De noodzaak van voorwaartse risicobeheersing

BUSINESS SURVIVAL BINNEN DE CYBERKETEN

De noodzaak van voorwaartse risicobeheersing

R

Risicobeheersing blijkt soms op een catastrofale wijze te falen. Bekende risico’s worden niet of foutief ingeschat, en dreigingen met een zeer kleine kans van optreden en een grote impact worden volledig genegeerd. Hierdoor zijn systemen en organisaties vaak niet robuust genoeg om klappen op te vangen en wordt de impact van een incident veel groter dan nodig was. Capgemini werkt aan een integrale aanpak voor het beter in beeld brengen van de risico’s van vroeger, nu en in de nabije toekomst. Hiervoor wordt gebruik gemaakt van continuous risk monitoring en een intelligencegerichte analyse-aanpak.

MARCO VAN DER VET, WILLEM BARNHOORN EN RONALD PAANS

In Nederland zijn inmiddels ruim 1 miljoen tabletgebruikers. Leveranciers hebben in 2011 wereldwijd 488 miljoen smartphones verscheept tegenover 415 miljoen PC’s, zo meldt het marktonderzoeksbureau Canalys. Bedrijven ontkomen er niet meer aan dat mensen die handige smartphones en tablets ook op hun werk, thuis of in de kroeg willen gebruiken. De consumentenapparatuur wordt daarmee onderdeel van de informatieketen van het bedrijf. Het concept van Bring Your Own Device (BYOD) moet ook kunnen, vinden veel organisaties. Want informatiesystemen moeten business mogelijk maken en niet in de weg staan [ JENN11]. Waar men zich wel op moet voorbereiden, zijn cyberaanvallen die de continuïteit en de reputatie van de eigen organisatie op het spel zetten. Auditors en informatiebeveiligers moeten hierbij niet vasthouden aan oude securitydogma’s, maar moeten meer vanuit een soort voorwaartse assurance redeneren. Het risico van cyberaanvallen is ook iets waar Europa en de Nederlandse overheid zich over buigen. De Europese Commissie verdiept zich in beveiligingsvraagstukken rondom cloud computing, terwijl de miljoenennota spreekt over meer e-dienstverlening. Onderwijl krijgt de overheid een forse tik door de

Diginotar-affaire, ondanks dat over die dienstverlening assurance was verstrekt [SEHG12]. Hoe is dit mogelijk? Er is een spanningsveld tussen de verklaringen van auditors over een voorgaande periode, die op zich voldoen aan de behoefte van accountants voor een gestructureerde historische verantwoording, versus datgene waar veel gebruikers echt naar uitkijken, namelijk een uitspraak over de beschikbaarheid van de informatiesystemen in de toekomst. Die beschikbaarheid is afhankelijk van de risico’s van vandaag en nog meer van de risico’s in de nabije toekomst. Een belangrijke vraag is: ‘draait mijn informatiesysteem morgen nog steeds en kan ik er morgen ook op vertrouwen dat de vertrouwelijkheid en integriteit van mijn gegevens nog steeds zijn gewaarborgd?’ Natuurlijk moeten auditors doorgaan met de klassieke onderzoeken naar opzet, bestaan en werking, zoals SAS 70 en ISAE 3402, en certificeringen gebaseerd op periodieke waarnemingen zoals ISO/IEC 27001. Een deel van het vertrouwen van de maatschappij is gebaseerd op een zorgvuldig beheer van de informatiesystemen en gegevens, hetgeen via deze rapporten en certificaten wordt bevestigd. Alleen mag men deze historische bevestigingen niet verwarren met

de IT-Auditor nummer 2 | 2012

23

zekerheid voor de toekomst. Het feit dat in de beschouwde periode geen incident heeft plaatsgevonden garandeert niet dat men morgen niet het slachtoffer kan zijn van een ernstig incident. POSITIONERING VAN DIT  ARTIKEL Richard Power, distinguished fellow van Carnegie Mellon Cylab, stelt: ‘Cybersecurity is vital to economic prosperity, personal privacy and national security, and academic research is vital to the advancement of cybersecurity.’ Men kan cybersecurity niet alleen oppakken vanuit het oogpunt van techniek, maar men moet het beschouwen in samenhang met het optreden en gedrag van management, de mens als gebruiker en als aanvaller, en de processen. Voor cybersecurity is een integrale aanpak noodzakelijk. Capgemini is in samenwerking met Noordbeek en de Vrije Universiteit bezig een methode voor risicomanagement voor cybersecurity te ontwikkelen. Dit onderzoek is vooral

gericht op het identificeren van de risico’s van vandaag en in de nabije toekomst, en het op een kosteneffectieve wijze treffen van mitigerende maatregelen. De klassieke methode voor risicomanagement wordt uitgebreid met meer aandacht voor het heden, namelijk weten wat er binnen de organisatie speelt, met behulp van continuous risk monitoring. Doorredeneren naar de toekomst bestaat uit een aantal aspecten, zoals het gebruik van methoden voor intelligence voor een inschatting van wat zou kunnen komen, en het borgen van de robuustheid van de organisatie en haar omgeving. Men weet vrijwel zeker dat men op een bepaald moment met een onvoorziene tegenslag wordt geconfronteerd, maar nog niet welke en wanneer. Een organisatie kan deze vooral opvangen als er voldoende redundantie, spreiding, flexibiliteit, competenties en middelen beschikbaar zijn binnen de gebruikersorganisatie, informatievoorziening en ITinfrastructuur. Dit artikel is vooral gericht op dreigin-

Figuur 1: De Risk Carrousel voor de risico’s van het verleden, heden en de toekomst

24

de IT-Auditor nummer 2 | 2012

gen en kwetsbaarheden die tot nu toe te weinig zijn meegenomen bij de klassieke risicoanalyses, eenvoudigweg door het ontbreken van statistische gegevens. Vanuit deze beschouwing is het analyseproces uitgewerkt en is robuustheid ingericht. Het resultaat is de Risk Carrousel, die is weergegeven in figuur 1. Centraal staan de bedrijfsprocessen en de drie verschillende groepen van betrokken personen met specifieke kenmerken en risicoprofielen, namelijk: t

