkt dit meestal niet tijdens het gebruik van een computer.
7
Zie Bijlage A voor een lijst met geselecteerde Microsoft-bronnen. Zie "IT Threat Evolution: Q2 2011" (Engelstalig), Kaspersky Labs, 11 augustus 2011. 9 Zie "Defense Information Systems Agency Application Security and Development Security Technical Implementation Guide (STIG)" (Engelstalig) (versie 2, REL. 1) (24 juli 2008); zie ook het technische document van Microsoft, "MidAmerican Energy Holdings Company uses Microsoft SDL to make its Software More Secure" (Engelstalig) uit maart 2011. 10 Zie voor een algemene beschrijving van ASLR https://secure.wikimedia.org/wikipedia/en/wiki/Address_space_layout_randomization (Engelstalig). 8
8
Ten slotte is het ook belangrijk om software-updates toe te passen, zodat u snel kunt reageren op problemen en de kans op aanvallen op bekende beveiligingslekken kunt verkleinen. Microsoft werkt hard om ervoor te zorgen dat deze updates tijdig beschikbaar, eenvoudig te installeren en betrouwbaar zijn.
2. Beveiliging voor de toeleveringsketen verbeteren Activiteiten voor beveiliging van de Microsoft-toeleveringsketen vormen een onderdeel van onze benadering van risicomanagement en behoren ook voor overheden een standaardprocedure te zijn. De opmerkelijke transformatie van de wereld in de afgelopen decennia is het gevolg van wereldwijde vrijhandel en ICT-innovatie. Overheden over de gehele wereld beginnen echter zorgen uit te spreken over de bedreiging van hun ICT-systemen die afkomstig is van de wereldwijde toeleveringsketen voor ICT-producten. Deze zorgen zijn gebaseerd op het risico dat een vijand producten tijdens de ontwikkeling, productie of aflevering kan manipuleren. Als reactie op deze zorgen zijn enkele overheden begonnen met het ontwikkelen van beleid en vereisten die zijn gericht op het verminderen van zulke risico's in de toeleveringsketen. Microsoft begrijpt deze zorgen. In een wereld met diverse en concurrerende economische, politieke en militaire belangen wil geen enkel land afhankelijk zijn van producten en diensten die kunnen worden gemanipuleerd door een vijand. Voor zowel overheden als leveranciers, zoals Microsoft, die deze producten en diensten ondersteunen, wordt de uitdaging van risicomanagement in de toeleveringsketen ook moeilijker door de complexiteit van de toeleveringsketens zelf. De toeleveringsketens voor ICT-producten en -diensten bestaan uit dynamische groepen personen, processen en technologieën die verspreid zijn over de hele wereld en die vele hardware- en softwarecomponenten omvatten. Hierdoor zijn de risico's niet eenvoudig te meten en te verhelpen. Het is moeilijk te weten of een proces, hardwarecomponent of een complex stuk software blootgesteld is geweest aan kwaadwillende manipulatie of aanpassing omdat de beschikbare testmogelijkheden geen goed antwoord op die vraag kunnen bieden. In 2011 heeft Microsoft twee technische documenten gepubliceerd over risicomanagement in de toeleveringsketen. Het eerste document, Cyber Supply Chain Risk Management: Toward a Global Vision of Transparency and Trust (Engelstalig), beschrijft belangrijke principes waarmee overheden en leveranciers beleidsregels voor de toeleveringsketen effectiever kunnen beheren. Het tweede document, Toward a Trusted Supply Chain: A Risk-Based Approach to Managing Software Integrity (Engelstalig), bevat een framework voor het opstellen en beoordelen van procedures voor risicomanagement met betrekking tot software-integriteit tijdens productontwikkeling en de levering van onlineservices. 9
Sommige landen nemen maatregelen om de afhankelijkheid van buitenlandse producten te verminderen en binnenlandse innovatie te stimuleren. Microsoft vindt echter dat nationaal beleid waarbij leveranciers uit het eigen land de voorkeur krijgen, handelsbarrières opwerpen en investeringen uit het buitenland ondermijnen, waardoor de nationale industrie niet kan profiteren van technologische innovaties uit andere delen van de wereld. De vraag is daarom: "Hoe beschermen landen hun nationale veiligheid zonder de waarde van een wereldwijde toeleveringsketen te ondermijnen?" Voor het antwoord op deze vraag is inzicht nodig in de elementen van het vertrouwensprobleem en moet een zinvol en werkbaar framework worden opgesteld voor het aanpakken van de risico's in de toeleveringsketen. We raden overheden aan om bij het ontwikkelen van een nationale aanpak voor risicomanagement voor problemen met de toeleveringsketen uit te gaan van vier belangrijke principes: oplossingen zijn (1) gebaseerd op risico's en gezamenlijk ontwikkelde normen; (2) transparant; (3) flexibel; en (4) wederzijds.11
3. Operationele beveiliging verbeteren Sterke operationele beveiliging en gebruik van best practices zijn essentiële elementen in elke benadering van risicomanagement die ook elke overheid in aanmerking zou moeten nemen. Zoals eerder is gesteld, richten aanvallers zich vaak op het vinden van implementatiefouten, zoals computers zonder patches of met een foutieve configuratie en zwakke wachtwoorden. Andere favoriete aanvalsdoelen zijn computers waarmee het netwerk van een bedrijf of overheid verbinding heeft met internet of waarop niet-goedgekeurde software voor het delen van bestanden wordt uitgevoerd, waardoor interne documenten publiekelijk beschikbaar komen. Operationele beveiligingsrisico's kunnen worden beperkt met best practices, zoals een streng beveiligingsbeleid, het frequent bijwerken van software, controle van het netwerk op bedreigingen, implementatie van gelaagde beveiliging en procedures voor het reageren op incidenten. Het patchbeheersysteem van Microsoft, met automatisch updates op de tweede dinsdag van elke maand, is ontwikkeld voor een betere operationele beveiliging door elke maand aangekondigde softwarepatches beschikbaar te stellen. Daarnaast markeert het systeem of de updates van essentieel of normaal belang zijn en biedt het richtlijnen voor klanten over wanneer de updates moeten worden geïnstalleerd.
11
Zie het technische document van Microsoft Cyber Supply Chain Risk Management: Toward a Global Vision of Transparency and Trust (Engelstalig) van Scott Charney en Eric T. Werner van juli 2011, p. 9.
10
Strenge maatregelen voor operationele beveiliging, zoals het toepassen van beveiligingsupdates, vormen een essentieel onderdeel van het risicomanagementbeleid van elke overheid. We hebben onderzocht in hoeverre misbruik wordt gemaakt van beveiligingslekken in Microsoft Office. De resultaten zijn gepubliceerd in deel 8 van ons Security Intelligence Report (Engelstalig). Het blijkt dat het zeer effectief is om de nieuwste softwareversies te gebruiken. Als de onderzochte Office 2003 RTM-gebruikers SP3 en geen andere beveiligingsupdates zouden hebben geïnstalleerd, zouden ze beschermd zijn geweest tegen 96% van de geconstateerde aanvallen. Office 2007 RTM-gebruikers met SP2 zouden beschermd zijn geweest tegen 99% van de aanvallen. Operationele beveiliging kan worden verbeterd door gebruik van best practices, zoals: Architectuur gericht op risicobeperking. Bij de bedreigingen van tegenwoordig, waaronder die van hardnekkige en doelgerichte vijanden, proberen aanvallers ongemerkt een computersysteem binnen te dringen. Na het overschrijden van deze barrière hebben zij gedurende lange tijd eenvoudig toegang tot het gehele systeem12. Daarom moet de beveiligingsstrategie die in eerste instantie is gericht op het afweren van bedreigingen middels preventie en respons, worden uitgebreid met risicobeperking (bijvoorbeeld netwerksegmentering, gebruikersbeheer op basis van minimale bevoegdheden). Zo zal bij een inbraak in een deel van een netwerk de schade zeer beperkt blijven. Beveiliging met meerdere lagen. Netwerkbeveiliging moet bestaan uit meerdere lagen, waarin elkaar overlappende en ondersteunende beveiligingssystemen geïntegreerd zijn. Beveiligingssystemen moeten firewalls, antivirusbeveiliging voor gateways, inbraakdetectie, inbraakbescherming en webbeveiliging bevatten. Frequent bijwerken. Het is essentieel om een programma voor frequente beveiligingsupdates te hebben. Besturingssystemen, toepassingen en browserinvoegtoepassingen moeten worden bijgewerkt zodra nieuwe code wordt uitgegeven. Geautomatiseerde implementatie van beveiligingsupdates moet waar mogelijk worden gebruikt om de beveiliging in de hele organisatie actueel te houden. Verder moeten beveiligingsmaatregelen zoals virusdefinities en inbraakpreventie continu worden bijgewerkt. Controle op bedreigingen. Controleer de infrastructuur proactief op inbraken in het netwerk, pogingen tot uitvoering van schadelijke code, verdachte verkeerspatronen, pogingen om verbinding te maken met hosts waarvan bekend is dat deze schadelijke code bevatten, en pogingen om vertrouwde websites na te bootsen. Het is ook belangrijk dat u zich constant bewust bent van nieuwe beveiligingslekken en dat u zich houdt aan de herstelrichtlijnen.
12
Zie het technische document van Microsoft Trustworthy Computing Next (Engelstalig) van Scott Charney, van februari 2012
11
Zorgen voor adequate reactie bij incidenten. Adequate procedures bij incidenten moeten een integraal onderdeel vormen van het algehele beveiligingsbeleid en de strategie voor risicomanagement. Het proactief opstellen van reactieplannen bij incidenten en het opzetten van een responsteam moeten hiervan deel uitmaken.
Het bovenstaande gedeelte beschrijft procedures die belangrijk zijn voor kernactiviteiten, maar gebruikers worden hiermee mogelijk niet tegen zichzelf beschermd. Overheden en bedrijven moeten samenwerken bij het opstellen van procedures voor effectieve training van gebruikers in het gevaar van social engineering, en bij het vaststellen van best practices om producten beter bestand te maken tegen technieken van social engineering.
4. Beveiliging tegen social engineering verbeteren Soms maken gebruikers slechte keuzes, waardoor de beveiliging van hun apparaten en gegevens in gevaar komt. Wanneer een aanvaller hiervan gebruikmaakt, noemen we dit social engineering. Beveiliging tegen aanvallen via social engineering is soms moeilijk omdat het lastig is bescherming te bieden tegen legitieme handelingen van een misleide gebruiker. Training is een belangrijk deel van beveiliging. Organisaties moeten het bewustzijn van deze bedreigingen vergroten en training bieden om social engineering te kunnen ontdekken en voorkomen. Gebruikers moeten bijvoorbeeld wantrouwig zijn bij berichten van onbekende partijen, met name berichten met een bijlage, en bij URL's op sociale-mediawebsites waarop prijzen of andere ongebruikelijke kansen worden beloofd. Webbrowser-oplossingen die werken met URL-reputaties, zoals Internet Explorer SmartScreen, kunnen helpen bij het blokkeren van schadelijke websites of downloads. Organisaties kunnen gebruikers ook beschermen tegen hun eigen acties door best practices in te voeren, zoals: Versleuteling gebruiken. Versleuteling moet worden gebruikt voor het beveiligen van vertrouwelijke gegevens, bijvoorbeeld via stationsversleuteling met Windows BitLocker. Hiermee kunnen gegevens worden beveiligd voor het geval een computer wordt gestolen of kwijtraakt. Een effectief wachtwoordbeleid opleggen. Zorg dat wachtwoorden of wachtzinnen minimaal 8-10 tekens lang zijn en zowel letters als cijfers bevatten. Gebruikers moeten worden aangemoedigd om een uniek wachtwoord voor elke websites te gebruiken en om wachtwoorden niet te delen met anderen. Wachtwoorden moeten minimaal elke negentig dagen worden gewijzigd. Gebruik van accounts met minimale bevoegdheden en beperkend beleid voor software waar nodig.
