Een case study binnen de rijksoverheid
Beveiliging van telewerken: het identificeren van risico’s en maatregelen Auteurs: Lars Hoogendijk MSc, Dr. Ir. Jan van den Berg, Ing. Peter Groen MBA RE CISA.
1. Introductie 1.1 Opkomst van telewerken Veel recent onderzoek dat betrekking heeft op werk dat thuis, of vanaf andere locaties buiten kantoor, uitgevoerd wordt, is gericht op het concept ‘telewerken’. Hoewel er in de praktijk veel verschillende definities gehanteerd worden, is er een groeiende consensus dat telewerken werken op afstand is, waarbij gebruikgemaakt wordt van informatie en communicatietechnologie (ICT). [SULL03] Vanwege een aantal aanzienlijke voordelen is telewerken de laatste jaren een belangrijke manier van werken geworden. Zo biedt telewerken individuen een betere balans tussen werk en privé, flexibele werkuren en besparingen op reistijd en -kosten. Voor organisaties leidt telewerken onder meer tot hogere productiviteit van medewerkers en besparing van kantoorruimte. De maatschappij als geheel tenslotte profiteert van verdunning van de files, verlaging van CO2-uitstoot, betere kansen voor arbeidsgehandicapten en kostenbesparingen op het gebied van infrastructuur en energie. Daarnaast hebben technologische ontwikkelingen telewerken toegankelijk en relatief goedkoop gemaakt. Voorbeelden hiervan zijn de opkomst van het internet, de beschikbaarheid van mobiele gegevensdragers, een snelle en betrouwbare communicatie infrastructuur en krachtige en goedkope computers. Nederland heeft wereldwijd een leidende positie op het gebied van telewerken. Volgens schattingen van de Europese Commissie [SIBI03] was 26,4 procent van de Nederlandse beroepsbevolking in 2003 actief aan het telewerken. Hiermee was de penetratie van telewerken in Nederland hoger dan die van ieder ander land dat was opgenomen in het onderzoek, inclusief de Verenigde Staten. De verwachting is dat het aantal telewerkers in Nederland in de nabije toekomst nog behoorlijk zal groeien [EWFO06]. Ook in een moderne
De afgelopen tijd heeft zich binnen de rijksoverheid een aantal beveiligingsincidenten rond telewerken voorgedaan waardoor gevoelige informatie op straat kwam te liggen. Een bekend voorbeeld hiervan is het Tonino incident uit 2004. Hierbij kwam vertrouwelijke justitiële informatie in handen van derden nadat openbaar aanklager Joost Tonino zijn privé PC bij het grofvuil had neergezet. De incidenten tonen aan dat informatiebeveiliging bij telewerken binnen de rijksoverheid niet altijd goed geregeld is. In dit artikel wordt een risicoanalysemethodiek voor het beveiligen van telewerken voorgesteld. Met behulp van deze methodiek kunnen beveiligingsmaatregelen geïdentificeerd worden waarmee een adequaat niveau van beveiliging bij telewerken gerealiseerd kan worden. De methodiek is gebaseerd op een case study die uitgevoerd is bij tien rijksoverheidsinstanties. Door middel van deze case study is in beeld gebracht op welke wijze binnen de rijksoverheid getelewerkt wordt en hoe informatiebeveiliging daarbij in de praktijk is gerealiseerd.
rijksoverheid waarin actief wordt ingespeeld op de mogelijkheden die ICT biedt, zal telewerken een steeds prominentere rol kunnen krijgen [BZK01].
1.2 Telewerken en informatiebeveiliging Voor het uitvoeren van hun werkzaamheden hebben telewerkers vaak toegang nodig tot informatie die toebehoort aan de organisatie waarvoor zij werkzaam zijn. Als gevolg hiervan is deze informatie blootgesteld aan beveiligingsrisico’s die gerelateerd zijn aan telewerken. Deze risico’s kunnen mogelijk de betrouwbaarheid – die doorgaans wordt uitgedrukt in termen van beschikbaarheid, integriteit en vertrouwelijkheid [OVER00] – van die informatie compromitteren. Dit kan weer leiden tot verschillende soorten schade, zoals imagoverlies, verlies van publiek vertrouwen of financiële schade. Door het implementeren van de juiste beveiligingsmaatregelen kunnen de risico’s tot een aanvaardbaar niveau worden teruggebracht. Dit is het domein van het vakgebied informatiebeveiliging. Er is al enige literatuur beschikbaar waarin de concepten ‘telewerken’ en ‘informatiebeveiliging’ met elkaar in verband worden gebracht. Zo beschrijft
Sturgeon in het artikel ‘Telework: threats, risks and solutions’ [STUR96] een algemeen raamwerk voor het analyseren van dreigingen en maatregelen die gerelateerd zijn aan telewerken. Dit raamwerk is gebaseerd op een methodiek die door de Canadese rijksoverheid gebruikt wordt. Om de werking ervan te illustreren past Sturgeon het raamwerk toe op een hypothetische thuiswerksituatie. Dit resulteert in een aantal concrete voorbeelden van dreigingen en maatregelen die voor die specifieke telewerksituatie relevant zijn. Meer volledige en gedetailleerde overzichten van dreigingen en maatregelen bij telewerken zijn opgenomen in het rapport ‘Securing remote access by staff’ van het ‘Information Security Forum’ (ISF) [ISF99]. Het rapport heeft betrekking op een variëteit aan remote access methoden en verbindingen. Een gedetailleerde beschrijving van een methodiek waarmee de relevante risico’s en maatregelen bepaald kunnen worden, ontbreekt echter.