%F
NFEFXFSLFST
WBO
EF
PSHBOJTBUJF
die via hun BYOD of kantoorautomatisering en bedrijfsapplicaties participeren in de informatievoorziening binnen de organisatie; t

1FSTPOFO
JO
EF
CVJUFOXFSFME
EJF
toegang hebben via webinterfaces. Voor de overheid zijn dit de burgers die e-dienstverlening benutten, bij een bedrijf kunnen dit klanten zijn die webshops gebruiken of informatie opvragen, et cetera; t

%F
*5FST
EJF
CJOOFO
EF
PSHBOJTBUJF
verantwoordelijk zijn voor de bouw

en het beheer van IT-toepassingen en -infrastructuren. De verschillende onderdelen van de hieromheen gebouwde Risk Carrousel bespreken wij in dit artikel. BESTAANDE METHODEN VOOR RISICOANALYSE EN HUN PROBLEMEN Voor het uitvoeren van risicoanalyses bestaat een aantal beproefde methodes, waarvan wij er twee kort bespreken. De in de IT-auditpraktijk meest toegepaste methode volgt uit ISO 27001 ‘ Information Security Management System’ en haar voorgangers, zoals de Code of Practice, BS 17799 et cetera. Deze methode is gebaseerd op het management die de bekende bedreigingen in kaart brengt, numeriek de impact en kans van optreden vaststelt, evenals het effect van de getroffen maatregelen en het restrisico. De risicofactoren worden uitgewerkt in de risicotabel, die periodiek door het management wordt besproken en geactualiseerd, onder andere door hierin negatieve bevindingen van audits op te nemen. Een andere gebruikelijke methode is NIST 800-30 Risk management’ [NIST11-1]. Deze besteedt meer aandacht dan ISO 27001 aan de vulnerabilities, namelijk de binnen de eigen organisatie al bekende kwetsbaarheden. NIST stelt: ‘for operational plans development, the combination of threats, vulnerabilities and impacts must be evaluated in order to identify important trends and decide where effort should be applied to eliminate or reduce threat capabilities, to eliminate or reduce vulnerabilities, and to assess, coordinate and deconflict all cyberspace operations.’ NIST vraagt explicieter dan ISO aandacht voor kwetsbaarheden. Daarnaast zijn er nog allerlei andere methoden voor risicoanalyse, die vrijwel altijd uitgaan van het doorrekenen van datgene wat al bekend is en van feiten die door management en de auditor al worden herkend. Hierbij geldt echter dat risico’s worden herkend, maar niet dat risico’s vooraf worden herkend. Neem als voorbeeld

een klein kind en een hete kachel. De kleine herkent het risico van de hete kachel niet, raakt die per ongeluk aan en wij racen naar het huisartsenpost om een derdegraadsverbranding te laten behandelen. Daarna houdt de kleine zorgvuldig afstand van iets wat er uitziet als een kachel. Het herkennen van risico’s is gebaseerd op ervaring. De twee genoemde methoden zijn gericht op het identificeren en selecteren van de meest dominante risico’s en het doorrekenen van de geselecteerde risico’s, aan de hand van bekende historische informatie binnen een zelf te kiezen tijdsperiode. Hierbij heeft degene die de risicoanalyse uitvoert een aantal vrijheidsgraden bij het bepalen van wat dominant is en welke informatie wel of niet wordt gebruikt. Laten wij in dit kader eens naar twee voorbeelden kijken. Hoe is men bij kerncentrale in Fukushima omgegaan met de risico-inschatting voor supertsunami’s en hoe doet men het hier in Nederland? Fukushima is een typerend voorbeeld van het negeren van al beschikbare kennis. De aardbeving van 11 maart 2011 is al in 2007 voorspeld door wetenschappers met een kans van 99 procent in een tijdsperiode van dertig jaar, gebaseerd op een analyse van voorgaande bevingen en supertsunami’s die daar ongeveer om de 900 jaar optreden. De reeks is ongeveer: 900 voor Christus, het jaar 1, 9 juli 869 en 11 maart 2011. Eerdere signalen vanuit de wetenschap over de mogelijkheid van het vierde incident in deze reeks stammen uit 2001 [MINO01]. De beving in 2011 was statistisch gezien veel te laat, waardoor de kracht tussen de tectonische platen verder was opgelopen en de door wetenschappers initieel ingeschatte schok van 8,5 op de schaal van Richter werd overtroffen. In de evaluaties is nu te lezen: ‘In 2007 TEPCO did set up a department to supervise all its nuclear facilities. Until June 2011 its chairman was the chief of the Fukushima Daiichi power plant. An in-house study in 2008 pointed out that there was an immediate

need to improve the protection of the power station from flooding by seawater. This study mentioned the possibility of tsunami-waves up to 10.2 meters. Officials of the department at the company’s headquarters insisted however that such a risk was unrealistic and did not take the prediction seriously.’ Feit is dat de levensduur van de kerncentrales was verlengd op basis van een politiek besluit op grond van bedrijfseconomische overwegingen, waardoor Japan met de grootste nucleaire ramp sinds Tsjernobyl werd geconfronteerd. Persberichten rond 9 maart 2011 geven aan dat de Japanse regering al vier uur na de ramp op de hoogte was van de mogelijke melt down, maar dat haar er alles aan gelegen was de ramp te bagatelliseren om aan de veiligheidsmythe rondom kernenergie vast te houden. ‘Wij kunnen niet langer met het excuus komen dat wat gebeurd is onvoorspelbaar was en ons voorstellingsvermogen te boven ging’, zei de huidige premier Yoshihiko Noda tegen journalisten. ‘Crisismanagement eist van ons dat wij ons voorstellen wat misschien onvoorstelbaar is.’ Hiermee stelt de premier dat organisaties moeten zorgen voor robuustheid: ze moeten namelijk voorbereid zijn op een dreiging met een heel kleine kans van optreden maar met een heel grote impact. In de landen rondom de Indische en Stille Oceaan wordt serieus omgegaan met het risico van supertsunami’s. Maar hoe doet men dit hier in Nederland? Namens EMC spreekt VansonBourne in haar rapportage van 23 november 2011 over Nederland als een zeer risicovolle locatie voor datacentra, zoals door de AutomatiseringsGids is toegelicht op 7 december 2011 [EMC11]. Als men in de literatuur duikt, blijkt dat in oktober 6125 voor Christus een supertsunami in de Noordzee een aantal van onze eigen voorouders op een catastrofale wijze heeft getroffen [BOND97]. Dit was de Storegga-tsunami. Een blik op de landkaart is voldoende om te zien dat als er iets misgaat in de

de IT-Auditor nummer 2 | 2012

25

noordelijke Noordzee of de noordelijke Atlantische Oceaan, bijvoorbeeld een ontploffende vulkaan op IJsland of een meteoriet, wij hier golven van 25 meter hoogte of meer kunnen verwachten, net zoals op de Japanse Vlakte van Sendai op 11 maart 2011. Dit is typisch een risico waar wij zelf liever niet over nadenken als wij met de kinderen over het strand van Zandvoort wandelen. Net zo min als over de Zuidwalvulkaan, die sinds het Jura tijdperk onder het eiland Grient in de Waddenzee sluimert [ZUID12]. Wij weten dat de magmakamer en kraterpijp nog intact zijn, maar wij veronderstellen (terecht?) dat die vulkaan nog heel lang niet tot een uitbarsting zal komen. Niettemin, het is een stratovulkaan met als kenmerk dat de hevigheid van een volgende eruptie toeneemt naarmate de vorige langer geleden is, net zoals Pompeï en Herculaneum hebben ervaren met de Vesuvius. Een tsunami, een meteorietinslag en een vulkaanuitbarsting zijn rampen die men niet kan voorkomen, maar die als een bundel ongewisse factoren terug moeten komen in risicoanalyses en zo invloed hebben op de keuzes van mitigerende maatregelen. RISICO’S WORDEN STELSELMATIG OVER HET HOOFD GEZIEN De klassieke aanpak voor risicoanalyse blijft waardevol. Men moet blijven kijken naar het verleden om te kunnen voorspellen wat er in de toekomst kan gebeuren, aangezien de geschiedenis zich herhaalt. Naar de mening van de auteurs wordt risicoanalyse echter veel te beperkt en met te weinig echte gedrevenheid opgepakt. Enkele praktische belemmeringen, zoals beschreven door Beusenberg en Fasten in hun scriptie ‘Ongrijpbare ketenrisico’s voor financiële instellingen’ [BEUS10], zijn: t
Een accountant of IT-auditor krijgt een budget passend bij een object. Daarbij is nauwelijks of geen ruimte om te kijken naar de end-to-end risico’s vanuit de ketens en de boven-

26

de IT-Auditor nummer 2 | 2012

liggende processen. Hij of zij wordt geacht binnen de scope van de opdracht te blijven, waarbij de door de beroepsregels voorgeschreven scoping eigenlijk belemmerend werkt. t
Binnen een organisatie is veel bekend over de eigen kwetsbaarheden. Maar het is een goed menselijk gebruik daar zo weinig mogelijk over te praten, of liever nog zo weinig mogelijk over na te denken. Veel mensen zijn van nature optimistisch, zo van ‘ons overkomt dat vast niet’ of ‘het zal mijn tijd wel duren’. NIST haakt hierop in door in de standaard 800-30 extra aandacht te vragen voor de bekende kwetsbaarheden [NIST11-1]. t
Veel mensen hebben weinig fantasie. Zij houden zich strikt aan de standaardlijsten met bedreigingen en aan datgene wat zij van oudsher doen. Zij staan daarbij niet open voor signalen vanuit de samenleving of wetenschap over nieuwe bedreigingen en nieuwe risico’s. Ofwel zien zij deze signalen helemaal niet, of zij hebben geen behoefte aan een verandering in hun eigen aanpak. t
Soms wordt informatie over bedreigingen geheim gehouden of niet gedeeld, omdat niemand zijn vuile was buiten wil hangen. Zo zijn banken heel gesloten over cybercrime en over hun aanpak om deze tegen te gaan [WOUD11]. Ook inlichtingendiensten zijn gesloten over de trends die zij waarnemen. Hierdoor worden auditors en risicomanagers niet altijd gevoed met de juiste signalen die zij nodig hebben bij hun eigen audits en risicoanalyses. t
Cybercrime blijft iets wat high tech klinkt. Er is echter een fors gebrek aan technical IT-auditors. Veel organisaties worden geconfronteerd met de realiteit van ‘te veel behoefte aan technical audits en veel te weinig technical auditors beschikbaar.’ De reguliere accountant en de brede auditor missen hierdoor de benodigde assistentie om cyberrisico’s goed in te kunnen schatten.

Samengevat: er wordt soms met oogkleppen op gekeken naar risico’s die al bekend zijn uit het verleden. Bovendien is het nu onderbelicht of wordt genegeerd, terwijl de risico’s van de toekomst veelal buiten beeld blijven. Signalen zijn er in feite genoeg, maar in hoeverre reageren risicoanalisten daar op adequate wijze op? Krijgen zij wel voldoende tijd en middelen om de echte risico’s in kaart te brengen en zo bij te dragen aan een veiliger maatschappij? Het stellen van de vraag is in feite het beantwoorden van de vraag: neen. RISICO’S ZIJN ONBEKEND Het herkennen van risico’s vereist inzicht in en analyse van wat er mis kan gaan, zonder dat dit al is gebeurd. Laten wij enkele recente incidenten beschouwen, waarvan het risico in feite bekend was op basis van beschikbare signalen, maar waarmee de direct betrokkenen niet tijdig iets gedaan hebben. Stuxnet is een bijna perfect cyberwapen, dat volgens de pers haar doel heeft bereikt en forse schade heeft veroorzaakt als onderdeel van de moderne elektronische oorlogsvoering [SYMA11]. Stuxnet maakte gebruik van kwetsbaarheden bij procesautomatisering, die onder andere al waren beschreven door Nieuwenhuis en Peerlkamp [NIEU10]. Zorgwekkend is echter dat het concept is ‘ontsnapt’ en nu kan worden gebruikt voor andere aanvallen. Inmiddels is bekend dat het concept van Stuxnet door diverse partijen (inclusief criminelen?) wordt gemodificeerd, zodat deze op andere infrastructuren zou kunnen worden gericht. Het wordt nu voor organisaties belangrijk actie te ondernemen om een toekomstige Stuxnet-achtige aanval op de eigen infrastructuur te kunnen afslaan. Duqu is een vrij weinig bekende variant op Stuxnet, gericht op cyberspionage en het verzamelen van informatie om te kunnen aanvallen. Een deel van Duqu is dusdanig geavanceerd dat Kaspersky Labs in maart 2012 de

