Basiskennis - Informatiebeveiligingsincidenten en -zwakheden

Uit IBpedia

Inhoud

1 Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia
2 Informatiebeveiligingsincidenten en -zwakheden
3 Gerelateerde IBpedia artikelen

Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia

Dit wiki-hoofdstuk is door vier leden van het PvIB geschreven om het algehele beveiligingsbewustzijn te vergroten en om te dienen als examenstof voor de opleidingsmodule ISFS. Gegeven de Creative Commons licentie van dit boek kunt u de hoofdstukken uit dit wiki-boek in dezelfde schrijfstijl aanvullen en indien nodig corrigeren. Het voorwoord en informatie over de schrijvers van het oorspronkelijke boek kunt u lezen via (Downloadlink voor het boek).

Kennisportaal IBpedia is een gemeenschappelijke Wiki voor informatiebeveiliging en digitale architectuur. Het is ontstaan vanuit de behoefte om vrije kennisdeling over informatiebeveiliging en digitale architectuur op een hoger niveau te brengen en een aanvulling op bestaande gemeenschappen en non-profit organisaties.

Informatiebeveiligingsincidenten en -zwakheden

Inleiding
Het informatiebeveiligingsproces is niet eenmalig. Het is een doorlopend proces. Iedere organisatie is voortdurend aan verandering onderhevig en daarmee ook de dreigingen, risico’s en maatregelen. Informatiebeveiliging moet verankerd zijn in de organisatie en heeft doorlopend aandacht nodig.
Het is van belang dat informatiebeveiliging wordt gedragen door het hoogste management binnen een bedrijf, en dat dit voor alle medewerkers zichtbaar is. Bij het informatiebeveiligingsproces horen ook andere processen, bijvoorbeeld incidentmanagement of risicomanagement. Daarnaast kunnen de verschillende taken in de informatiebeveiliging, afhankelijk van de grootte van de organisatie, bij verschillende meer of minder gespecialiseerde personen zijn belegd.

Beheer van informatiebeveiligingsincidenten

Medewerkers spelen een belangrijke rol in het waarnemen van zwakheden in de beveiliging en beveiligingsincidenten. Zij zijn immers vaak de eerste die het incident zien. Iemand heeft een vertrouwelijk stuk op de printer laten liggen. Een bestand met persoonlijke gegevens is verdwenen. Er hangt een vreemde geur in de ruimte van de papierversnipperaar. Een deur die op slot moet zijn staat open. Een collega gedraagt zich afwijkend. De pc geeft vreemde schermboodschappen.

Medewerkers moeten incidenten kunnen melden en de meldingen moeten worden opgevolgd. Meestal zal een melding van medewerkers bij de servicedesk (helpdesk) binnenkomen. De medewerker van de servicedesk onderkent dat het om een informatiebeveiligingsincident gaat en voert de daarbij behorende procedure voor oplossing en doormelden uit. Wanneer de medewerker bij de servicedesk het beveiligingsincident niet zelf kan of mag afhandelen, kan een incident gemeld worden aan iemand die meer expertise heeft en het probleem misschien wel kan oplossen. Dit heet een functionele (horizontale) escalatie. Een voorbeeld van functionele escalatie is een melding over vreemde meldingen op het scherm.

Een incident kan ook gemeld worden aan iemand die meer autoriteit heeft en die een beslissing kan nemen. Dit heet een hiërarchische escalatie. Een voorbeeld van hierarchische (verticale) escalatie is een melding aan de eigen manager over verdacht gedrag van een collega.

Het doel van dit incidentbeheerproces is het inzicht krijgen in incidenten en daarvan te leren voor de toekomst. Een melding kan ook een ander informatiebeveiligingsproces in gang zetten, bijvoorbeeld het herstellen van een bestand, een beveiligingsonderzoek, of zelfs het uitwijken naar een andere locatie.

Rapportage van informatiebeveiligingsincidenten en zwakke plekken

Incidenten bestaan in vele soorten en maten. In de ISO/IEC 20000 standaard wordt beschreven hoe incidenten kunnen worden beheerd in het incidentmanagementproces. Maar niet ieder incident is een beveiligingsincident.

In de praktijk
De IT-servicedesk van een grote organisatie krijgt de vraag:"Kunt u mij vertellen hoe ik in Word de optie vette letters terug krijg in de werkbalk bovenin mijn scherm". Deze vraag wordt als een incident geregistreerd in het servicedesksysteem. Een beveiligingsincident kunnen we dit echter niet noemen. Tenzij er sprake is van een ’vetteletterknop-vernietigend-virus’ maar daar heeft niemand ooit van gehoord.

Het doel van het incidentmanagementproces is ervoor zorgen dat gebeurtenissen en -zwakheden die verband houden met informatiesystemen bekend worden zodat op tijd maatregelen worden genomen.

Werknemers, ingehuurd personeel en externe gebruikers horen op de hoogte te zijn van de procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de betrouwbaarheid van de informatie en de beveiliging van de bedrijfsmiddelen.