1.3 Beveiligingsincidenten gerelateerd aan telewerken binnen de rijksoverheid Dat degelijke informatiebeveiliging bij telewerken zeer belangrijk kan zijn,
INFORMATIEBEVEILIGING SEPTEMBER 2007
13
wordt onderstreept door een aantal recente beveiligingsincidenten waarbij verschillende rijksoverheidsinstanties betrokken waren. Als gevolg van deze incidenten kwam gevoelige informatie in handen van derden. Met name de navolgende incidenten leidden tot veel publieke commotie: • Ministerie van Justitie (oktober 2004) Openbaar aanklager Joost Tonino zet zijn privé computer bij het grofvuil, omdat deze het door een virus niet meer zou doen. De harde schijf bevat, naast persoonlijke gegevens, een grote hoeveelheid vertrouwelijke informatie over prominente zaken. De computer wordt opgepikt door een taxichauffeur en verkocht aan misdaadverslaggever Peter R. de Vries die op televisie onthult welke informatie op de harde schijf staat. • Ministerie van Defensie (februari 2006) Een kapitein van de landmacht verliest een memory stick door deze achter te laten in een huurauto. De stick bevat gevoelige informatie over Nederlandse troepen in Afghanistan en de persoonlijke beveiliging van minister Kamp (defensie). De memory stick wordt weliswaar gevonden en teruggegeven aan de eigenaar, maar een kopie van de informatie komt in handen van verschillende nieuwszenders. • Ministerie van Defensie (april 2006) Een ambtenaar stelt per ongeluk gevoelige documenten over het ministerie en het Koninklijk Huis via het peer-to-peer netwerk Limewire beschikbaar. Een student die verbonden is met het netwerk ontdekt de documenten en levert deze aan De Telegraaf. Omdat het aantal beveiligingsincidenten dat het nieuws haalt meestal slechts het topje van de ijsberg is, is het beveiligingsprobleem bij telewerken binnen de rijksoverheid mogelijk aanzienlijk. Dit wordt onderschreven door een onderzoek naar de beveiliging van mobiele werkplekken dat in 2004 is uitgevoerd door ‘Control Break International’ [VNUN04]. Respondenten uit diverse sectoren konden kiezen uit zes verschillende manieren waarop zij mobiele werkplekken beveiligden (bijvoorbeeld beleid, versleuteling, tokens) of aangeven dat geen enkele maatregel was getroffen. Maar liefst 61 procent van meer dan honderd ondervraagde overheidsmedewerkers gaf aan geen enkel middel te hebben ingezet om mobiele
14
werkplekken te beveiligen. Gemiddeld lag dit een stuk lager: van álle respondenten gaf 38 procent aan geen maatregelen te hebben genomen.
sectie 4 wordt de scope van de risicoanalysemethodiek nader beschouwd. Het artikel wordt afgesloten met enige conclusies.
1.4 Doel van dit artikel
2. Telewerken
Wanneer rijksoverheidsinstanties informatiebeveiliging bij telewerken op een meer gestructureerde wijze realiseren, kunnen beveiligingsincidenten – zoals die welke hierboven staan beschreven – in de toekomst wellicht worden voorkomen. Adequate informatiebeveiliging wordt nog belangrijker wanneer de schaal waarop telewerken plaatsvindt, groeit. Een risicoanalysemethodiek die kan helpen om (1) de beveiligingsrisico’s gerelateerd aan telewerken te identificeren en (2) te bepalen welke maatregelen nodig zijn om die risico’s te reduceren, kan een waardevol hulpmiddel zijn om adequate informatiebeveiliging te realiseren. In dit artikel wordt een dergelijke risicoanalysemethodiek voorgesteld. Omdat telewerken een erg breed en complex begrip is – waarbij bijvoorbeeld werktijden, werklocaties en ICT gebruik nogal kunnen variëren – is de voorgestelde methodiek primair gericht op het identificeren van risico’s en maatregelen die samenhangen met de wijze waarop binnen de rijksoverheid getelewerkt wordt. Uitgangspunt is dat de methodiek niet alleen een raamwerk is om risico’s en maatregelen te analyseren, maar dat zij ook gedetailleerde lijsten van relevante dreigingen en maatregelen bevat. Om in kaart te brengen op welke wijze er binnen de rijksoverheid getelewerkt wordt, is een uitgebreide case study uitgevoerd. Bij tien rijksoverheidsinstanties – te weten zeven ministeries en drie uitvoeringsinstellingen – is geïnventariseerd op welke wijze telewerken plaatsvindt en hoe informatiebeveiliging daarbij gerealiseerd is. In de volgende sectie van dit artikel wordt eerst het fenomeen ‘telewerken’ in zijn algemeenheid beschreven. Daarna wordt ingegaan op de wijze waarop telewerken binnen de onderzochte rijksoverheidsinstanties plaatsvindt. Hiervan worden twee telewerktypologieën afgeleid. De risicoanalysemethodiek waarmee informatiebeveiliging met betrekking tot deze telewerktypologieën kan worden gerealiseerd, wordt beschreven in sectie 3. In deze sectie wordt tevens ingegaan op de ontwikkeling en validatie van de methodiek. In
INFORMATIEBEVEILIGING SEPTEMBER 2007
2.1 Historie Het concept ‘telewerken’ is niet nieuw. Al in de jaren vijftig van de vorige eeuw ontstond het idee dat telecommunicatie en computertechnologie ervoor konden zorgen dat werk ook buiten de muren van het traditionele kantoor gedaan kon worden. Wijdverspreide interesse in telewerken ontstond echter pas in de jaren zeventig van de vorige eeuw – het tijdperk van de oliecrisis – toen de omstandigheden westerse landen ertoe dwongen het energieverbruik drastisch te reduceren. Uiteindelijk leidden technologische ontwikkelingen en een alsmaar groeiende dienstensector er in de jaren tachtig en negentig van de vorige eeuw toe dat telewerken definitief doorbrak.
2.2 Problemen rond definities Hoewel telewerken al enige tijd onderwerp van discussie is, bestaat er nog steeds geen universele definitie. Bovendien worden in de praktijk veel verschillende termen met vergelijkbare betekenissen door elkaar gebruikt, zoals ‘e-werken’, ‘thuiswerken’, ‘flexwerken’ en ‘mobiel werken’. [BARU01] Het gebrek aan een universele definitie van telewerken leidt tot een aantal problemen. Het bemoeilijkt bijvoorbeeld het vergelijken van resultaten uit verschillende studies, leidt tot contractuele onzekerheid en maakt het tellen van telewerkers bijna onmogelijk. Toch is het bestaan van een groot aantal verschillende projectspecifieke definities bijna onvermijdelijk, omdat telewerken onderwerp is van een groot aantal verschillende disciplines – zoals transport en logistiek, rechten, sociologie en organisatorische studies – en onderzoekers normaliter definities gebruiken waarmee zij de doelstellingen van hun specifieke onderzoek het beste kunnen bereiken. [SULL03]
2.3 Dimensies van telewerken De meeste projectspecifieke definities kunnen echter worden afgeleid van de volgende abstracte definitie van telewerken: ‘telewerken is tijd- en plaatson-
afhankelijk werken met behulp van ICT’. In deze abstracte definitie liggen tenminste drie dimensies besloten, namelijk: (1) tijd, (2) plaats en (3) ICT. De mate waarin een dimensie van belang is voor een specifiek onderzoek, hangt af van de gestelde onderzoeksvragen.
Tijd De hoeveelheid of proportie van de werktijd die op afstand wordt besteed, is een veelgebruikt criterium bij het definieren van telewerken. De gebruikte grens kan per onderzoek behoorlijk verschillen. Soms is onderzoek bijvoorbeeld uitsluitend gericht op structureel telewerken (één of meer volledige werkdagen), terwijl in ander onderzoek ook overwerk in ogenschouw genomen wordt.
Plaats Een ander belangrijk element in discussies over telewerken is de werklocatie. Soms wordt telewerken beperkt tot werken vanuit huis, maar meestal hebben telewerkdefinities betrekking op een variëteit aan locaties en ligt de nadruk op de plaatsonafhankelijkheid.
technologie een telewerker definieert. Specifieke technologieën definiëren verschillende vormen van telewerken. [HADD05]
2.4 Telewerken binnen de rijksoverheid Om in kaart te brengen hoeveel en op welke wijze er binnen de rijksoverheid getelewerkt wordt, zijn bij de tien rijksoverheidsinstanties die deel uitmaakten van het onderzoek één of meer beveiligingsexperts geïnterviewd. Uit schattingen gemaakt door de geïnterviewden blijkt dat de schaal waarop telewerken plaatsvindt aanzienlijk varieert. Bij de meeste onderzochte instanties is telewerken – in brede zin – echter wel een normaal verschijnsel. De geïnterviewden hadden voor wat betreft werktijden, werklocaties en ICTgebruik, verschillende ideeën over het concept ‘telewerken’. De meeste geïnterviewden waren echter van mening dat telewerken plaatsvindt vanaf een locatie buiten kantoor en dat daarbij ICT gebruikt wordt.
Tijd ICT In het verleden is er veel discussie geweest over de mate waarin ICT een substantieel, strategisch of noodzakelijk onderdeel van telewerken is. In het meeste hedendaagse onderzoek is technologie echter een cruciale factor voor het onderscheid tussen telewerken en andere vormen van gedecentraliseerd werk. [HADD05] Het bepalen van de rol die ICT bij telewerken speelt, is niet altijd eenvoudig. De mate waarin van ICT gebruik wordt gemaakt en de soorten gebruikte ICT kunnen aanzienlijk verschillen. Soms kan telewerken al effectief plaatsvinden met uitsluitend een telefoon of een fax, terwijl in andere gevallen meer geavanceerde technologieën, zoals PC’s of e-mail, noodzakelijk zijn. Sullivan [SULL03] stelt daarom voor om het ‘niveau’ van ICT-gebruik te meten. De vraag is echter hoe deze niveaus moeten worden gedefinieerd (naar tijd, intensiteit of technologische complexiteit?). Een mogelijke benadering is om met behulp van de factor ‘ICT’ de contouren van het fenomeen telewerken te bepalen en vervolgens onderscheid te maken tussen gebruikers van verschillende soorten ICT. Hierbij is het uitgangspunt dat geen enkele specifieke
Sommige geïnterviewden maakten onderscheid tussen incidenteel (bijvoorbeeld minder dan één werkdag per week) en structureel telewerken (bijvoorbeeld één of meer werkdagen per week). Daarnaast stelden sommige geïnterviewden dat telewerken vooral plaatsvindt tijdens kantooruren, terwijl anderen van mening waren dat telewerken voornamelijk plaatsvindt tijdens overuren.
Plaats In de meeste gevallen is de telewerklocatie het huis van de telewerker, maar het komt ook voor dat telewerkers geen vaste werklocatie hebben. Enkele rijksoverheidsinstanties hebben satellietkantoren waar een aantal telewerkers werkt.