12
Microsoft blijft investeren in onderzoek, innovatie en ontwikkeling die is gericht op het beperken van beveiligingslekken in producten, het verbeteren van risicomanagement in de toeleveringsketen, het verbeteren van operationele beveiliging en het verbeteren van beveiliging tegen aanvallen via social engineering. Zoals hierna wordt besproken, streven landen ernaar om cyberbeveiliging te verbeteren en beseft men het belang hiervan voor essentiële doelstellingen, zoals het bevorderen van economische en nationale veiligheid, bescherming van burgers en innovatie.
Deel IV: Nieuwe nationale benaderingen voor cyberbeveiliging Om te voldoen aan de nationale doelen, is het voor een overheid essentieel om beveiligingsmogelijkheden te ontwikkelen als onderdeel van het nationale veiligheidsplan. Dit kan ook leiden tot andere voordelen. Leiderschap en maatregelen ter verbetering van de cyberbeveiliging kunnen bijvoorbeeld leiden tot verbeterde veiligheid van burgers, bekwaam personeel dat de essentiële infrastructuur kan beschermen, meer handel en investeringen als gevolg van meer vertrouwen in de veiligheid van de onderliggende infrastructuur, en uiteindelijk meer werkgelegenheid en gemeenschappen die bijdragen aan betere levenskwaliteit. Als erkenning van de voordelen van veilige ICT zijn sommige regeringen al begonnen met het opstellen van aanvullende plannen en programma's om aan deze vereisten te voldoen. Volgens het 'International Critical Information Infrastructure Protection Handbook' (Engelstalig) hebben meer dan 20 landen beschermingsmaatregelen opgesteld voor hun essentiële informatieinfrastructuur.13 Volgens het VN-instituut voor Ontwapeningsonderzoek (UNIDIR) hebben 35 landen strategieën voor cyberbeveiliging ontwikkeld.14 De Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) volgt ook de opkomst van nationale identiteiten in samenhang met toenemende cyberbeveiliging. De OESO heeft onlangs een rapport gepubliceerd waarin de bevindingen van 18 landen staan die een nationale strategie voor identiteitbeheer hebben ontwikkeld of dit willen gaan doen.15 Wanneer we al deze nieuwe overheidsstrategieën overzien, zien we gemeenschappelijke elementen, zoals:
13
International CIIP Handbook 2008/2009 (Engelstalig), door Andreas Wenger, Victor Mauer en Myriam Dunn Caveltry, gepubliceerd door het Center for Security Studies, ETH Zurich, Zwitserland. 14
VN-instituut voor Ontwapeningsonderzoek (UNIDIR), Cybersecurity and Cyberwarfare, Preliminary Assessment of National Doctrine and Organization (Engelstalig), p.3 (2011) 15
Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) (2011), "National Strategies and Policies for Digital Identity Management in OECD Countries", OECD Digital Economy Papers, nr. 177, OECD Publishing, p. 4. http://dx.doi.org/10,1787/5kgdzvn5rfs2-en
13
Identiteit en toegang; Betrouwbaarheid van software en systemen, waaronder risicomanagement in de toeleveringsketen; Compliance en bewaking; Gegevensbescherming; Herstel- en risicomanagement; en Respons.
Naast deze elementen kijken veel overheden ook naar het gebruik van cloud-services omdat hiermee de innovatie kan worden bevorderd en de kosten voor het leveren van de services lager zijn. Ook kijken overheden hoe zij cloud-services kunnen integreren in een nationale strategie voor cyberbeveiliging. Het is geen verrassing dat overheden bezorgd zijn over problemen met beveiliging en soevereiniteit die gerelateerd zijn aan de cloud. Overheden werken samen met de private sector om deze risico's te identificeren en beperken, zoals via de Cloud Security Alliance. Deze organisatie heeft als doel het gebruik van best practices te bevorderen om zo betrouwbare beveiliging te bieden binnen cloud-omgevingen en training te bieden in cloud computing zodat alle andere vormen van computergebruik veiliger zijn.
Deel V: Samenwerking bij het ontwikkelen van een beter beveiligde cyberspace Er zijn vier belangrijke factoren die een overheid zorgvuldig moet overwegen voor het verbeteren van de cyberbeveiliging op de korte termijn en het stimuleren van innovatie en leiderschap op de lange termijn. Hiertoe behoren een nationale, gecoördineerde strategie voor cyberbeveiliging, flexibel risicomanagement op het gebied van cyberbeveiliging, geschikte mogelijkheden voor het delen van informatie en internationale gevolgen (d.w.z. wederkerigheid) van beleid en maatregelen.
A. Gecoördineerde nationale strategie voor cyberbeveiliging Overheden moeten een duidelijke, gecoördineerde en uitvoerbare strategie voor cyberbeveiliging hebben voor het bevorderen van de nationale, economische en openbare veiligheid, die ervoor zorgt dat burgers essentiële diensten geleverd krijgen. Het is belangrijk dat elke overheid zorgt dat het cyberbeleid technologisch neutraal is en niet belemmerend werkt voor innovatie. Bij technologisch neutraal beleid wordt geen bepaalde technologie, product of groep producten vereist of gestimuleerd ten kosten van andere. Bij een dergelijk beleid worden gewenste uitkomsten gedefinieerd en krijgt de markt de kans om de meest innovatieve manier te vinden om de uitkomsten te bereiken. Daarnaast moeten overheden hun cyberbeleid integreren 14
en harmoniseren, en beseffen dat de acties van elke overheid gevolgen hebben tot buiten de eigen grenzen. Beleidsmakers moeten zich bewust zijn van het wereldwijde belang van hun acties en zorgen dat tegenstrijdige belangen in balans zijn.
B. Flexibel risicomanagement Elk framework dat is ontworpen voor risicomanagement bij cyberbeveiliging moet flexibel genoeg zijn voor toekomstige verbeteringen. Dit is belangrijk omdat cyberbedreigingen zich in de loop van de tijd verder ontwikkelen. Overheden, bedrijven en burgers vertrouwen op de informatie-infrastructuur en de gegevens in IT-systemen. Vaak zijn er geen alternatieve fysieke middelen om kernfuncties uit te voeren. Zoals hierboven vermeld, wordt de informatieinfrastructuur geconfronteerd met ontelbare en steeds veranderende cyberbedreigingen. Risicomanagement is de juiste benadering voor het verbeteren van de beveiliging van ICTsystemen waarvan we allemaal afhankelijk zijn. We hebben eenvoudigweg niet voldoende middelen of tijd om alle risico's aan te pakken waarmee we worden geconfronteerd. Risicomanagement is een discipline waarover veel kennis is. Het beheersen van cyberrisico's is echter zeer moeilijk, met name in overheidsomgevingen. Dit komt doordat cyberrisico's complex zijn. De infrastructuur en informatiesystemen zijn divers en verspreid over verschillende locaties, het is moeilijk om risico's en de waarde van potentiële oplossingen te kwantificeren, en het is belangrijk dat we innovatie en flexibiliteit niet belemmeren. Daarom moeten overheden en bedrijven benaderingen voor het beveiligen van de informatie-infrastructuur blijven verankeren in risicomanagement en gelijktijdig de toepassing van die discipline verder ontwikkelen om de unieke aard van cyberrisico's beter te kunnen aanpakken. Hierbij moeten de overheid en het bedrijfsleven ernaar streven dat hun benadering de juiste omvang heeft voor het aanpakken van urgente problemen op het gebied van nationale en openbare veiligheid. Ook moeten zij voldoende flexibel blijven zodat organisaties risico's in een dynamische omgeving van cyberbedreigingen kunnen beperken. Bij het beperken van risico's voor de informatie-infrastructuur moet de overheid een balans vinden tussen twee gerelateerde rollen. Ten eerste is de overheid als openbare beleidsmaker verantwoordelijk voor het beschermen van de openbare, economische en nationale veiligheid en moet zij bepalen welke infrastructuren geschikt zijn voor deze taak. Nationale overheden vormen echter ook een grote, gedistribueerde organisatie met ontelbare klanten (bijvoorbeeld burgers die de onlineservices van de overheid willen gebruiken), partners, activiteiten, netwerken en medewerkers. De rollen van beleidsmaker en organisatie zijn verschillend maar niet geheel gescheiden, aangezien elke rol de andere rol beïnvloedt en informeert. De overheid en het bedrijfsleven moeten met name voorzichtig zijn bij het afbakenen van elementen van de informatie-infrastructuur die essentieel zijn voor de nationale en openbare veiligheid. 15
We raden overheden aan te zorgen dat de risico's met de hoogste prioriteit als eerste worden aangepakt. Microsoft vindt dat elk risico moet worden beoordeeld om de ernst te bepalen, de gevolgen van een succesvolle aanval te begrijpen en de kans op schade in te schatten. Door te bepalen welke systemen en bedrijfsmiddelen prioriteit hebben en welke risico's moeten worden aangepakt, kunnen de leiders van zowel de overheid als de private sector de essentiële informatie-infrastructuur van een land beter beveiligen. Overheden moeten ook een framework voor risicomanagement opzetten dat voldoende flexibel is om te reageren op snel veranderende cyberbedreigingen.16 Het is belangrijk te begrijpen dat risico's in het verleden werden aangepakt door focus op "verticale sectoren" (bijvoorbeeld het bankwezen en de gezondheidszorg), maar dat informatietechnologie horizontaal onder alle verticale sectoren loopt. Een model voor risicomanagement moet (1) deze horizontale laag erkennen (IT-risico's moeten op dezelfde wijze worden beperkt), maar ook (2) erkennen dat verticale sectoren unieke vereisten hebben. Daarom raden wij een hybride model aan dat het volgende bevat: Een centraal beheerde horizontale beveiligingsfunctie die een basis biedt van brede beleidsregels, beveiligingsresultaten en normen; en Verticale beveiligingsfuncties die zich bevinden binnen individuele organisaties zodat zij hun unieke risico's flexibel kunnen beheersen. Door deze combinatie van horizontale en verticale functies zijn minimale beveiligingsdoelstellingen en -normen gedefinieerd, maar hebben organisaties de flexibiliteit om de unieke risico's aan te pakken die horen bij de omgevingen waarin zij actief zijn.
16 Zie
Verklaring van Scott Charney, Corporate Vice President, Trustworthy Computing, Microsoft Corporation voor de Amerikaanse senaatscommissie voor binnenlandse veiligheid en overheidszaken met de titel "Securing America’s Future: The Cyber-Security Act of 2012" (Engelstalig) van 16 februari 2012, p. 4.
16
C. Informatie delen Succesvol risicomanagement is afhankelijk van het effectief delen van informatie. Informatie delen wordt pas een succes wanneer het is gericht op het oplossen van specifieke problemen en uitdagingen. Het is geen doelstelling op zich, maar een middel. Informatie delen om het delen heeft weinig nut. Bedreigingen en risico's worden niet het beste beheerst door alle informatie te delen met alle partijen, maar door de juiste informatie te delen met de juiste partijen (partijen die in de positie zijn om zinvolle actie te ondernemen). Het doelgericht delen van informatie biedt ook een betere bescherming van vertrouwelijke informatie (ongeacht of deze in handen is van de overheid of de private sector). Zo wordt privacy beter gewaarborgd en kan informatie op een zinvollere manier worden gedeeld. Microsoft raadt aan dat overheden samenwerken met het bedrijfsleven en twee elkaar aanvullende manieren voor het delen van informatie opzetten: een voor de ergste bedreigingen van de nationale en openbare veiligheid van een land, en een voor beter geautomatiseerd beheer van de naleving van IT-beveiliging bij de hele overheid.17 Een overheid kan mogelijkheden voor het effectief delen van informatie als volgt stimuleren: Technische gegevens uitwisselen volgens regels en mechanismen die van beide partijen vragen dat vertrouwelijke gegevens worden beschermd; De risico's holistisch analyseren en strategieën ontwikkelen voor het beperken van deze risico's; en Analyses van cyberbedreigingen en -risico's ontwikkelen als een gedeelde discipline. Een overheidsorganisatie kan daarbij alleen successen boeken als de juiste juridische omgeving aanwezig is, waaronder wettelijke beschermingen. Ook moet een overheidsorganisatie zelf vertrouwelijke informatie en informatie waarop actie kan worden ondernomen delen met de private sector.
17
Zie bron van voorgaande voetnoot, p. 7
17
D. Internationale gevolgen Naarmate cyberbeveiliging steeds belangrijker wordt in een samenleving met wereldwijde netwerken, moeten overheden beseffen dat beleid voor binnenlandse cyberbeveiliging nu internationale gevolgen heeft. Het is belangrijk dat overheden beleidsregels en reguleringen opstellen voor identiteit en toegang, betrouwbaarheid van software en systemen, compliance en bewaking, gegevensbescherming, herstel, risicomanagement en respons (allemaal kernactiviteiten van cyberbeveiliging). Overheden moeten echter ook beseffen dat dergelijke regels niet eenzijdig dienen te worden opgesteld. Regels en vereisten voor het beschermen van een overheid, haar activiteiten en haar burgers kunnen in werkelijkheid een belemmering vormen voor de doelstellingen op lange termijn met betrekking tot innovatie, economische ontwikkeling en verbeterde beveiliging zelf. Net zoals handelsrelaties zijn gebaseerd op het idee dat het wederzijds openstellen van markten handelsmogelijkheden kan scheppen tussen de deelnemende landen, moet ook worden ingezien dat vereisten voor cyberbeveiliging die de toegang tot markten blokkeren, kunnen leiden tot vergelijkbare "tegenmaatregelen". Hierdoor kan het internet in stukken uiteenvallen en kunnen mensen niet meer profiteren van innovatieve producten tegen lage kosten die alleen mogelijk zijn in een wereldwijde toeleveringsketen. Daarom moeten overheden de potentiële gevolgen van dergelijk beleid onderzoeken om inzicht te krijgen in mogelijke problemen met tegenmaatregelen.
Deel VI: Conclusie In de komende jaren zal er wereldwijd een ongekende groei plaatsvinden in gegevens en het aantal internetgebruikers en apparaten, waardoor er enorme kansen en uitdagingen ontstaan. Cyberbeveiliging is de hoeksteen van een wereld waarin veel gebruik wordt gemaakt van netwerken. Alleen via samenwerking en de juiste maatregelen, zoals ontwikkeling van veilige producten, beveiliging van de toeleveringsketen en operationele beveiliging, kunnen we komen tot effectievere beleidsregels en procedures voor cyberbeveiliging. Dergelijke beleidsregels en maatregelen zullen helpen bij de bescherming van de volksgezondheid en openbare veiligheid, en leiden tot economische innovatie, een sterkere nationale defensie en het veiligstellen van onze gezamenlijke toekomst. Door samen te werken in een maatschappij met meer netwerkgebruik, kunnen we profiteren van een veiligere, betrouwbaardere computerervaring.
18
Bijlage A Geselecteerde Microsoft-beveiligingshulpmiddelen Sinds 2002 heeft Microsoft een aantal geavanceerde hulpmiddelen ontwikkeld die het bedrijf met andere partijen binnen het IT-ecosysteem deelt om de beveiliging van de cyberspace te verbeteren. De volgende lijst bevat meer informatie over enkele hulpmiddelen die zijn genoemd in dit technisch document. Security Development Lifecycle. De SDL is een proces voor beveiliging bij softwareontwikkeling dat bestaat uit beveiligingsmaatregelen die zijn onderverdeeld in zeven fasen: training, vereisten, ontwerp, implementatie, controle, release en respons. Microsoft heeft uit ervaring geleerd dat beveiligingsmaatregelen die in chronologische volgorde worden uitgevoerd, leiden tot betere beveiligingsresultaten en kostenvoordelen dan een adhoc implementatie. Het SDL-proces is niet specifiek voor Microsoft of het Windows-platform en kan worden toegepast op verschillende besturingssystemen, platformen, ontwikkelmethoden en projecten van elke grootte. Microsoft stelt SDL beschikbaar aan iedereen. Microsoft Security Engineering Center. Het MSEC helpt Microsoft-klanten te beschermen door beter beveiligde producten en diensten te leveren. Hiertoe gebruikt het MSEC de Security Development Lifecycle (SDL), uitgebreide beveiligingscontrole bij softwareontwikkeling en geavanceerde beveiligingstechnieken. MSEC werkt aan softwarebeveiliging via drie hoofdgebieden: processen, personen en technologie. Microsoft Security Response Center. Het MSRC identificeert, bewaakt, verhelpt en reageert op beveiligingsincidenten en beveiligingslekken in Microsoft-software, 24 uur per dag. Het doel is wereldwijd incidenten te voorkomen en het internet veiliger en betrouwbaarder te maken. Het centrum beheert een releaseproces voor beveiligingsupdates voor het hele bedrijf en fungeert als het enige coördinatie- en communicatiepunt. MSRC maakt deel uit van een wereldwijd netwerk van beveiligingsonderzoekers en -partners en houdt het nieuws en openbare fora op het gebied van beveiliging nauwkeurig in de gaten. Microsoft Active Protections Program. De meeste aanvallen zijn gericht op browsers en toepassingen en niet op het besturingssysteem. Hierdoor is communicatie en samenwerking tussen leveranciers essentieel voor het verbeteren van de beveiligingsomgeving. Microsoft werkt nauw samen met zowel concurrenten als partners bij het aanpakken van beveiligingslekken. Het Microsoft Active Protections Program (MAPP) biedt partners in een vroeg stadium informatie over beveiligingslekken zodat zij betere softwarebescherming voor klanten kunnen bouwen. Het Microsoft Vulnerability Research Program biedt beveiliging voor software die wordt uitgevoerd op het Windows-platform door beveiligingslekken in software van derden te vinden en deze door te geven aan de getroffen leveranciers. Vervolgens worden deze leveranciers geholpen bij het implementeren van beveiligingsfunctionaliteit die is ingebouwd in het Windows-platform. 19
Bijlage B - Lijst van personen die een bijdrage hebben geleverd Naast de bronnen die zijn vermeld in de voetnoten, hebben verschillende personen een grote bijdrage geleverd aan dit technisch document, onder wie: Paul Nicholas, Eric Werner, Cristin Goodwin, Angela McKay, Aaron Kleiner, Andrew Cushman en Lori Woehler. We danken jullie voor de tijd om de tekst te bekijken en feedback te leveren.
Cyberbeveiliging: de hoeksteen van een veilige, verbonden maatschappij © 2012 Microsoft Corp. Alle rechten voorbehouden. U ontvangt dit document "as-is". De informatie en visies in dit document, inclusief de URL's en andere verwijzingen naar internetsites, kunnen zonder kennisgeving vooraf worden gewijzigd. U bent zelf verantwoordelijk voor het gebruik van deze informatie. Dit document geeft u geen wettelijk recht op enige vorm van intellectueel eigendom van enig Microsoft-product. U mag dit document kopiëren voor intern gebruik. In licentie gegeven onder Creative Commons Attribution-Non Commercial-Share Alike 3.0 Unported
20