Zij behoren te worden verplicht alle gebeurtenissen en zwakke plekken zo snel mogelijk te melden aan de servicedesk of een contactpersoon. De nadruk ligt natuurlijk bij het belang dat iedereen in de organisatie heeft bij een snelle reactie.

Twee zaken zijn van groot belang en moeten door de directie duidelijk worden gemaakt:

Het melden van beveiligingsincidenten is primair bedoeld om van te leren. Met deze kennis kunnen soortgelijke incidenten worden voorkomen;

Het melden van een incident is geen middel voor een afrekening, om de veroorzaker van een beveiligingsincident te straffen.

Het laatste gaat natuurlijk niet altijd op. Wanneer een medewerker doelbewust informatiesystemen heeft gesaboteerd, informatie heeft gelekt of op een andere wijze (grote) schade heeft veroorzaakt is het niet te vermijden dat aangifte bij de politie wordt gedaan.

Waar het om gaat is te voorkomen dat incidenten niet gemeld worden omdat men bang is voor de reactie van het management, of omdat men niet als verklikker te boek wil staan.

Het proces moet er ook voor zorgen dat degene die een informatiebeveiligingsgebeurtenis meldt wordt geïnformeerd over de resultaten nadat de kwestie is afgehandeld. Dit is ook nuttige informatie bij het uitvoeren van een (hernieuwde) risicoanalyse. Het kan zijn dat de al genomen maatregelen niet afdoende zijn om bepaalde incidenten te voorkomen.

Een standaardformulier op het intranet voor het rapporteren van een dergelijk incident kan de drempel om te melden verlagen. Het formulier kan ook gebruikt worden om instructies te geven voor de noodzakelijke directe handelingen. Het formulier kan helpen veel details te vragen.

Op een incident melding formulier zouden minimaal de volgende zaken gemeld moeten worden:

Datum en tijd

Naam van de melder

Locatie (waar is het incident)

Wat is er aan de hand? (beschrijving van het incident: Virusincident, diefstal, inbraak, data verlies etc.)

Wat is het effect van het incident?

Hoe is het ontdekt?

En indien mogelijk de volgende zaken:

Soort systeem (desktop, printer, server, mailserver etc.)

Systeem nummer / systeem naam (indien aanwezig)

Wie is nog meer geïnformeerd?

Men kan natuurlijk nog meer vragen bedenken, afhankelijk van het soort melding. Waar het bij het melden in ieder geval om moet gaan, is dat men voldoende gegevens verkrijgt om het incident op de juiste manier af te kunnen handelen.

In de praktijk
Er wordt geen onderhoud op apparatuur uitgevoerd;
De noodstroomvoorzieningen worden niet getest;
Een medewerker verliest de laptop;
Een medewerker leeft de clear desk policy niet na;
Een medewerker neemt een niet-geautoriseerde bezoeker mee;
Nieuwe software wordt uitgerold zonder dat deze grondig werd getest;
Een virus is het informatiesysteem binnengedrongen;
Door onvolledige bedrijfsgegevens zijn de winstresultaten niet betrouwbaar;
De toegangsrechten van een medewerker worden niet gewijzigd na verandering van functie;
Medewerkers schrijven hun wachtwoord op een notitieblaadje en dat ligt bij de pc.

De afspraken over wat te doen bij een incident worden over het algemeen vastgelegd in procedures. Immers een procedure beschrijft wie wat moet doen. De aandachtsgebieden in een dergelijke procedure zijn:

Het analyseren van het incident en het vaststellen van de oorzaak;

Welke stappen worden uitgevoerd om de gevolgen van het incident te beperken;

Welke stappen worden uitgevoerd om te bepalen of en zo ja welke corrigerende maatregelen nodig zijn om herhaling van het incident te voorkomen;

Welke partijen worden geïnformeerd in geval van een incident. Dit kunnen partijen zijn die getroffen zijn of die helpen bij het oplossen van het incident;

Wat en aan wie wordt gerapporteerd over het incident.

Rapportage van zwakke plekken in de beveiliging

Wanneer medewerkers, ingehuurd personeel en externe gebruikers van informatiesystemen en –diensten merken dat er (verdachte) zwakke plekken in systemen of diensten aanwezig zijn, is het belangrijk dat zij deze zo spoedig mogelijk melden. Alleen dan kunnen beveiligingsincidenten voorkomen worden.

Wanneer een informatiebeveiligingsincident net is ontdekt, zal het vaak niet duidelijk zijn of het incident zal leiden tot gerechtelijke stappen. Het gevaar bestaat dan ook dat het benodigde bewijsmateriaal opzettelijk of per ongeluk wordt vernietigd, voordat de ernst van de situatie wordt onderkend. Het is daarom belangrijk het incident eerst te melden en advies te vragen over hoe te handelen. Het kan zijn dat in een vroeg stadium een advocaat of de politie bij de zaak betrokken moet worden en dat bewijsmateriaal nodig is.