ICT Alle onderzochte rijksoverheidsinstanties leveren laptops aan tenminste een deel van de telewerkers. Enkele instanties leveren ook PDA’s, maar dat gebeurt dan op kleine schaal. Vaak kan computerapparatuur die niet door de instantie geleverd is, ook worden gebruikt voor telewerken. Zulke apparatuur kan in principe alles zijn wat aan de relevante technische eisen voor telewerken voldoet. De meeste geïnterviewden
gaven echter aan dat telewerkers die geen gebruikmaken van door de instantie geleverde apparatuur, vooral eigen desktop computers gebruiken. In de praktijk vindt informatie-uitwisseling tussen de telewerkcomputer en andere computers plaats via bijvoorbeeld e-mail, portable data carriers of network access points op kantoor. Niet alle geïnterviewden associeerden al deze vormen van informatie-uitwisseling echter met telewerken. Bijna alle onderzochte rijksoverheidsinstanties faciliteren toegang tot informatie en applicaties via het internet. Hiertoe wordt gebruikgemaakt van een server based computing oplossing ontwikkeld door Citrix Systems. Bij server based computing worden alle applicaties en databases volledig op een centrale server geïnstalleerd en vindt verwerking centraal plaats. De server is verbonden met een client PC waarop alleen het applicatiescherm wordt gegenereerd. Het is in principe transparant waar de client-omgeving uit bestaat (type hardware of Operating Systeem) of waar deze zich bevindt. In het geval van Citrix worden uitsluitend de schermen en de toetsaanslagen van de gebruiker, muisklikken en schermvernieuwingen over het netwerk verstuurd. [BRUI04]
2.5 Gekozen conceptualisatie van telewerken Volgens Sullivan [SULL03] moet onderzoek naar telewerken gebaseerd zijn op een precieze projectspecifieke definitie die volgens een rationele benadering en met betekenisvolle argumenten geformuleerd is. In lijn met deze opvatting is een conceptualisatie van het fenomeen telewerken binnen de rijksoverheid gemaakt. Het vertrekpunt van deze conceptualisatie is een definitie van telewerken zoals opgenomen in het besluit ‘Raamregeling telewerken’ [BZK01]. Dit besluit bevat richtlijnen over telewerken die gelden voor de gehele rijksoverheid. In het besluit wordt telewerken als volgt gedefinieerd: [Telewerken is] het verrichten van werkzaamheden ten behoeve van de dienst in de woning van de ambtenaar waarbij gebruik wordt gemaakt van informatieen (…)communicatietechnologie. In deze definitie wordt geen restrictie gemaakt op de tijden waarop getelewerkt wordt. Wel is telewerken volgens
INFORMATIEBEVEILIGING SEPTEMBER 2007
15
de definitie plaatsafhankelijk, omdat het gebeurt in de woning van de ambtenaar. Uit de case study blijkt echter dat telewerken in de praktijk ook vanaf andere locaties plaats kan vinden. Het is daarom wenselijk een definitie te hanteren die ook plaatsonafhankelijk is. Wanneer het zinsdeel ‘in de woning van de ambtenaar’ verwijderd wordt, blijft de volgende definitie van telewerken over: Telewerken is het verrichten van werkzaamheden ten behoeve van de dienst waarbij gebruik wordt gemaakt van informatie- en communicatietechnologie. Bovenstaande definitie is weliswaar op rationele wijze geformuleerd, maar nog niet erg projectspecifiek. De definitie wijkt namelijk weinig af van de algemene consensus dat telewerken werken op afstand is waarbij ICT gebruikt wordt. Voor dit onderzoek ligt de projectspecificiteit echter voornamelijk besloten in de laatste term uit de definitie: ICT. ICT is een zeer breed begrip dat een grote verscheidenheid aan technologieen kan omvatten. Omdat de beveiligingsaanpak van verschillende soorten ICT aanzienlijk kan verschillen, is het begrip ‘ICT’ verengd tot twee telewerktypologieën (T1 en T2). Deze typologieen zijn gebaseerd op de ICT die binnen de onderzochte rijksoverheidsinstanties voor telewerken gebruikt wordt. T1 Telewerken met een ‘stand-alone’ computer. Informatie wordt lokaal opgeslagen en verwerkt. T2 Telewerken met een computer die is verbonden met centrale servers door middel van een Citrix server based computing architectuur. Informatie wordt centraal opgeslagen en verwerkt.
Bij typologie T2 worden tussen de computer en de centrale servers uitsluitend schermweergaven, toetsaanslagen en muisklikken gecommuniceerd. Er wordt verondersteld dat communicatie hierbij plaatsvindt over het internet. De computer genereert uitsluitend applicatieschermen. Verder kan in sommige gevallen informatie die opgeslagen is op centrale servers gedownload worden naar lokale computers, bijvoorbeeld via de ‘opslaan als’ functionaliteit in applicaties of via e-mail. Om de twee typologieën methodologisch te kunnen scheiden, wordt echter aangenomen dat informatie op centrale servers
16
centraal opgeslagen blijft. In de praktijk kan lokaal opgeslagen informatie (dit betreft typologie T1) uitgewisseld worden met de ‘stand-alone’ telewerk computer en andere computers. Dit kan op verschillende wijzen worden gedaan, bijvoorbeeld door middel van portable data carriers of e-mail. De bescherming van informatie tijdens dergelijke vormen van transport betreft echter een actueel en complex vraagstuk dat ver uitstijgt boven de problematiek van alleen telewerken. Omdat dit in feite een aparte studie rechtvaardigt, is ervoor gekozen de bijbehorende beveiligingsaanpak buiten het bereik van de risicoanalysemethodologie zoals beschreven in de volgende sectie te houden.
3. Voorstel risicoanalysemethodiek voor het beveiligen van telewerken Om de beveiligingsrisico’s die samenhangen met de hierboven beschreven telewerktypologieën op evenwichtige wijze te beheersen, kan gebruik worden gemaakt van risicoanalyse. Risicoanalyse ondersteunt het zoeken naar een evenwichtig en samenhangend pakket beveiligingsmaatregelen dat informatie en informatiesystemen optimaal (d.w.z. niet te licht en niet te zwaar) beveiligt. In theorie en praktijk zijn risicoanalysemethodieken in vele soorten en maten beschikbaar. Binnen de rijksoverheid wordt – ingevolge het Besluit voorschrift informatiebeveiliging rijksdienst 1994 (VIR) [BIZA94] – gebruikgemaakt van een kwantitatieve risicoanalysemethodiek die bekend staat als de Afhankelijkheids- en Kwetsbaarheidsanalyse (A&K-analyse). In het VIR wordt deze methodiek op hoofdlijnen beschreven. Ten behoeve van rijksoverheidsinstanties is een meer concrete handreiking voor het uitvoeren van de A&Kanalyse neergelegd in het in het Handboek A&K-analyse [ACIB98]. Het ligt voor de hand om de risicoanalysemethodiek voor het beveiligen van telewerken te baseren op de A&K-analyse zoals beschreven in het handboek. Deze methodiek is echter erg complex en bewerkelijk. Daarom is ervoor gekozen om een eenvoudigere methodiek als basis te nemen, namelijk de SPRINT-analyse, ontwikkeld door het Information Security Forum (ISF) [ISF97a]. SPRINT sluit goed aan bij het VIR, omdat het zowel een afhankelijkheidsanalyse als een kwetsbaarheids-
INFORMATIEBEVEILIGING SEPTEMBER 2007
analyse in zich heeft. In het vervolg van deze sectie wordt eerst de scope en opzet van de risicoanalysemethodiek voor het beveiligen van telewerken besproken. Daarna wordt nader ingegaan op ontwikkeling en validatie van de methodiek.
3.1 Scope van de risicoanalysemethodiek Hiervoor is al beschreven dat telewerken een breed en complex fenomeen is waarbij werklocaties, werktijden en ICTgebruik aanzienlijk kunnen variëren. Ook informatiebeveiliging is een veelzijdige discipline die gericht kan zijn op het beschermen van een verscheidenheid aan middelen zoals informatie, software, hardware en mensen. Vanwege de breedte van de concepten ‘telewerken’ en ‘informatiebeveiliging’ is de scope van de risicoanalysemethodiek begrensd. De methodiek is met name gericht op het in kaart brengen van risico’s en maatregelen die (1) samenhangen met de twee telewerktypologieen en (2) een directe invloed hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie.
3.2 Opzet van de risicoanalysemethodiek De risicoanalysemethodiek bestaat uit vier opeenvolgende fases die hieronder kort beschreven worden. Voor de volledige uitwerking van de risicoanalysemethodiek wordt verwezen naar [HOOG06].
Fase 1: Initieer de risicoanalyse In deze fase wordt een werkgroep samengesteld die belast is met de uitvoering van de risicoanalyse. De werkgroep bestaat uit een coördinator die samenwerkt met een verantwoordelijke lijnmanager. De coördinator kan bijvoorbeeld een informatiebeveiligingsexpert of een internal auditor zijn. Tevens wordt de scope van de risicoanalyse bepaald. Hierbij wordt in kaart gebracht welke informatie door telewerkers gebruikt wordt (hierna ‘telewerkinformatie’ genoemd) en voor welke telewerktypologie (T1 of T2) de risicoanalyse uitgevoerd wordt.
Fase 2: Bepaal de afhankelijkheid In fase 2 wordt bepaald in welke mate de rijksoverheidsinstantie afhankelijk is van de telewerkinformatie. Hiertoe wordt bepaald welke consequenties een
verlies van de vertrouwelijkheid, integriteit en beschikbaarheid van telewerkinformatie heeft en wat de impact daarvan is op de organisatie. Voor elk betrouwbaarheidsaspect beantwoordt de werkgroep een aantal vragen uit een vragenlijst (zie figuur 1). Voor ieder type consequentie op deze vragenlijst (bijvoorbeeld concurrentienadeel, politieke gevolgen of fraude) bepaalt de lijnmanager wat de mogelijke impact is. Hiervoor kunnen bijvoorbeeld de volgende scores worden gebruikt: (A) ernstige schade, (B) gemiddelde schade, (C) kleine schade of (D) verwaarloosbare schade. De individuele scores resulteren gezamenlijk in een algehele score voor het betreffende betrouwbaarheidsaspect. De algehele scores van de drie betrouwbaarheidsaspecten geven weer in welke mate de rijksoverheidsinstantie afhankelijk is van de telewerkinformatie en daarmee welk niveau van beveiliging gerealiseerd dient te worden.
Vervolgens wordt een kwetsbaarheidscore vastgesteld die de waarschijnlijkheid uitdrukt dat een bedreiging zich manifesteert. Hiertoe kunnen bijvoorbeeld de volgende scores worden gebruikt: (A) waarschijnlijk, (B) mogelijk, (C) onwaarschijnlijk, (D) onmogelijk. Daarna bepaalt de werkgroep welke maatregelen nodig zijn om de kwetsbaarheid voor de relevante bedreigingen te reduceren. Hiertoe wordt in ogenschouw genomen: (1) het gewenste niveau van beveiliging voor de verschillende betrouwbaarheidsaspecten zoals vastgesteld in de vorige fase, (2) de relevantie van de bedreiging voor deze betrouwbaarheidsaspecten en (3) de kwetsbaarheid voor de specifieke bedreiging. Het bepalen van de maatregelen wordt ondersteund door de ‘maatregelenlijst’ en de ‘dreigingen/maatregelen-matrix’. De maatregelenlijst (zie subsectie 3.4) bevat de algemene maatregelen die kunnen worden genomen om de
teit van de verschillende maatregelen wordt vastgelegd. Hierbij wordt rekening gehouden met enerzijds de effectiviteit en anderzijds de kosten van de maatregelen. In het actieplan wordt tevens vastgelegd wie verantwoordelijk is voor de implementatie van de maatregelen en wanneer de maatregelen uiterlijk geïmplementeerd dienen te zijn.
3.3 Dreigingenlijst De dreigingenlijst bevat de verschillende bedreigingen die relevant zijn voor de twee telewerktypologieën. Iedere bedreiging uit de dreigingenlijst is gerelateerd aan één van de vijf componenten van de conceptuele telewerkvoorziening, namelijk: (1) de telewerker, (2) de telewerklocatie, (3) de telewerkcomputer, (4) de internet verbinding en (5) de centrale servers (zie figuur 2). Gelet op de keuzes die in sectie 2.5 gemaakt zijn met betrekking tot de conceptualisatie van telewerken zijn voor typologie T1 uitsluitend de drie componenten aan de linkerkant van de verticale gestippelde lijn relevant. Voor typologie T2 zijn alle vijf de componenten van belang. In figuur 3 is een deel van de index van de dreigingenlijst opgenomen (in dit geval van ‘Component A: de telewerker’). De index bevat de unieke referenties en de titels van alle dreigingen in de dreigingenlijst. Voor ieder betrouwbaarheidsaspect van telewerkinformatie wordt een indicatie gegeven van de relevantie van de dreiging voor het betreffende betrouwbaarheidsaspect. Hiervoor wordt gebruik gemaakt van de sym-
Figuur 1: Vragenlijst vertrouwelijkheid
Fase 3: Bepaal de bedreigingen, kwetsbaarheden en maatregelen In fase 3 worden de relevante bedreigingen en kwetsbaarheden met betrekking tot de gekozen telewerktypologie in kaart gebracht. Vervolgens wordt bepaald welke maatregelen nodig zijn om de risico’s binnen acceptabele grenzen te houden. Het bepalen van relevante bedreigingen wordt ondersteund door een ‘dreigingenlijst’ (zie subsectie 3.3). De dreigingenlijst bevat algemene bedreigingen die betrekking hebben op de twee telewerktypologieën. De werkgroep bediscussieert hoe kwetsbaar de organisatie is voor iedere bedreiging die relevant is voor de gekozen telewerktypologie.
Figuur 2: De conceptuele telewerkvoorziening
bedreigingen uit de dreigingenlijst te reduceren. De dreigingen/maatregelenmatrix (zie subsectie 3.5) geeft aan wat de sterkste relatie is tussen de bedreigingen en maatregelen.
Fase 4: Produceer een actieplan In de vierde en laatste fase stelt de werkgroep een actieplan op waarin de priori-
bolen ‘+’, ‘-‘, en ‘X’ die respectievelijk ‘hoge relevantie’, ‘lage relevantie en ‘niet relevant’ uitdrukken. Iedere bedreiging heeft een ‘dreigingtabel’ waarin aanvullende informatie over die bedreiging is opgenomen. Zoals te zien is in figuur 4 bevat een dreigingtabel de informatie die is opge-
INFORMATIEBEVEILIGING SEPTEMBER 2007
17
Iedere maatregel heeft een ‘maatregeltabel’ waarin aanvullende informatie over de maatregel is opgenomen. In figuur 6 is een voorbeeld van een maatregeltabel opgenomen.
3.5 Dreigingen/maatregelen-matrix De dreigingen/maatregelen-matrix geeft de sterkste relatie weer tussen de
Figuur 3: Deel van de index van de dreigingenlijst
nomen in de index plus een algemene beschrijving en meer gedetailleerde ondersteunende informatie. Waar nodig bevat dreigingtabel ook een beschrijving van de relevantie van de bedreiging voor de twee telewerktypologieën T1 en T2.
3.4 Maatregelenlijst In de ‘maatregelenlijst’ zijn maatregelen opgenomen die genomen kunnen worden om de bedreigingen uit de dreigingenlijst te reduceren. Het merendeel van deze maatregelen is gerelateerd aan de vijf componenten van de telewerkvoorziening. De overige maatregelen zijn ondergebracht in een aparte groep ‘algemene maatregelen’. In figuur 5 is een deel van de index van de maatregelenlijst opgenomen (in dit geval ‘Groep D: Maatregelen telewerk computer’). De index bevat de unieke referenties en de titels van alle maatre-
Figuur 6: Maatregeltabel van de maatregel ‘Implementeer harddisk encryptie’
gelen in de maatregelenlijst. Voor iedere maatregel wordt een indicatie gegeven van (1) de relevante betrouwbaarheidsaspecten (waarom?) – vertrouwelijkheid, integriteit en beschikbaarheid –, (2) de plaats in de incidentcyclus (wanneer?) – preventief, detectief en repressief – en (3) het werkingsgebied (wat?) – organisatorisch, logisch en fysiek.
Figuur 4: Dreigingtabel van de bedreiging ‘Onthulling van inlog-informatie’
bedreigingen uit de dreigingenlijst en de maatregelen uit de maatregelenlijst. De matrix is slechts indicatief van aard, omdat verschillende maatregelen genomen kunnen worden om een individuele bedreiging te reduceren, terwijl een aantal verschillende bedreigingen kan worden gereduceerd door één enkele maatregel. Figuur 7 laat een deel van de dreigingen/maatregelen-matrix zien. In de meest linkse kolom zijn de dreigingen uit de dreigingenlijst opgenomen. In de bovenste rij zijn de maatregelen uit de maatregelenlijst opgenomen. Door per bedreiging van links naar rechts te lezen kunnen de maatregelen die de bedreiging kunnen reduceren gevonden worden. Detailinformatie over deze maatregelen kan vervolgens worden gevonden in de maatregelenlijst. Andersom kunnen de bedreigingen die beïnvloed worden door een bepaalde maatregel gevonden worden door per maatregel van boven naar beneden te lezen. Detailinformatie over die bedreigingen kan vervolgens worden gevonden in de dreigingenlijst. Een dreiging/maatregel-knooppunt kan leeg zijn of de letter V of A bevatten. De letter V wordt gebruikt om aan te geven dat er een sterke relatie is tussen een bedreiging en een maatregel. De letter A geeft aan dat de maatregel in kwestie een algemene maatregel is. Algemene maatregelen kunnen niet
Figuur 5: Deel van de index van de maatregelenlijst
18
INFORMATIEBEVEILIGING SEPTEMBER 2007
3.7 Validatie van de risicoanalysemethodiek
eenvoudig gerelateerd worden aan specifieke bedreigingen. Zij moeten op individuele basis, onafhankelijk van de bedreigingen, geëvalueerd worden.
De hierboven beschreven aanpassingen in SPRINT hebben geleid tot een conceptversie van de risicoanalysemethodiek voor het beveiligen van telewerken. Om de kwaliteit van de methodiek te waarborgen, is de conceptversie getoetst in een focusgroep die bestond uit tien informatiebeveiligingsexperts. De experts werd gevraagd hun mening te geven over (1) de opzet van de risicoanalysemethodiek (2) de juistheid en volledigheid van de dreigingenlijst in relatie tot de twee telewerktypologieën (3) de juistheid en volledigheid van de maatregelenlijst in relatie tot de dreigingen uit de dreigingenlijst en (4) de juistheid van de dreigingen/maatregelenmatrix. De op- en aanmerkingen van de experts zijn verwerkt in de uiteindelijke versie van de risicoanalysemethodiek. Voor meer details wordt hierbij nogmaals verwezen naar [HOOG06].
3.6 Ontwikkeling van de risicoanalysemethodiek Om SPRINT beter geschikt te maken als methodiek voor het identificeren van bedreigingen en maatregelen die samenhangen met de twee telewerktypologieën, zijn er op een aantal punten aanpassingen doorgevoerd. In deze subsectie worden de belangrijkste aanpassingen beschreven. In de volgende
4. Discussie Figuur 7: Deel van de dreigingen/maatregelen-matrix
subsectie wordt kort ingegaan op het validatieproces. SPRINT bestaat uit drie fases waarin respectievelijk de afhankelijkheid en kwetsbaarheid worden vastgesteld en een actieplan wordt opgesteld. De risicoanalysemethodiek voor het beveiligen van telewerken heeft een extra (voorlopende) fase waarin een werkgroep wordt samengesteld en de scope van de risicoanalyse wordt bepaald. Daarnaast zijn de oorspronkelijke SPRINT fases inhoudelijk gewijzigd. Zo zijn de vragenlijsten waarmee de afhankelijkheid wordt bepaald enigszins aangepast. Voor de rijksoverheid minder relevante vragen (zoals vragen gericht op het verlies van orders) zijn vervangen (bijvoorbeeld door vragen gericht op politieke consequenties). Ten behoeve van het vaststellen van de kwetsbaarheid bevat SPRINT een lijst met generieke dreigingen die de betrouwbaarheid van informatiesystemen kunnen compromitteren. In een aparte bijlage bij SPRINT [ISF97b] wordt voor iedere dreiging een aantal maatregelen genoemd om de dreiging te reduceren. De dreigingen en maatregelenlijsten uit SPRINT zijn vervangen door de hierboven beschreven dreigingen- en maatregelenlijsten. Hierin zijn specifieke dreigingen en maatregelen opgenomen die relevant zijn voor beide telewerk-
typologieën. Daarnaast is de dreigingen/maatregelen-matrix toegevoegd om de relatie tussen dreigingen en maatregelen weer te geven. De dreigingen uit de dreigingenlijst zijn voornamelijk afkomstig uit het ISF rapport ‘Securing remote access by staff’ [ISF99]. In dit rapport wordt een groot aantal dreigingen genoemd die samenhangen met een variëteit aan remote access methoden en verbindingen. Hiervan zijn uitsluitend de dreigingen geselecteerd die relevant zijn voor de twee telewerktypologieën. De maatregelenlijst is gebaseerd op de resultaten van de case study en verschillende literatuur over informatiebeveiliging. Naast het bovengenoemde ISF rapport is onder meer gebruikgemaakt van de Code voor Informatiebeveiliging [ISO05] en van artikelen over het beveiligen van netwerken [PHIF03] en mobiele computers [GREE02] [ISF02]. De dreigingen/maatregelen-matrix is gebaseerd op de ‘risk control tables’ uit het ISF rapport ‘Using email: detailed risks and controls’ [ISF03]. De matrix is tot stand gekomen door voor iedere bedreiging in de dreigingenlijst na te gaan welke maatregelen ingezet kunnen worden om de dreiging te reduceren. De matrix is zo opgezet dat iedere dreiging is gekoppeld aan minstens één maatregel en omgekeerd.
De scope van de risicoanalysemethodiek voor het beveiligen van telewerken is op twee manieren beperkt. Ten eerste zijn uitsluitend risico’s (en bijbehorende maatregelen) in de methodiek opgenomen die een directe impact hebben op de betrouwbaarheid van informatie. In nader onderzoek kan de methodiek uitgebreid worden, zodat deze ook betrekking heeft op andere risico’s die een organisatie negatief kunnen beïnvloeden. Hierbij valt bijvoorbeeld te denken aan risico’s gerelateerd aan reputatieschade, het overtreden van wet- en regelgeving of materiële schade. Ten tweede is de methodiek primair gericht op de twee telewerktypologieën T1 en T2 die zijn afgeleid van een deel van de ICT die binnen de onderzochte rijksoverheidsinstanties voor telewerken wordt gebruikt. Hierbij is ervoor gekozen om onder meer portable data carriers en e-mail buiten beschouwing te laten, hoewel deze middelen in de praktijk wel voor telewerken worden gebruikt. Als gevolg hiervan valt het tweede in de introductie genoemde incident – waarbij een officier van de landmacht zijn memory stick verliest – buiten de scope van de risicoanalysemethodiek. In nader onderzoek kan de risicoanalysemethodiek zodanig worden uitgebreid dat deze betrekking heeft op alle vormen van ICT die binnen de onder-
INFORMATIEBEVEILIGING SEPTEMBER 2007
19
zochte rijksoverheidsinstanties gebruikt worden. Dit betekent in ieder geval dat er dreigingen en maatregelen die betrekking hebben op het gebruik van portable data carriers en e-mail in de methodiek opgenomen moeten worden. Daarnaast is het zinvol om meer rijksoverheidsinstanties in de case study te betrekken om te onderzoeken of er nog andere manieren zijn waarop binnen de rijksoverheid getelewerkt wordt. Mogelijk moeten naar aanleiding hiervan nog meer dreigingen en maatregelen in de risicoanalysemethodiek worden opgenomen. Hoewel de risicoanalysemethodiek primair is ontwikkeld voor het beveiligen van telewerken binnen de rijksoverheid, kan deze ook buiten de rijksoverheid gebruikt worden. Voorwaarde is wel dat binnen een organisatie waar de methodiek wordt toegepast, getelewerkt wordt overeenkomstig ten minste één van de twee telewerktypologieën. Wanneer de dreigingen en maatregelen in de risicoanalysemethodiek op een hoger abstractieniveau geformuleerd worden, kan deze wellicht gebruikt worden om informatiebeveiliging bij telewerken in meest abstracte zin (d.w.z. tijd- en plaatsonafhankelijk werken met behulp van ICT) te realiseren. De methodiek zou dan zo generiek zijn dat zij toepasbaar is binnen iedere willekeurige organisatie. Of dit mogelijk is en hoe de methodiek er dan uit komt te zien, kan nader onderzoek uitwijzen.
5. Conclusies In dit artikel is een risicoanalysemethodiek voorgesteld met behulp waarvan informatiebeveiliging bij telewerken binnen de rijksoverheid gerealiseerd kan worden. De methodiek is gericht op het identificeren van risico’s en maatregelen die samenhangen met twee specifieke telewerktypologieën. Deze telewerktypologieën zijn afgeleid van de ICT die binnen de tien rijksoverheidsinstanties die deel uitmaken van de case study voor telewerken gebruikt wordt. In de risicoanalysemethodiek zijn gedetailleerde lijsten van dreigingen en maatregelen opgenomen die betrekking hebben op deze telewerktypologieën. Doordat een redelijk enge definitie van telewerken aan de basis ligt van de voorgestelde risicoanalysemethodiek, kan deze slechts op een beperkt aantal
20
telewerksituaties toegepast worden. In nader onderzoek kan de methodiek uitgebreid worden, zodat deze toepasbaar is op meer telewerksituaties. Hiertoe kunnen bijvoorbeeld meer dreigingen en maatregelen toegevoegd worden. Ook kan een hoger abstractieniveau gekozen worden om dreigingen en maatregelen te formuleren. Daarnaast kan de methodiek uitgebreid worden met risico’s – en bijbehorende maatregelen – die weliswaar niet direct de betrouwbaarheid van informatie compromitteren, maar wel de organisatie kunnen schaden. Ten slotte zal praktische toepassing van de voorgestelde methodiek uiteindelijk moeten uitmaken in welke mate deze betrouwbare uitkomsten oplevert, welke tekortkomingen zij heeft en welke verbeteringen nodig en mogelijk zijn ten einde er uiteindelijk toe over te kunnen gaan haar op te nemen in de verzameling van ‘best practices’.
Literatuurlijst [ACIB98] Advies- en Coordinatiepunt InformatieBeveiliging: Handboek A&Kanalyse. Ministerie van Binnenlandse Zaken, 1998. [BARU01] Baruch, Y.: ‘The status of research on teleworking and an agenda for future research’, in: International Journal of Management Reviews, Jaargang 3, Nummer 2 (2001), pp. 113129. [BIZA94] Ministerie van Binnenlandse Zaken: Besluit voorschrift informatiebeveiliging rijksdienst 1994. Den Haag, Ministerie van Binnenlandse Zaken, 1994. [BRUI04] Bruijn de, R.: ‘Citrix-omgeving nader bekeken’, in: De EDP-Auditor, Nummer 1 (2004) pp. 20-28. [BZK01] Ministerie van Binnenlandse Zaken en Koninkrijksrelaties: Raamregeling Telewerken. Den Haag, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2001. [EWFO06] Ewerkforum: TELEWERKFORUM HEET NU ‘EWERKFORUM’: VIRTUEEL WERKEN MET EEN NIEUW ELAN. Online beschikbaar via http://www.telewerkforum.nl. Geraadpleegd op 11 oktober 2006. [GREE02] Green, C.: ‘Laptop security threats / Increasing theft stats encourage road warriors to play it safe with portable tech’, in: CMA Management, July/ August 2002, pp. 46-47.
INFORMATIEBEVEILIGING SEPTEMBER 2007
[HADD05] Haddon, L. and M. Brynin: ‘The character of telework and the characteristics of teleworkers’, in: New Technology, Work and Employment, Jaargang 20, Nummer 1 (2005), pp. 3446. [HOOG06] Hoogendijk, L.: ‘A Risk Analysis Methodology for Securing Teleworking / A survey within the Dutch national government’, Master thesis Informatics and Economics (2006), Erasmus University Rotterdam. Online beschikbaar via http://www.tbm.
tudelft.nl/live/pagina. jsp?id=70163a1a-37c1-4f78-8cb050653874a96b&lang=en (#70). [ISF02] Information Security Forum: Securing PDAs / A Practical Approach. Information Security Forum, 2002. [ISF97a] Information Security Forum: SPRINT User Guide. Information Security Forum, 1997. [ISF97b] Information Security Forum: SPRINT User Guide. Information Security Forum, 1997. [ISF99] Information Security Forum: Securing Remote Access by Staff / Directory of Risks and Controls. Information Security Forum, 1999. [ISO05] ISO/IEC: Information technology – Security techniques – Code of practice for information security management. ISO/IEC, 2005. [OVER00] Overbeek, P., E. Roos Lindgreen and M. Spruit: Informatiebeveiliging onder controle. Pearson Education Uitgeverij BV, 2000. [PHIF03] Phifer, L.: ‘Securing Teleworker Networks’, in: Business Communications Review, October 2003, pp. 28-35. [SIBI03] SIBIS: SIBIS Pocket Book 2002/03 / Measuring the Information Society in the EU, the EU Accession Countries, Switzerland and the US. Bonn, Empirica, 2003. [STUR96] Sturgeon, A.: ‘Telework: threats, risks and solutions’, in: Information Management & Computer Security, Jaargang 4, Nummer 2 (1996), pp. 27-38. [SULL03] Sullivan, C.: ‘What’s in a name? Definitions and conceptualisations of teleworking and homeworking’, in: New Technology, Work and Employment, Jaargang 18, Nummer 3 (2003), pp. 158-165. [VNUN04] VNUNET.NL: CBI: beveiliging mobiele werkplekken ondermaats. Available online via http://www. vnunet.nl/nieuws.jsp?id=376295. Geraadpleegd op 16 juni 2006.