hackergemeenschap om hulp heeft gevraagd om de programmeertechniek te doorgronden [KASP12]. De indruk ontstaat dat Stuxnet en Duqu zijn ontwikkeld door partijen die over veel kennis en omvangrijke middelen beschikken, want deze geavanceerde cyberwapens lijken totaal niet op datgene wat normaliter uit de hackergemeenschap komt. Bij de ontwikkeling van de OV-chipkaart waren de zwakheden en kwetsbaarheden van de Myfare Classic chip bekend, zoals is beschreven door Niemantsverdriet [NIEM11]. De geraadpleegde deskundigen waren er initieel echter van overtuigd dat, gezien de beperkte waarde van de transacties, de risico’s beheersbaar waren. Verschillende groepen wetenschappelijke krakers hebben aangetoond dat dit een verkeerde inschatting was, doordat zij volhardender waren dan door de deskundigen was voorzien [NIEM11]. Er komt nu een beter beveiligde chip, maar hoe lang zal die bestand blijven tegen gerichte aanvallen? Het is bekend dat security by obscurity op termijn altijd zal falen. Ondanks zorgvuldig uitgevoerde risicoanalyses is men toch overvallen door deze incidenten, waarvoor de getroffen organisaties in onvoldoende mate maatregelen hadden getroffen. Taleb [TALE10] betoogt in zijn boek ‘De zwarte zwaan’ dat men rekening moet houden met het uiterst onwaarschijnlijke. De recente geschiedenis leert dat er steeds iets gebeurt dat uiterst onwaarschijnlijk werd geacht, maar toch een forse impact heeft op onze moderne samenleving. En daarmee op onze moderne IT-infrastructuur. NIST stelt veel materiaal beschikbaar voor cybersecurity. Er zijn ook andere bronnen zoals Open Web Application Security Project (OWASP). Hun aanpak is vooral gericht op de beveiliging van webapplicaties [OWAS12]. OWASP verschaft nuttige hulpmiddelen om kwetsbaarheden te kunnen voorkomen die cyberaanvallen uitlokken, of

de impact van dergelijke aanvallen te verlagen. Vraagt u echter de gemiddelde programmeur hoe hij OWASP gebruikt bij het programmeren en testen, dan ziet u dat die programmeur zich bij de ontwikkeling van webapplicaties heel wat vrijheidsgraden veroorlooft die niet alle in lijn liggen met de door OWASP uitgedragen beginselen. De auteurs zijn van mening dat er goede methoden en technieken beschikbaar zijn om de informatievoorziening veiliger te maken, maar dat die nog niet breed worden benut. HOE KUNNEN WIJ DE RISICOANALYSE BETER DOEN? Wij moeten het probleem van de niet herkende of niet voorziene risico’s aanpakken. Dit kan alleen met de macht en status van het hoogste orgaan binnen de organisatie, zoals de Board, een College van Bestuur, een Secretaris Generaal et cetera. Hun taak is governance, namelijk de organisatie zo inrichten dat deze haar doelstellingen realiseert ‘met een zorgvuldige afweging van de risico’s’. Alleen heeft dat laatste deel van hun taak veelal geen dominante prioriteit in de huidige tijd. Allerlei zaken blijven daardoor liggen, zoals broodnodige besluiten binnen de strategische / tactische agenda over het streven van sommige organisatieonderdelen naar BYOD, WIFI, Het Nieuwe Werken, Sociale Media, Apps op iOS / Android, de upgrade naar een ander platform in 201X, het inrichten van business continuity en andere ontwikkelingen die van invloed kunnen zijn op de relatie tussen de bedrijfsprocessen en de IT-dienstverlening. Er is een aparte functie nodig, in de directe omgeving van de hoogste leiding, om de informatie over risico’s te wegen, te bundelen en te presenteren. Van oudsher is dat een Chief Risk Officer. Gezien het toenemende belang van informatie verschuift dit binnen informatie-intensieve organisaties naar de functie van een Chief Information Security Officer, de

CISO. Veel multinationals en grote organisaties hebben deze functie al geïntroduceerd en ingericht, veelal op een hoog niveau om zo voldoende gewicht te kunnen geven aan een zorgvuldige risicobenadering. Een CISO heeft een stevig mandaat nodig plus voldoende middelen, bestaande uit competenties en instrumenten. Naast het bovengenoemde klassieke instrumentarium voor ISO 27001, NIST 800-30 et cetera. is er duidelijk behoefte aan middelen die de niet herkende en de niet voorziene risico’s kunnen identificeren en meenemen om deze op verantwoorde wijze onder de aandacht van de leiding te kunnen brengen. In het kader van het betoog in dit artikel zijn deze middelen: het eCompetence Center, continuous risk monitoring, het Risk Register en intelligence. Deze onderwerpen bespreken wij hierna. e-Competence Center Een nadere analyse van de eerder genoemde incidenten leert dat de meeste van hen niet geheel onverwachts kwamen. De dreiging was in feite bekend, maar men werd verrast door de impact. Nieuwenhuis en Peerlkamp [NIEU10], winnaars van de Joop Bautz Information Security Award 2010, hebben in 2010 een scriptie gepubliceerd over de kwetsbaarheid van procesautomatisering. Zij bundelden bestaande kennis om aan te tonen dat procesautomatisering onvoldoende is beschermd en steeds kwetsbaarder wordt voor externe bedreigingen. Duqu en Stuxnet buiten deze al bekende zwakheden op een ongekend effectieve manier uit. De kwetsbaarheid is niet nieuw, de gerichte aanval wel. Wat de timing betreft, de scriptie is ingeleverd in maart 2010, terwijl Stuxnet is ontdekt op 13 juli 2010 [SYMA11]. Taleb [TALE10, deel 3] werkt het verrassingseffect uit aan de hand van de analogie van de zwarte zwaan die niet slechts een zeldzame of bizarre gebeurtenis is, maar tevens buiten

de IT-Auditor nummer 2 | 2012

27

Figuur 2: De positionering van het e-Competence Center ons enge blikveld van mogelijke gebeurtenissen ligt en ons volledig verrast. Hij stelt dat voor veel zeldzame gebeurtenissen de oorzaak en mogelijke consequenties zijn te doorgronden. Het is weliswaar niet mogelijk de exacte kans te berekenen, maar men kan zich wel in hoofdlijnen een beeld vormen van zo een dreiging met een heel kleine kans van optreden en een enorme impact. Door vooraf na te denken over zwarte zwanen en die gedachtegang ook mee te nemen bij het maken van afwegingen voor het inrichten van stelsels van maatregelen, kan men van zwarte zwanen grijze zwanen maken en hun verrassingseffect inperken. Zo wist men bij Fukushima dat het schakelpaneel voor de noodaggregaten op een kwetsbare plaats stond, namelijk in het turbinegebouw dat bij een supertsunami onder water zou komen te staan. Bij de bouw van noodaggregaten die hogerop lagen op een heuvel had men indertijd ook direct het schakelpaneel kunnen verplaatsen, als men de dreiging op haar juiste waarde had

28

de IT-Auditor nummer 2 | 2012

ingeschat en had meegenomen in de gedachtegang. In het kader van dit artikel over de cyberrisico’s pleiten de auteurs voor het inzetten van een denktank, in feite een groep deskundigen gericht op intelligence. Zij verzamelen wereldwijd informatie over incidenten, kwetsbaarheden en bedreigingen. Zie figuur 2. Veel van deze informatie is tegenwoordig eenvoudig te vergaren via het internet. In figuur 1 op pagina 24 is een cyclus aangegeven in het intelligencedeel, bestaande uit ‘Collect’, dat is het verzamelen van relevante gegevens, gevolgd door ‘Combine’, namelijk het combineren van gegevens uit verschillende bronnen om verbanden te leggen. Er is veel kennis vrij toegankelijk of opgeslagen in online libraries. De kunst is via Analyse tot de juiste conclusies te komen, namelijk ‘Conclude’. Het voorspellen van incidenten in de toekomst vindt plaats in de CCACcyclus, oftewel Collect - Combine Analyse - Conclude. Medewerkers in de denktank dienen over fantasie te beschikken en de

‘wat als’ vraag te stellen. Hierbij kan bijvoorbeeld een riskcoördinator binnen onze Nederlandse Deltawerken denken aan de vraag ‘wat kan onze procescomputers verstoren?’, of misschien nog specifieker, ‘wat gebeurt er als een virus wordt gericht op onze procescomputers?’ Daaruit volgt de vraag hoe de procescomputer die de sluisdeuren van een waterkering aanstuurt is beschermd. Het antwoord is misschien dat er geen enkele vorm van een firewall is opgenomen in het betreffende LAN, geen intrusion detection of andere signaleringsmogelijkheden zijn voorzien, en dat de software op de procescomputer niet wordt gecontroleerd op ongeautoriseerde modificatie. Dit leidt tot de conclusie dat een Stuxnet-achtige aanval op de sluizen en stuwen van de Deltawerken tot een ernstig incident zou kunnen leiden en tot de vraag of mitigerende maatregelen nodig zijn. Een goedkope oplossing is het loskoppelen van het LAN met de procescomputers van de andere netwerken om zo terug te kunnen vallen op

de aloude fysieke isolatie van netwerken met verschillende beveiligingseisen [DOD85]. Een nadeel hierbij is dat de centrale aansturing van de procescomputers gecompliceerder wordt. Het wordt minder gebruikersvriendelijk, maar wel veiliger. Een alternatief is meer controlemaatregelen rondom de computer te plaatsen en er omheen te controleren, zoals de accountant dat doet als deze niet op de geautomatiseerde boekhouding kan vertrouwen. De denktank is een e-Competence Center, waarin experts uit verschillende disciplines zitten. In ieder geval participeren de technische deskundigen voor de platformen, middleware en applicaties, plus de webspecialisten die betrokken zijn bij de OWASP-maatregelen. Zij richten zich op de technische bedreigingen en kwetsbaarheden, binnen hun specifieke competenties. Daarnaast participeren riskdeskundigen vanuit de bedrijfsonderdelen, die breder kijken naar dreigingen vanuit de buitenwe-

reld, criminele en politieke ontwikkelingen volgen et cetera. Gezamenlijk hebben zij de kennis en kunde om dreigingen op hun waarde te schatten. Zij doen dit deels door rechtlijnig doorredeneren, en deels door thinking out of the box. Belangrijk is de creativiteit in het proces en een thematische aansturing. Een organisatie kan dit volledig zelf inrichten, maar doelmatiger is dit deels als een project op te pakken dat meerdere organisaties overstijgt. Zo kan men denken aan een e-Competence Center overkoepelend aan een aantal overheids- en uitvoeringsinstanties, met bemensing vanuit die organisaties en vanuit de IT-dienstverleners die outsourcingdiensten leveren aan deze partijen. Iedere partij heeft eigen competenties nodig in het kader van de eigen specifieke bedrijfsprocessen en het geleverde type dienstverlening. Daarnaast zijn er generieke aspecten, zoals nieuwe bedreigingen, die men beter gezamenlijk kan oppakken. Dit pleit voor

een getrapte structuur, met een effectieve en open communicatie tussen de participanten. Dan kan iedere participant gebruik maken van de brede kennis van alle participanten, met de mogelijkheid de specifieke details die van belang zijn voor de eigen bedrijfsvoering zelf verder uit te werken. Het samenspel tussen peers en een getrapte structuur heeft als voordeel dat men redelijk open kan communiceren met de peers, zonder dat de vuile was buiten wordt gehangen. Voor de buitenwereld is dit een enigszins gesloten bolwerk, waaruit alleen signalen komen waarvan de participanten het nuttig vinden die naar buiten te brengen. Denk hierbij aan de bancaire instellingen, die al intensief overleggen over de bedreigingen voor internetbankieren [WOUD11]. De e-Competence Centers rapporteren aan de CISO’s van hun respectievelijke organisaties. Hiermee wordt de relatie gelegd naar de hoogste leiding, zodat het resultaat van hun werk met voldoende prioriteit op de agenda van de leiding wordt gezet.

Figuur 3: De relatie met de IT-auditor

de IT-Auditor nummer 2 | 2012

29

Continuous risk monitoring Voor een juiste inschatting van risico’s in relatie tot de eigen kwetsbaarheden, is het belangrijk te weten wat er  speelt op de eigen werkvloer. Er zijn ontwikkelingen op het gebied van continuous monitoring en continuous assurance, die hier verbeteringen in aanbrengen. Een van de grondleggers is Vasarhelyi [THIP11]. Ook NIST gaat in op deze ontwikkelingen met haar Special Publication 800-137 ‘Information security continuous monitoring for federal information systems and organizations’ [NIST112]. Hierin wordt onder andere ingegaan op Security Information and Event management (SIEM). Maar deze technieken worden vooralsnog slechts op zeer beperkte schaal toegepast. In het kader van dit artikel is continuous risk monitoring het centraal verzamelen van lokaal of decentraal bekende informatie over bedreigingen, risico’s en kwetsbaarheden. Deze aanpak levert ook nieuwe kansen op voor het vakgebied auditing. Het e-Competence Center denkt na over scenario’s en over het vereiste of gewenste stelsel van risicomitigerende maatregelen. Om de SOLL versus de IST te kunnen beoordelen, zijn in feite audits nodig. Zoals weergegeven in figuur 3 kan de CISO gericht opdrachten geven aan auditors om scenario’s door te werken en te bepalen of de organisatie beschikt over de minimaal vereiste maatregelen, en in welke ordegrootte de mogelijke restrisico’s liggen. Dit is de voor auditors gebruikelijke cyclus van ‘SOLL, IST, GAP, Improve’, maar nu gericht op de scenario’s, onder meer in het kader van cyberdreigingen. Risk Register Organisaties maken vaak onvoldoende gebruik van historische risico-informatie. Gebruikersorganisaties en IT-afdelingen analyseren steeds dreigingen, schatten hun impact en kans van optreden in, (her)beoordelen het stelsel van risi-

30

de IT-Auditor nummer 2 | 2012

comitigerende maatregelen en passen dit aan, waar nodig. Dit gebeurt veelal binnen projecten, vaak in het kader van verandermanagement. Deze informatie wordt dan bijgehouden in zogenaamde Risk Registers en wordt gedurende het project actief beheerd door het projectteam. Daarna gaat echter veel kennis verloren bij reorganisaties, door vertrek van medewerkers en met het binnenhalen van nieuwe krachten. Verlies van deze kennis is een handicap voor een zorgvuldig risicobeheer, dat juist gebaat is bij een zo compleet mogelijk overzicht over een langere tijd. Individuele Risk Registers worden vrijwel nooit gebundeld en beheerd om in continuïteit een overzicht te verschaffen. Juist een gebundeld, historisch volledig en steeds geactualiseerd Risk Register is een prima hulpmiddel voor een e-Competence Center. Hierin is alle informatie terug te vinden over hetgeen diverse partijen hebben verzameld over risico’s en kwetsbaarheden, en kan men zien welke maatregelen al zijn getroffen. Dan kan de focus worden gelegd op het beoordelen van de effectiviteit van die maatregelen en het detecteren van mogelijke manco’s in het stelsel. In het kader van dit artikel pleiten wij voor het centraal verzamelen van de lokaal en decentraal beschikbare informatie over bedreigingen en kwetsbaarheden. Dit vereist het inrichten van een netwerk van riskcoördinatoren op een laag niveau binnen organisaties, die een bewakende rol vervullen en informatie verstrekken aan een centraal orgaan. Deze informatie wordt opgenomen in het centrale Risk Register, en komt zo ter beschikking van het e-Competence Center. Het Risk Register kan onder andere input leveren voor de testsets voor nieuwe programmatuur en nieuwe systemen. Als men hierin de OTAPaanpak en OWASP-testen meeneemt, kan men met deze gecombineerde aanpak de robuustheid van de informatiesystemen en webapplicaties substantieel verbeteren.

Intelligence vergaren en benutten Hoe maakt Taleb een zwarte zwaan grijs? Zijn waarschuwing is dat wat men ook doet, er altijd onvermoede zwarte zwanen blijven bestaan waarvoor niets blijkt te zijn geregeld. Zodra men rekening gaat houden met de mogelijkheid van een zwarte zwaan, is deze niet zwart meer in de zin van Taleb. De uitdaging ligt in het voorzien dat er ooit een zwarte zwaan kan komen, waarvoor men in feite een een intelligence-achtige aanpak nodig heeft. Afhankelijk van het marktsegment worden dreigingen ingedeeld in categorieën en wordt informatie geselecteerd en gesorteerd. Dit gebeurt binnen het e-Competence Center individueel en groepsgewijs, om zo de competenties optimaal te benutten en daarnaast via het groepsproces tot nieuwe creatieve inzichten te kunnen komen. Voor dreigingen met een zeer grote impact en een heel kleine kans van optreden hanteert men het principe van het grijsmaken van de zwarte zwaan. Dat houdt in, de hoofdlijnen van mogelijke oorzaken en consequenties in beeld brengen, de mogelijke scenario’s doorredeneren, vaststellen waar redundantie bestaat binnen de bedrijfsprocessen, ITvoorzieningen et cetera, en bepaling of deze redundantie afdoende zal zijn. Hierbij moet sprake zijn van een thematische benadering. Enerzijds wordt deze analyse gericht op de platformen en technieken, zoals voor de databases, hardening van de servers en het beveiligen van de webapplicaties en businesslogica. Anderzijds is de analyse gericht op de categorieën van bedreigingen. Een van de mogelijke intelligenceachtige methoden is het uitvoeren van linkage-analyses, bijvoorbeeld zoals beschreven door Labuschagne [LABU06]. Hierbij worden de omstandigheden meegenomen, evenals de modus operandi en de populatie van mogelijke kwaadwillenden. Met modus operandi worden

de handelingen bedoeld die door een dader worden gebruikt voor het uitvoeren van een inbraak of het veroorzaken van een beschadiging. De dader heeft een bedoeling met iedere handeling, namelijk om er voor te zorgen dat de inbraak of beschadiging lukt, voor het tegengaan van zijn of haar identificatie, en om mogelijkheden te verkrijgen om fondsen of informatie te ontvreemden. De modus operandi kan bij opeenvolgende acties veranderen omdat de kwaadwillende betere technieken leert. Hierbij bestaat de kans voor de informatiebeveiligers, en het gevaar voor de dader, dat de laatste onvoorzichtig wordt als bepaalde technieken goed blijken te werken. De ‘handtekening’ van een dader zijn de handelingen die onnodig zijn voor het plegen van de misdaad, maar die dienen ter bevrediging van de psychologische behoeften van de dader. Deze handelingen kunnen onderdeel gaan vormen van de modus operandi. Met dit soort analyses wordt aangesloten bij de aanpak van opsporing door Politie en het werk van inlichtingen- en veiligheidsdiensten. Ook daarbij ontstaat een steeds sterkere relatie met de cyberwereld. Zoals beschreven door Berg worstelt men in die wereld ook met het vinden van een maatschappelijk verantwoorde balans tussen het belang van de doelmatigheid van de opsporingstaak, het tactisch belang van de onderzoeken en de privacybelangen van de betrokkenen [BERG07]. Bij een analyse is het van belang een open oog te houden voor de kosten en te streven naar pragmatische oplossingen. Zo kan men de vanuit het dreigingrisico voor overstromingen in het westen van Nederland overwegen een primair datacenter te gebruiken voor de IT-diensten in het westen en een secundair datacenter hoog en droog in het oosten, met de mogelijkheid daarop terug te vallen. Vanuit ieder dreigingrisico wordt

steeds gekeken naar alternatieven. Als daarbij dreigingen overblijven waarvoor geen kosteffectieve maatregelen kunnen worden getroffen, is het toch goed daarvoor een generiek scenario door te redeneren en uit te werken. Hiermee heeft men bij het onverwacht optreden van het incident toch al enige informatie op de plank liggen om snel te kunnen reageren. De Japanse regering had zich veel kritiek kunnen besparen als zij op 11 maart 2011 tenminste een communicatieplan op de plank gehad had liggen voor een mogelijke melt down van een kerncentrale. Zij had zich nog veel meer kritiek kunnen besparen als zij de verlenging van de vergunning van Fukushima had gekoppeld aan de eis voor een veiliger opstelling van het schakelpaneel voor de noodaggregaten. Als de minister van BZK over de bovenstaande aanpak had kunnen beschikken, had de Diginotar affaire vermoedelijk niet plaatsgevonden of was deze minder ernstig geweest [SEHG12]. Dan was er vooraf over nagedacht of het handig is de SSLcertificaten voor de websites van de overheid van één partij te betrekken, of dat spreiding beter is. Bovendien was er dan een afweging geweest of men het proces voor certificaten die worden gebruikt voor social media moet combineren met dat voor websites van de overheid. Daarnaast was er over nagedacht wat de impact is voor de overheid als haar SSL-certificaten op de blacklist van de internet browsers terecht komen. Dit zijn allemaal zaken waarover een e-Competence Center nadenkt. ROBUUSTHEID Organisaties moeten accepteren dat zij af en toe met een ernstig incident worden geconfronteerd, zonder dat zij vooraf weten uit welke hoek de dreiging komt en hoe omvangrijk de impact zal zijn. Het incasseren van een klap is pijnlijk. Soms overleeft een organisatie dit niet, zoals recentelijk Diginotar, of deels, zoals Tepco.

Ondernemen is weliswaar risico’s lopen, maar management dient vooraf op basis van een goede afweging van risico’s de juiste besluiten te nemen. Zo een besluit kan zijn preventieve maatregelen te treffen, of die juist vanwege kosten achterwege te laten. Dat kan men compenseren met een stelsel van detectieve maatregelen, om snel signalen te krijgen, en correctieve maatregelen om de impact van een incident te verkleinen. Robuustheid is de mate waarin men de impact van een incident kan beperken of verkleinen. In hoeverre de gevolgschade werkelijk wordt verminderd hangt af van de binnen de organisatie aanwezige redundantie en flexibiliteit, en of een voldoende aantal competente medewerkers tijdens of direct na het incident snel genoeg kan worden gemobiliseerd. Deze medewerkers dienen te beschikken over inhoudelijke kennis over de business, het functioneren van de organisatie, de bedreigingen en kwetsbaarheden, en scenario’s. In feite is dit een soort Emergency Response Team, waarvan in het geval van cyberaanvallen het eCompetence Center onderdeel uit kan maken. De medewerkers van het Emergency Response Team hoeven niet allemaal op de loonlijst te staan. Dit team kan ook worden gevormd als een samenwerkingsverband binnen een groep van organisaties met overeenkomstige kenmerken. Van belang zijn synergie binnen de groep, regelmatig met elkaar optrekken, gezamenlijk doorlopen van de scenario’s en onderhouden van de inhoudelijke kennis. CONCLUSIE De cyberwereld brengt ons veel voordelen en is niet meer weg te denken uit onze moderne maatschappij. Zowel de overheid als het bedrijfsleven benutten deze wereld steeds intensiever om zaken te doen, onderling en met de burger, die ook tegelijk consument is. Als iets intensief wordt gebruikt en er komen bepaalde belangen in beeld, zoals vertrouwelijke informatie en financiële waarden,

de IT-Auditor nummer 2 | 2012

31

worden ook criminelen en kwaadwillenden actief. Dat is een fact of life. Ook neemt de impact van calamiteiten toe, naarmate het gebruik intensiever wordt. Onze klassieke aanpak van riskmanagement voldoet vandaag de dag niet meer. Die is nog teveel gericht op dreigingen van gisteren en houdt te weinig rekening met de kwetsbaarheden van vandaag en morgen. Vandaar dat in het kader van cybersecurity een nieuwe aanpak wordt ontwikkeld, om zoals Taleb het uitdrukt zwarte zwanen grijs te kunnen krijgen. Daarbij probeert men zo goed mogelijk dreigingen te kunnen voorzien, maatregelen daartegen te treffen, en ondertussen voorbereid te zijn op de klap die komt maar nog niet kan worden voorzien. Zowel de cyberwereld als het vakgebied auditing beschikken daartoe in beginsel weliswaar over de juiste competenties en methoden, alleen moeten die nog wel worden gebundeld om effectief te kunnen worden ingezet voor

het minimaliseren van de impact van de daadwerkelijke dreigingen. ■ Literatuur [BERG07] Berg, B., Criminal Investigation, Edition 4, McGraw-Hill, ISBN 978-0073401249, 2007. [BEUS10] Beusenberg, C.N.A. en Fasten, J.E., Ongrijpbare ketenrisico’s voor financiële instellingen, scriptie VU PGO IT Audit, op www.vurore.nl, april 2010. [BOND97] Bondevik, S., Svendsen, J. en Mangerud, J., Tsunami sedimentary facies deposited by the Storegga tsunami in shallow marine bassins and coastal lakes, western Norway in Sedimetology, Nr. 44, pp. 115-1131, 1997. [DOD85] US Department of Defense, Trusted computer system evaluation criteria, CSC-STD-001-83, 15 augustus 1983, vervangen door DoD STD 5200.28STD, december 1985. [EMC11] EMC VansonBourne report, European Disaster Recovery Survey 2011, Data today gone tomorrow: How well companies are poised for IT recovery 23 november 2011, gerefereerd in Datacentra bedreigd door rampen, AutomatiseringGids 7 december 2011. [JENN11] Jenniskens, M., Rorive, K. en Jessurun, A., iPad als beveiligd verlengstuk van uw werkplek, Strict white paper, versie 1.2, juni 2011. [KASP12] Computable, Kaspersky vraagt hulp bij

Marco van der Vet is sinds 2000 in dienst van Capgemini Nederland B.V. in diverse management en directiefuncties. Momenteel is hij werkzaam in de functie van directeur IS Risk Management, Compliancy en Contracting, tevens Chief Information Security Officer.

Willem Barnhoorn is sinds 2011 de Information Security Officer van Capgemini Apps Two Nederland. Hij heeft vergelijkbare rollen vervuld bij KPN, Getronics en PinkRoccade. Momenteel is hij vooral bezig met het inrichten van risicobeheersing en het verbeteren van de controleerbaarheid van de delivery organisatie.

Ronald Paans is hoogleraar van de opleiding Postgraduate IT Audit aan de Vrije Univeristeit van Amsterdam en directeur van Noordbeek B.V. Ronald is onder andere voorzitter van het Wetenschapsforum voor de OV-chipkaart, voorzitter van de Raad van Toezicht van de Stichting OpenTicketing en zit in de NOREA Raad voor Beroepsethiek.

32

de IT-Auditor nummer 2 | 2012

bestrijding Duqu, 8 maart 2012. [LABU06] Labuschagne, G.N., The use of a linkage analysis as evidence in the conviction of the Newcastle serial murderer, South Africa in Journal of Investigative Psychology and Offender Profiling, Vol. 3, Nr. 3, pp. 183-191, oktober 2006. [MINO01] Minoura, K., Imamura, F. et al, The 869 Jogan tsunami deposit and recurrence interval of largescale tsunami on the Pacific coast of northeast Japan, in Journal of Natural Disaster, Vol. 23, Nr. 2, pp. 83-88, 2001. [NIEM11] Niemantsverdriet, P., Het besluitvormingsproces rond de ontwikkeling en implementatie van de OV-chipkaart, een succes of falen, scriptie VU PGO IT Audit, op www.vurore.nl, mei 2011. [NIEU10] Nieuwenhuis, M., en Peerlkamp, S., Process Control Network Security, Comparing frameworks to mitigate the specific threats to Process Control Networks, scriptie VU PGO IT Audit, op www.vurore.nl, maart 2010. [NIST11-1] National Institute of Standards and Technology (NIST), Guide for conducting risk assessments, Special Publication 800-30, Revision 1, september 2011. [NIST11-2] NIST, Information security continuous monitoring (ISCM) for federal information systems and organizations, NIST Special Publication 800-137, september 2011. [OWAS12] Open Web Application Security Project, www.owasp.org. [SYMA11] Symantec Security Response, W32.Duqu: the precursor to the next Stuxnet, versie 1.4, 23 november 2011. [TALE10] Taleb, N.N., De zwarte zwaan, de impact van het hoogst onwaarschijnlijke, Uitgeverij Nieuwezijds, ISBN 978 90 5712 2675, 7de druk, 2010. [SEHG12] Sehgal, J. en Craig, A. The previously unseen risks associated with internet transactions and certificate authorities, Just below the surface, in de IT-Auditor, 2012, nummer 1, pp. 36-40. [THIP11] Thiprungsri, S. en Vasarhelyi, M.A., Cluster analysis for anomaly detection in accounting data, an audit approach, in The International Journal of Digital Accounting Research, Vol. 11, pp. 69-84, 2011. [WOUD11] Wouda, A., De beheersing van cybercrime bij Nederlandse ‘klein’ banken, in de IT-Auditor, 2011, nummer 4, pp. 22-28, gebaseerd op een scriptie VU PGO IT Audit, www.vurore.nl, mei 2011. [ZUID12] De Zuidwalvulkaan wordt in diverse bronnen op internet genoemd, zoals Wikipedia, www.infonu.nl, www.natuurinformatie.nl, www.vpro.nl en www.youtube.com.