In de praktijk
Als iemand vermoedt dat op de werkplek van een medewerker kinderporno wordt bewaard, moet met de melding van dit incident voorzichtig worden omgegaan om te voorkomen dat bewijsmateriaal wordt verwijderd.

Registratie van storingen

Om een storing te kunnen analyseren worden relevante gegevens vastgelegd. Deze gegevens worden vaak opgeslagen in zogeheten logbestanden. Dit is de moderne variant van het traditionele logboek dat overigens nog steeds toepasbaar is. Denk bijvoorbeeld aan gevallen waarin de stroom uitvalt of een systeem uitvalt en er geen andere manieren zijn dan het op papier vastleggen van de gebeurtenissen en uitgevoerde activiteiten.

In grote organisaties zullen storingen altijd gemeld worden bij de servicedesk (helpdesk). Deze zal, wanneer het binnen de mogelijkheden ligt, een storing meteen oplossen. Wanneer dat niet mogelijk is zullen zij de informatie over de storing doorgeven aan een afdeling die dat wel kan.

Incidentcyclus

Beveiligingsmaatregelen zijn gericht op een bepaald moment in de incidentcyclus. De maatregelen zijn gericht op het voorkomen van dreigingen (preventief) of het reduceren van dreigingen (reductief), detecteren van incidenten (detectief), reageren op incidenten, doen ophouden van dreigingen (repressief)en het corrigeren van dreigingen (correctief).

De maatregelen worden genomen:

Ter waarborging van de beschikbaarheid;

Ter waarborging van de integriteit;

Ter waarborging van de vertrouwelijkheid.

Rollen

Afhankelijk van de omvang van de organisatie zijn voor de verschillende taken in de informatiebeveiliging verschillende rollen te vinden. Deze rollen of functies kunnen in hun namen afwijken maar komen op onder andere de volgende neer:

De Chief Information Security Officer (CISO) bevindt zich op het hoogste managementniveau van de business. De CISO ontwikkelt het beleid en de strategie op hoofdlijnen voor het hele bedrijf.
De information security officer (iso) ontwikkelt bij een bedrijfseenheid het beleid gebaseerd op het bedrijfsbeleid en ziet toe op de naleving bij zijn bedrijfseenheid.
De Information Security Manager (ISM) ontwikkelt het informatiebeveiligingsbeleid binnen de ICT-organisatie en ziet toe op de naleving.

Naast deze functies die specifiek gericht zijn op informatiebeveiliging kunnen in een organisatie bijvoorbeeld een Beleidsmedewerker Informatiebeveiliging of een Functionaris voor de Gegevensbescherming (FG) voorkomen.

Wie meer wil lezen over rollen in de informatiebeveiligingsorganisatie, verwijzen wij graag naar een publicatie van het PvIB Functies en Rollen in de Informatiebeveiliging van december 2006. Deze publicatie is te downloaden op http://www.pvib.nl.

Samenvatting

In dit hoofdstuk heeft u kennis gemaakt met incidentmanagement. Hoe gaat een organisatie om met beveiligingsincidenten?
Het melden van beveiligingsincidenten is van groot belang. Niet alleen om de incidenten op te kunnen lossen en daarmee de dreigingen en de risico’s voor een organisatie onder controle te krijgen en te houden, maar ook om er van te leren. Zonder kennis van beveiligingsincidenten kunnen we ze immers in de toekomst niet voorkomen.

Casus

Bij een grote overheidsorganisatie met meerdere vestigingen verspreid in Nederland, komen beveiligingsincidenten regelmatig voor. Zo heeft kort geleden een medewerker zijn laptop op het dak van de auto laten liggen. Die laptop werd gevonden en de informatie die er op stond was niet voor iedereen bestemd. Ook USB-sticks worden nog wel eens verloren. De directie heeft het idee dat er nog veel meer gebeurt, maar weet niet wat. De auditdienst van het ministerie was onaangenaam verrast toen zij tot de ontdekking kwam dat informatiebeveiliging niet geregeld was. Het antwoord van de verantwoordelijke directeur was dat de medewerkers zelf toch ook wel weten wat wel en niet mag! De directie besluit, gedwongen door de audit, een aantal functionarissen voor informatiebeveiliging aan te stellen.

Na een spannende sollicitatieronde heeft u de eer de eerste Information Security Officer (ISO) binnen deze overheidsdienst te worden. Uw primaire opdracht is er zorg voor te dragen dat:

Informatiebeveiliging volgens de geldende overheidsregels wordt uitgevoerd;
De medewerkers zich bewust zijn van het nut en de noodzaak van informatiebeveiliging;
Bij de volgende ministeriële audit, over twee jaar, de informatiebeveiliging op orde is en de incidenten tot het verleden behoren.

Wat zijn de werkzaamheden die u uit gaat voeren en hoe gaat u dat doen?

Gerelateerde IBpedia artikelen

Nederlandstalig:

Engelstalig: