Basiskennis - Organisatorische beveiligingmaatregelen
Uit IBpedia
Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia
Dit wiki-hoofdstuk is door vier leden van het PvIB gesschreven om het algehele beveiligingsbewustzijn te vergroten en om te dienen als examenstof voor de opleidingsmodule ISFS. Gegeven de Creative Commons licentie van dit boek kunt u de hoofdstukken uit dit wiki-boek in dezelfde schrijfstijl aanvullen en indien nodig corrigeren. Het voorwoord en informatie over de schrijvers van het oorspronkelijke boek kunt u lezen via (Downloadlink voor het boek).
Kennisportaal IBpedia is een gemeenschappelijke Wiki voor informatiebeveiliging en digitale architectuur. Het is ontstaan vanuit de behoefte om vrije kennisdeling over informatiebeveiliging en digitale architectuur op een hoger niveau te brengen en een aanvulling op bestaande gemeenschappen en non-profit organisaties.
Organisatorische maatregelen
| Inleiding We hebben het in de voorgaande hoofdstukken uitgebreid gehad over de fysieke beveiliging van de werkomgeving en de technische beveiliging van de ICT-infrastructuur. Organisatorisch valt er echter ook het nodige te regelen. Sommige zaken gaan hand in hand. Technische beveiligingsmaatregelen en organisatorische beveiligingsmaatregelen zijn vaak onlosmakelijk met elkaar verbonden. In dit hoofdstuk wordt verder ingegaan op diverse organisatorische maatregelen. Daar waar nodig wordt verwezen naar de technische maatregelen die nodig zijn om de organisatorische maatregelen uitvoerbaar te maken of af te dwingen. Zo gaan we het hebben over (beveiligings)beleid, de PDCA-cyclus, de onderdelen van ISO/IEC 27001 en 27002, een belangrijke internationale standaard voor informatiebeveiliging. Verder gaan we het hebben over de organisatie van de informatiebeveiliging en de wijze waarop informatiebeveiliging kan worden uitgedragen in de organisatie. Hoe gaan we om met calamiteiten? Wat zijn calamiteiten eigenlijk en hoe bereiden we ons er op voor? Mocht een calamiteit zich voordoen, wat is dan de procedure om mensen en middelen veilig te stellen en zo snel mogelijk weer werkend te zijn? Communicatie- en bedieningsprocessen, testprocedures en het beheer van de IT-omgeving door een externe provider komen aan bod. |
Beveiligingsbeleid
Informatiebeveiligingsbeleid
Door beleid voor de beveiliging van informatie vast te stellen geeft het management van de organisatie richting en ondersteuning. Dit beleid wordt vastgesteld in overeenkomst met de bedrijfsmatige eisen en de relevante wetten en voorschriften.
Een document met het informatiebeveiligingsbeleid hoort door de directie te worden goedgekeurd, gepubliceerd en kenbaar gemaakt aan alle werknemers en alle relevante externe partijen zoals klanten en leveranciers.
Het laatste houdt in de praktijk vaak in dat er een ingekorte versie van het beleid met de belangrijkste punten, in de vorm van een flyer aan iedere medewerker wordt uitgereikt en onderdeel is van de introductie voor nieuwe medewerkers. De volledige versie kan op het intranet van het bedrijf zijn geplaatst of in ieder geval op een plaats waar iedere medewerker toegang tot heeft.
| In het nieuws Virgin Media, de entertainment arm van Richard Branson’s Virgin Group, is een CD met de gegevens van 3000 klanten verloren. Op de onversleutelde schijf stonden de bankgegevens, namen en adresgegevens van drieduizend klanten die sinds januari bij verschillende winkels een abonnement hadden afgesloten. In strijd met het bedrijfsbeleid was de data op een CD gezet. Bron: http://www.security.nl |
Hiërarchie
Het is gebruikelijk om in de beleidsdocumenten een hiërarchische volgorde aan te brengen.
Vanuit ’corporate beleid’ worden verschillende beleidsstukken uitgewerkt. Deze conformeren zich echter altijd aan het corporate beleid en geven een nadere richtlijn op een specifiek gebied. Een voorbeeld hiervan is een beleidstuk over het gebruik van encryptiemiddelen.
Vanuit deze verschillende beleidsdocumenten komen achtereenvolgens voort:
Regelingen. Een regeling is meer gedetailleerd dan een beleidsdocument;
'Procedure's, soms ook wel leidraden genoemd. Hierin wordt tot in detail vastgelegd hoe bepaalde maatregelen moeten worden genomen, eventueel uitgewerkt in werkinstructies;
| In de praktijk Binnen het algemene encryptiebeleid kan een procedure bestaan waarin vastgelegd wordt hoe met een bepaald encryptiemiddel om moet worden gegaan. Dat is dan verplicht. In de procedure wordt bijvoorbeeld vastgelegd hoe de gebruiker met versleutelingssoftware en het sleutelmateriaal om moet gaan. In een procedure kan ook worden vastgelegd hoe de systeembeheerder de encryptiesoftware moet installeren. Deze instructies gaan tot op het niveau van de ’vinkjes’ die wel of niet worden aangezet, het aantal tekens dat een wachtwoord moet bevatten en hoe lang het wachtwoord geldig is. |
Richtlijnen, het woord zegt het al, geven een richting aan. Hierin wordt beschreven welke aspecten moeten worden bekeken bij een bepaald beveiligingsonderwerp. Richtlijnen zijn niet verplichtend maar adviserend van aard;
Standaarden kunnen bijvoorbeeld de standaardinrichting van bepaalde platformen bevatten.
| In de praktijk In een richtlijn kan advies worden gegeven over waar een classificatiebeleid aan moet voldoen. Vervolgens is de verantwoordelijke medewerker vrij in de wijze waarop hij of zij dat classificatiebeleid voor de organisatie uit gaat werken. |
Een standaard is bijvoorbeeld ook de ISO/IEC 27001:2005. Hierin wordt een standaard beschreven voor het inrichten van informatiebeveiliging in de organisatie. In deel I, de ISO/IEC 27001 wordt het managementsysteem (Information Security Management System, ISMS) beschreven. Deel II, ISO/IEC 27002:2007, ook wel de Code voor Informatiebeveiliging genoemd, werkt dit managementsysteem uit in praktische richtlijnen. Een organisatie kan zich laten certificeren voor ISO/IEC 27001:2005 en laat daarmee aan leveranciers en klanten zien dat het aan kwaliteitseisen voor informatiebeveiliging voldoet. De Code voor Informatiebeveiliging is geschikt voor alle organisaties, groot of klein, overheid of bedrijfsleven.
Beoordeling van het informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid maken is één, het implementeren in de organisatie en controleren of het nageleefd wordt is een ander onderwerp.
Veel organisaties werken met de zogenaamde PDCA-cyclus, zie het onderstaande figuur.
Het informatiebeveiligingsbeleid is het hoofddocument. Onder het informatiebeveiligingsbeleid komen beleidsdocumenten, procedures en richtlijnen die op een bepaald deel van de informatiebeveiliging gericht zijn en nadere richtlijnen geven. Deze documenten zijn een belangrijk onderdeel van het Information Security Management System (ISMS).
PDCA-model
Het PDCA-model, ook wel de kwaliteitscirkel van Deming genoemd, wordt gebruikt als basis voor het vaststellen, implementeren, monitoren, controleren en onderhouden van het Information Security Management System (ISMS).
Figuur - PDCA model gekoppeld aan de ISMS processen
Plan (ontwerp het ISMS)
In de ontwerpfase wordt een informatiebeveiligingsbeleid ontwikkeld en vastgesteld. Hierin worden de informatiebeveiligingsdoelstellingen, de relevante processen en procedures vastgesteld, die er voor zorgen dat de risico’s gemanaged worden. Deze doelstellingen ondersteunen uiteraard de business doelstellingen van de organisatie.
De beveiligingsmaatregelen kunnen genomen worden op basis van de eerder genoemde risicoanalyse en een kosten/batenanalyse. Er zijn nog andere methoden die we niet verder zullen behandelen.
De Planfase geldt niet alleen voor het hoofdbeleid maar voor alle ondersteunende beleidsdocumenten en onderliggende regelingen.
Do (implementeer het ISMS)
In deze fase worden het informatiebeveiligingsbeleid en de onderliggende procedures en maatregelen geïmplementeerd.
Per informatiesysteem en/of proces worden verantwoordelijken aangewezen.
Check (monitor en controleer het ISMS)
In deze fase wordt door middel van self assessment (interne audit) gecontroleerd en waar mogelijk gemeten of het informatiebeveiligingsbeleid correct wordt uitgevoerd. Hiervan wordt een rapport uitgebracht aan het verantwoordelijke management en de Chief Information Security Officer (CISO).
Act (onderhoud en stel het ISMS bij)
In deze laatste fase wordt gecorrigeerd en worden preventieve maatregelen genomen, gebaseerd op de resultaten van de interne audit. Waar nodig wordt het ISMS geactualiseerd.
Deze PDCA-cyclus is een doorlopend proces. In een ISMS-handleiding wordt dit beschreven.
Inrichting ISMS
De organisatie stelt voor de beheersing van haar ISMS een raamwerk op.
Dit raamwerk geeft een logische indeling van alle aan de informatiebeveiliging gerelateerde zaken door deze in te delen in domeinen.
Een domein is een groep van onderwerpen (clusters), die logisch bij elkaar horen. Domeinen vormen de basis voor het ISMS-raamwerk (framework). Veel van deze clusters leveren eigen beleidsdocumenten, procedures en werkinstructies op.
Het ISMS omvat minimaal de elf domeinen zoals deze onderkend worden in de ISO/IEC 27002 standaard. Deze sluiten aan bij de processen voor IT Service Management zoals die zijn beschreven in de ISO/IEC 20000 standaard.
De elf domeinen in de ISO/IEC 27002
A.5 Beveiligingsbeleid;
A.6 Organisatie van informatiebeveiliging;
A.7 Beheer van bedrijfsmiddelen;
A.8 Beveiliging van personeel;
A.9 Fysieke beveiliging en beveiliging van de omgeving;
A.10 Beheer van communicatie- en bedieningsprocessen;
A.11 Toegangsbeveiliging;
A.12 Verwerving, ontwikkeling en onderhoud van informatiesystemen;
A.13 Beheer van informatiebeveiligingsincidenten;
A.14 Bedrijfscontinuïteitsbeheer;
A.15 Naleving.
De domeinen beginnen te tellen bij 5 omdat de nummers corresponderen met de hoofdstuk indeling van de ISO 27002. De eerste 4 hoofdstukken zijn inleidend op de elf domeinen.
Ieder domein kent een aantal subdomeinen. Bijvoorbeeld toegangsbeveiliging omvat zowel fysieke toegangsbeveiliging als logische toegangsbeveiliging.
Een domein wordt beschreven in een beleidsdoelstelling (policy) en nader uitgewerkt in onderliggende richtlijnen, procedures en handreikingen.
Controle informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid wordt regelmatig beoordeeld en, als dit nodig is, herzien. Voor een wijziging in het beleid is altijd toestemming van de directie nodig.
De organisatie van informatiebeveiliging
Zonder adequate beveiliging van informatie kan een organisatie niet overleven. Iedereen in de organisatie zal dit moeten accepteren en de directie en het management geven hierin het voorbeeld. Alleen wanneer zij hun eigen beleid ondersteunen zullen de medewerkers informatiebeveiliging serieus nemen en de maatregelen willen naleven.
Informatiebeveiliging is een proces waar veel mensen bij betrokken zijn. Dit proces dient te worden bestuurd. Als er geen verantwoordelijkheid en bestuur is zal informatiebeveiliging niet goed worden geregeld. De manier waarop informatiebeveiliging wordt beheerd is afhankelijk van de omvang en aard van de organisatie. Bij kleine organisaties kan informatiebeveiliging een deeltaak zijn van enkele personen. Een ZZP (Zelfstandige Zonder Personeel, ook vaak freelancer genoemd) heeft zelfs alle beveiligingstaken op zijn of haar schouders. Bij grote organisaties zijn hier aparte functies voor.
Bij het informatiebeveiligingsproces hoort een periodiek overleg met alle primaire verantwoordelijken. Naast de informatiebeveiligingsfunctionarissen gaat het hierbij om personeel dat voor het invoeren van maatregelen verantwoordelijk is. Dit zijn bij voorkeur de mensen die een functie hebben in de zogenaamde PIOFAH-processen in de organisatie.
PIOFAH staat voor: Personeel, Informatie, Organisatie, Financieel, Accounting en Huisvesting.
Personeel
Zie ook : Functiescheiding
Tot de bedrijfsmiddelen behoort ook het personeel. Mensen en hun kennis en vaardigheden zijn kostbare bedrijfsmiddelen. Om deze waarde te beschermen zijn maatregelen nodig.
Al het personeel is verantwoordelijk voor informatiebeveiliging. Deze verantwoordelijkheid moet duidelijk zijn in het arbeidscontract. In het personeelshandboek moet een gedragscode staan en de sancties bij het niet naleven van gedragsregels en het veroorzaken van incidenten. In de gedragscode kan bijvoorbeeld staan dat e-mail niet voor privégebruik is bestemd. De manager is verantwoordelijk voor de juiste functieomschrijvingen en dus verantwoordelijk voor de verschillende aspecten van het omgaan met informatie in de betreffende functie.
Bij sollicitaties voor een functie waarin met gevoelige informatie wordt om gegaan, zullen referenties, identiteit en diploma’s gecontroleerd moeten worden. Of iemand strafbare feiten heeft gepleegd kan worden gecontroleerd door een Verklaring Omtrent Gedrag (VOG) verplicht te stellen. Een VOG wordt verstrekt door het Ministerie van Justitie. De aanvraag wordt gedaan op het gemeentehuis.
De organisatie moet sluitende procedures hebben voor wanneer personeel in dienst en uit dienst treedt of verandert van functie. Vergeet hierbij niet het wijzigen of intrekken van rechten, het innemen van materiaal en toegangspassen. Toegangsrechten moeten regelmatig worden gecontroleerd.
Screening en geheimhoudingsverklaring
Voor een zogenaamde vertrouwensfunctie kan geheimhouding ook gelden na het dienstverband. De manager is verantwoordelijk voor het vaststellen van speciale regels voor specifieke functies. In ieder geval tekenen alle medewerkers met een vertrouwensfunctie een geheimhoudingsverklaring (Non Disclosure Agreement, een NDA). Bij vertrouwensfuncties is het in ieder geval gebruikelijk dat de werknemer een VOG kan overleggen.
Daarnaast kan het nodig zijn een screening of veiligheidsonderzoek te laten doen. Hoe diep de screening wordt gedaan hangt af van het niveau van vertrouwelijkheid dat hoort bij de functie. Denk aan bewakers, managers of financieel medewerkers. Screenen is erg kostbaar. De overheid heeft hier eigen organisaties voor. Het bedrijfsleven kan soms gebruikmaken van zo’n organisatie als het opdrachten uitvoert voor de overheid. Er bestaan private organisaties die screeningen uitvoeren.
Inhuurkrachten
De veiligheidseisen die gelden voor het personeel gelden ook voor personeel dat is ingehuurd. Deze afspraken met de leverancier, bijvoorbeeld een uitzendbureau, worden schriftelijk vastgelegd, inclusief de sancties bij overtreding.
Personeelsdossiers
Personeelsgegevens en personeelsdossiers moeten vertrouwelijk worden behandeld en goed opgeborgen. Ook wordt vastgelegd wie personeelsdossiers mag inzien.
In een personeelsdossier liggen het functieprofiel, het arbeidscontract en diverse ondertekende verklaringen. Een gedragscode voor computergebruik is bijvoorbeeld zo’n verklaring of een gedragscode voor e-mailgebruik, verklaringen om zich te houden aan wetten en regels (Wet Bescherming Persoonsgegevens, Wet Computercriminaliteit) en bijvoorbeeld een geheimhoudingsverklaring.
Bewustwording (security awareness)
Eén van de meest effectieve maatregelen voor informatiebeveiliging is dat de medewerkers een bewustwordingstraining krijgen wanneer ze in dienst treden. Deze cursus kan deel uitmaken van de introductie en de interne opleiding.
Ter ondersteuning van informatiebeveiligingsbewustwording kunnen allerlei materialen worden ingezet: flyers, boekjes, schermboodschappen, muismatten, nieuwsbrieven, video’s en posters.
In grote organisaties worden vaak aparte bewustwordingstrainingen verzorgd voor systeembeheerders, ontwikkelaars, gebruikers en beveiligingspersoneel, maar ook andere groepen kunnen in aanmerking komen voor een op hun werkzaamheden toegespitste opleiding.
Besteed in de cursus of campagne met name aandacht aan de bedrijfsregels rondom informatiebeveiliging en de dreigingen die worden gezien.
Beveiligingsdocumentatie en -informatie dient voor iedereen in de organisatie beschikbaar te zijn. Vaak wordt verschillende documentatie gemaakt voor verschillende doelgroepen (gebruikers, beheerders, ontwikkelaars etc.). Documentatie dient periodiek te worden herzien; bij wijzigingen maar ook als er nieuwe dreigingen zijn.
| In het nieuws Waarschijnlijk ontvangen duizenden computergebruikers rond 14 februari een valentijns-e-mail die besmet is met malware. |
Toegang
Voor grote organisaties waar niet iedereen elkaar kent, is een goed toegangsbeheersysteem nog belangrijker. Een voorbeeld hiervan is een systeem waarbij de medewerkers en bezoekers duidelijk zichtbaar toegangspassen gebruiken.
Alle bezoekers moeten worden geregistreerd bij aankomst en vertrek. Hierop zijn uitzonderingen als de ruimte die betreden wordt een zogenaamde publieke zone is, zoals bij een gemeentehuis. Voor het publiek toegankelijke gebouwen hebben dan vaak een registratiepunt als het publiek de "vrije" zone verlaat en dieper het gebouw in gaat. Alle toegang wordt bijgehouden, bezoekers melden zich bij een receptie, waarbij zij het tijdstip van aankomst en vertrek aftekenen. Een medewerker die bezoek verwacht meldt de bezoeker aan en begeleidt deze door het gebouw tot het vertrek.
Bedrijfscontinuïteitsbeheer
Wij kunnen ons niet op alles voorbereiden. Overstromingen zoals in het voorjaar van 2007 in Engeland en in het najaar van 2007 in Bangladesh, leveren grote schadeposten op aan de economie. Denk ook aan de enorme schade die de orkaan Katrina in New Orleans aanrichtte. Aanslagen van terroristen zoals in New York, Londen en Madrid, maar ook gewoon stroomuitval van meerdere uren, kunnen enorme gevolgen hebben voor de beschikbaarheid van mensen en systemen binnen een bedrijf.
Ieder jaar worden wereldwijd bedrijven getroffen door calamiteiten, die op wat voor manier dan ook grote impact hebben op de beschikbaarheid van hun systemen. Een klein percentage van de bedrijven heeft zich hierop voorbereid. De meeste bedrijven die door een grote calamiteit worden getroffen, overleven dit niet. De bedrijven die dit soort calamiteiten wel overleven hebben vooraf nagedacht over wat kan gebeuren en hebben de noodzakelijke maatregelen en procedures beschreven om zichzelf te beschermen.
Een bedrijf of een organisatie, is afhankelijk van middelen, medewerkers en taken die dagelijks uitgevoerd moeten worden om gezond en winstgevend te blijven. De meeste organisaties hebben een ingewikkeld netwerk van leveranciers en middelen die afhankelijk van elkaar zijn om te kunnen functioneren. Er zijn communicatiekanalen zoals telefoon- en netwerkverbindingen en er zijn gebouwen waarin gewerkt wordt. De gebouwen moeten in een goede staat verkeren zodat het werk op een prettige manier en efficiënt uitgevoerd kan worden.
Wanneer ergens een schakel in deze ketting van afhankelijkheden uitvalt, kan dat een probleem(pje) opleveren. Wanneer meerdere schakels uitvallen, ontstaat er een probleem. Hoe langer bepaalde onderdelen in de keten onbruikbaar zijn, hoe meer effect dat op de organisatie heeft, maar ook hoe langer het kan duren voor een productieproces weer op gang komt.
Vooraf nadenken over de continuïteit van de werkprocessen is van levensbelang voor een organisatie. Het maakt daarbij niet uit of het om een ingewikkeld productieproces gaat, of om een relatief eenvoudig proces zoals het verwerken van verhuizingen van bewoners van een gemeente. Voor zowel de medewerkers als de klant is het belangrijk dat ieder onderdeeltje van het proces goed loopt en vooral goed blijft lopen.
Het doel van bedrijfscontinuïteitsbeheer (Business Continuity Management, BCM) is het voorkomen dat bedrijfsactiviteiten worden onderbroken, het beschermen van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen en tijdig herstel.
In het beheerproces van bedrijfscontinuïteit worden de kritische bedrijfsprocessen geïdentificeerd. Naast andere maatregelen die de continuïteit waarborgen moet het verlies van informatie ten gevolge van een natuurramp, een aanslag, brand en stroomuitval worden voorkomen. De gevolgen van rampen, beveiligingsincidenten en de uitval van diensten worden beoordeeld in een Business Impact Analyse (BIA). In het continuïteitsplan staat beschreven hoe de informatie die nodig is voor de kritische bedrijfsprocessen weer vlot beschikbaar is.
Continuïteitsmanagement wordt in de informatiebeveiliging vaak opgesplitst in twee afzonderlijke, maar wel sterk aan elkaar gerelateerde onderdelen:
'Business Continuity Planning' (BCP) waarin de continuïteit van de bedrijfsprocessen gewaarborgd wordt;
'Disaster Recovery Planning' ([[DRP]) waarbij het herstel na een calamiteit geregeld wordt.
Bedrijfscontinuïteitsbeheer wordt beschreven in de BS 25999, dit is een Britse Standaard, vergelijkbaar met een ISO/IEC standaard.
In de ISO 27002 is wel een deel van de maatregelen gebaseerd op BCM, maar die zijn vooral gericht op de Informatie component, terwijl de BS 25999 bedrijfsbreed en integraal toegepast wordt.
Continuïteit
Continuïteit gaat over de beschikbaarheid van informatiesystemen op het moment dat deze nodig zijn. Aan deze beschikbaarheid kunnen verschillende eisen worden gesteld. Hebt u een telefooncentrale waar vijftig medewerkers vierentwintig uur per dag hun werkzaamheden uitvoeren? Dan stelt u ongetwijfeld andere eisen aan beschikbaarheid dan een bedrijf met één telefoniste die eens in het anderhalf uur een telefoontje binnen krijgt.
Voor een gemeente zal de beschikbaarheid van GBA, de Gemeentelijke Basis Administratie, van groot belang zijn. Wanneer deze niet beschikbaar is kan een groot aantal medewerkers hun werk niet naar behoren uitvoeren. Wanneer dit systeem bij de gemeente echter in de nachtelijke uren niet beschikbaar is, zal er niets aan de hand zijn.
Zo gelden voor de beschikbaarheid per bedrijf, per vakgebied en vaak binnen een bedrijf per onderdeel weer andere eisen.
| In de praktijk Autofabrikanten hebben tegenwoordig geen grote voorraden onderdelen liggen. Vrijwel dagelijks worden de bestelde onderdelen aangeleverd bij de fabriek. Wanneer een bedrijf dat remmen en verlichting voor de autoindustrie maakt in verband met een arbeidsconflict in staking gaat, dan kan binnen een paar dagen tijd in half Europa de autoindustrie tot stilstand komen. Auto’s zonder verlichting en remmen kunnen immers de fabriek niet verlaten. Ook storing in één onderdeel van de lopende band, bijvoorbeeld de machine die het dashboard op het juiste moment moet aanleveren, betekent dat het volledige productieproces tot stilstand komt. Een dashboard achteraf inbouwen is immers binnen de werkstroom niet mogelijk. |
Wat zijn calamiteiten?
Misschien is het goed om iets dieper in te gaan op het begrip calamiteit. Calamiteit klinkt nogal dreigend. Niets is minder waar. In deze context kan de uitval van een simpel systeem al een calamiteit zijn. Een calamiteit hoeft niet per se een overstroming of een terroristische aanslag te zijn. De uitval van dat ene systeem, waar u zo afhankelijk van bent voor uw dagelijkse werk, door een technisch mankement, is ook een calamiteit.
| In de praktijk Een eenvoudige netwerkkaart in de mailserver die defect raakt kan een regelrechte ramp zijn. Alle medewerkers verstoken van hun e-mail en agenda, dat is in de huidige tijd niet lang werkbaar. |
Hoe reageert uw bedrijf op een calamiteit?
Alles valt of staat met de aard van de calamiteit. Gaat het om een verstoring van activiteiten door de uitval van een systeem of het complete netwerk waarop de kantoorautomatisering draait? Dan zal een telefoontje naar de servicedesk of helpdesk vaak voldoende zijn om de nodige activiteiten te laten opstarten.
Wordt de gezondheid van de medewerkers bedreigd dan zal een telefoontje naar de Bedrijfshulpverlening (BHV) of naar 112 de juiste actie zijn.
In alle gevallen geldt dat mensenlevens vóór programmatuur en apparatuur gaan. Eérst komen de ontruimingsactiviteiten, daarna komt het redden van de voor het bedrijf meest cruciale bedrijfsprocessen.
Het is belangrijk dat er goede, heldere procedures zijn, die duidelijk maken welke actie moet worden ondernomen, bijvoorbeeld:
U weet dat bij uitval van een informatiesysteem de helpdesk de aangewezen instantie is;
U weet waar de vluchtroutes in het gebouw zijn;
U weet wie u kunt bellen bij brand, het spontaan openspringen van de sprinklerinstallatie of een bommelding.
De helpdesk of de BHV-medewerker moet weten wat te doen bij welke melding. Zij zullen een prioriteitenlijst hebben waaruit blijkt wie wanneer met voorrang geholpen moet worden en welke instanties zij in welk geval moeten inschakelen.
Training en opleiding van BHV’ers is belangrijk. BHV’ers zijn gewone medewerkers die deze taak op zich hebben genomen. Zorg ervoor dat er verspreid over de hele organisatie BHV’ers zijn .
Bomalarm
Een bomdreiging wordt meestal niet als een risico voor de organisatie gezien. Bomdreigingen komen in Nederland niet veel voor. De laatste jaren worden mensen wel bewuster gemaakt van verdachte pakketjes. Het is dan ook raadzaam hiervoor procedures te hebben. In de bomalarmprocedure moet duidelijk beschreven zijn wat men moet doen in geval van een melding. Bij ieder bedrijf kunnen verdachte zaken binnenkomen. Personeel moet weten wat niet normaal is en verdachte zaken kunnen herkennen. Tijdens de bewustwordingscampagne kan hier aandacht aan worden besteed.
Disaster Recovery Planning (DRP)
Wat is nu het verschil tussen Business Continuity Planning en Disaster Recovery Planning?
Het doel van DRP is het minimaliseren van de gevolgen van een calamiteit en het nemen van de noodzakelijke maatregelen om er voor te zorgen dat de middelen, medewerkers en bedrijfsprocessen binnen een acceptabele tijd weer beschikbaar zijn.
Dit is een verschil met BCP, waarin ook methodes en procedures worden geregeld voor uitval gedurende een langere periode.
Een DRP is gericht op het herstel direct na een calamiteit. Het DRP wordt in werking gesteld op het moment dat de calamiteit nog gaande is. Iedereen is druk met het bepalen van de schade en probeert de systemen weer draaiende te krijgen.
Een BCP gaat verder en heeft een bredere focus. In BCP wordt het inrichten van een alternatieve locatie geregeld om te kunnen werken terwijl de originele locatie herbouwd wordt. In BCP is alles er op gericht het bedrijf vanaf het moment dat een calamiteit plaatsvindt weer – deels – draaiende te krijgen totdat het bedrijf volledig hersteld is.
Met andere woorden:
DRP: Er is nu een calamiteit en wat doe ik om weer in productie te komen;
BCP: We hebben een calamiteit gehad en wat doe ik tot het moment waarop de situatie gelijk is aan de situatie vóór de calamiteit.
| In de praktijk Een medewerkster maakt gebruik van de intranetversie van de telefoongids. Die valt uit en zij geeft dat door aan de Helpdesk. De medewerkster kan echter gewoon haar werk blijven doen via de internetversie van de telefoongids. Een dergelijke melding zal geen hoge prioriteit krijgen. Een IT-medewerkster werkt aan het herstel van die intranettelefoongids. Dan komt er een melding dat een belangrijk systeem uitgevallen is, waardoor een deel van het productieproces stil is gevallen. Iedereen begrijpt dat de continuïteit van een dergelijk systeem een hogere prioriteit zal krijgen, dan het herstel van een systeem waarvoor een alternatief beschikbaar is. |
Wanneer een BCP en/of DRP worden uitgewerkt is er een aantal oplossingen om de bedrijfsprocessen zo snel mogelijk weer op gang te krijgen. Als gekozen wordt voor het voortzetten van de bedrijfsprocessen en systemen worden de procedures beschreven in een uitwijkplan dat regelmatig moet worden getest. Ook het opheffen van de uitwijk, de inwijk, hoort vast te liggen in plan omdat duidelijk moet zijn onder welke voorwaarden de normale situtatie wordt hersteld.
Alternatieve werkplekken
Een bekende grote Nederlandse bank heeft door inventief gebruik te maken van de vele beschikbare locaties ervoor gezorgd dat in geval van een calamiteit de medewerkers toch door kunnen werken. Zo heeft men voor bepaalde werknemers (keyplayers) een alternatieve werkplek in een ander filiaal aangewezen. Wanneer op de locatie waar die werknemer een vaste werkplek heeft iets gebeurt, reist hij of zij naar een filiaal een paar kilometer verderop en gaat naar de aangewezen werkplek. De medewerker die daar werkt is van deze regeling op de hoogte. Hij of zij staat op en staat de werkplek af.
| In de praktijk Een operator voor mobiele telefonie heeft een hot site ingericht op ongeveer 20 km afstand van de hoofdvestiging. Vanuit dit centrum worden alle GSM-masten in heel Europa beheerd. Uitval van het centrale operationele centrum kan een verlies dat in de tientallen miljoenen Euro’s loopt opleveren. De kosten van deze hot site wegen ruimschoots op tegen de kosten die een langdurige uitval van de systemen zouden opleveren. |
Redundant site
Een goed alternatief voor een onderneming met veel locaties maar met één centraal rekencentrum is een redundante site. In een redundante site staat een kopie van het rekencentrum. Alle data die in het hoofdrekencentrum worden weggeschreven worden ’gespiegeld’ naar het tweede rekencentrum weggeschreven. Bij uitval van één van de twee locaties neemt de andere locatie het automatisch over. In het gunstigste geval merkt de gebruiker er helemaal niets van.
Hot site op afroep
Weer een andere oplossing is een rijdende hot site. Dit is een vrachtwagen met alle apparatuur aan boord die als tijdelijk rekencentrum kan dienen. De mogelijkheden zijn natuurlijk beperkt, maar het is een oplossing om de meest cruciale processen snel op te kunnen starten.
Testen BCP
Alles bij elkaar klinken al deze oplossingen, variërend van goedkoop tot duur, heel mooi. Een geweldig BCP/DRP-team heeft alles goed doordacht, tientallen malen besproken en uiteindelijk de goedkeuring gekregen van het senior management. Het plan gaat naar de drukker en alle managers krijgen een mooi exemplaar. Dat exemplaar gaat ergens in een kast of lade, want een calamiteit? Dat gebeurt in Amerika of in het Verre Oosten, maar hier? Nee toch?
En dat is nu net de reden waarom deze plannen regelmatig getest, geëvalueerd en bijgesteld moeten worden. Organisaties veranderen, voorzieningen dus ook.
Omdat de kans klein is dat het plan nodig is, moeten we er vooral op voorbereid zijn. Zijn de medewerkers niet getraind en wordt de ramp werkelijkheid, dan gaat een BCP ook niet werken. Regelmatig testen is nodig om de bewustwording van de medewerkers van hoe te handelen bij een calamiteit, te bevorderen.
Ten tweede moet iedere verandering van processen in het plan opgenomen worden. Een verouderd plan helpt de organisatie niet op weg om weer operationeel te worden.
Testen kunnen we zo uitgebreid als we willen, van het brandalarm laten horen tot het opstarten van een hot site of het terugzetten van een back-up. Waar het om gaat is dat de procedures in een simulatie van de werkelijkheid worden uitgeprobeerd om te zien of ze juist zijn en bruikbaar.
| Ook dit soort zaken dienen te worden geregeld. Een bedrijf had een redundante site ingeregeld, helemaal goed. Bij een brand op de hoofdlocatie bleek dat op de redundante site geen officieel briefpapier voorradig was. Er moest worden gewacht op de leverancier van het papier voordat er weer gewerkt kon worden. Een ander voorbeeld is dat een bedrijf tijdens een uitwijk wel bereikbaar moet kunnen zijn op het standaard telefoonnummer. |
Personele maatregelen
Bij een calamiteit kan een personeelsprobleem ontstaan omdat het personeel dat het primaire proces ondersteunt ook betrokken is bij de calamiteit en daardoor niet meer beschikbaar is. Dan moet personeel kunnen worden vervangen.
Beheer van communicatie- en bedieningsprocessen
Bedieningsprocedures en verantwoordelijkheden
Om de automatisering van een organisatie goed in beheer en onder controle te houden is het noodzakelijk procedures voor de bediening van de apparatuur vast te stellen, vast te leggen en verantwoordelijkheden te beleggen. Een en ander kan verder worden uitgewerkt in werkinstructies zoals hoe computers worden opgestart en afgesloten, het maken van back-ups, onderhoud, postverwerking, etcetera. Een pc met Windows besturingssysteem wil nog wel eens vergevingsgezind zijn als hij ’hard’ uitgezet wordt, een Unix-machine denkt daar heel anders over. Daarom zijn procedures voor het opnieuw starten na systeemstoringen erg belangrijk.
In een bedieningsprocedure staat in ieder geval:
- De manier waarop met informatie wordt omgegaan;
- Hoe, wanneer en welke soorten back-ups worden gemaakt;
- Contactpersonen in geval van een incident;
- Beheer van audit trails en logbestanden.
Het uiteindelijke doel van een bedieningsprocedure is dat er geen misverstand kan bestaan over de wijze waarop apparatuur bediend moet worden. Het maakt niet uit of het over een lasrobot gaat, een programma waarmee de energiecentrale wordt bestuurd of een boekhoudpakket.
De audit trail en systeemlogbestanden houden alle gebeurtenissen en handelingen op het systeem en het netwerk bij. Deze bestanden worden opgeslagen op een beveiligde plaats en kunnen in principe niet bewerkt worden. Mochten er problemen optreden dan zijn die bestanden vaak cruciaal om te ontdekken wat er fout gegaan is. Denk aan de ’black box’ in een vliegtuig, waaruit op te maken is wat er de laatste minuten voor de crash gebeurde. Aan de hand van dit soort informatie zijn maatregelen te treffen die er voor kunnen zorgen dat het incident zich niet herhaalt.
Wijzigingsbeheer
Het doorvoeren van een wijziging (change) kan leiden tot een catch 22 situatie. Zowel het doorvoeren als het niet doorvoeren van de wijziging is een risico. Deze situatie ontstaat bijvoorbeeld in het geval van een bekende kwetsbaarheid (vulnerability). Het niet installeren van de patch is een risico omdat de kwetsbaarheid uitgebuit kan worden en voor verstoringen in de infrastructuur kan zorgen. Aan de andere kant is het doorvoeren van de patch ook een risico omdat onvoorziene omstandigheden (bijvoorbeeld door de samenhang van de systemen) tot verstoringen kunnen leiden. Dit voorbeeld geeft ook de noodzaak aan om bij wijzigingen verschillende rollen te definiëren. Zo zal het potentiële risico van het niet installeren van een security gerelateerde patch door de Information Security Officer (ISO) bepaald worden terwijl het risico van de wijziging ingeschat zal moeten worden door bijvoorbeeld de systeembeheerder.
| Catch-22 is een term, afkomstig uit de roman Catch-22 van Joseph Heller, waarin een algemene situatie wordt beschreven waarin een individu twee acties dient te verwezenlijken die wederzijds afhankelijk zijn van de andere actie, welke als eerste dient te zijn voltooid. |
Wanneer er wijzigingen in IT-voorzieningen en informatiesystemen plaats moeten vinden, dan moeten deze vooraf goed worden overdacht worden en op een beheerste manier worden uitgevoerd.
In IT Service Management heet dit proces change management.
Change management beheert wijzigingen in systemen. Dit zijn vaak vooraf geplande wijzigingen. Een kleine wijziging is bijvoorbeeld de aanpassing van een tabel. Een middelgrote wijziging is bijvoorbeeld de overstap van Microsoft Office 2000 naar Microsoft Office 2003. Een wijziging heeft gevolgen die vooraf bekend moeten zijn en voorbereid kunnen worden. Medewerkers moeten leren met de nieuwe versie om te gaan. Standaardformulieren moeten aangepast worden. De servicedeskmedewerkers moeten getraind zijn om ondersteuning te kunnen bieden.
Een grote wijziging kan de wijziging van een productiesysteem zijn en vraagt dus nog meer vooruitzien en organiseren.
Er moeten alleen wijzigingen aan productiesystemen worden aangebracht wanneer er een gegronde reden is om dit te doen, zoals een sterke toename van het risico voor het systeem. Het updaten van systemen met de nieuwste versie van een besturingssysteem of toepassing is niet altijd in het bedrijfsbelang, omdat hierdoor meer kwetsbaarheden en instabiliteit kunnen ontstaan. Het overgaan van de ene naar de andere Office-versie, levert niet alleen voordelen op. Wanneer de klanten allemaal nog met de 2003-versie werken, is het niet handig zelf met de 2007-versie te werken. Er moet dan altijd tijd besteed worden aan het aanbieden van de bestanden in het juiste formaat. Weegt deze investering op tegen de voordelen?
Het voorbeeld maakt ook duidelijk waarom functiescheiding van belang is. Als iedereen met een belang een wijziging zou kunnen doorvoeren, ontstaat een onbeheersbare situatie waarin men van elkaar niet weet wat er veranderd is en nog belangrijker, het zicht op wat eventueel teruggedraaid moet worden is verdwenen.
Functiescheiding
Zie ook: Personeel
Taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. (Zie hiervoor ook de uitleg bij de begrippen integriteit en vertrouwelijkheid)
Bij functiescheiding wordt bekeken of een medewerker besluitvormende, uitvoerende of controlerende taken heeft.
Enerzijds wordt gekeken of een medewerker toegang tot informatie nodig heeft. Onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd. Dit heet het ’need to know’ principe. De gemiddelde medewerker bij een beursgenoteerd bedrijf heeft bijvoorbeeld geen toegang tot de bedrijfsgegevens die beursgevoelig zijn, zoals de verwachte winst- en verliesgegevens en jaarcijfers. Dat zou handel met voorkennis kunnen opleveren en dat is wettelijk verboden.
Een andere kant van functiescheiding is dat taken gesplitst kunnen worden om risico’s voor de organisatie te verminderen. Voor kleine organisaties is functiescheiding wellicht moeilijk te realiseren, maar het principe zou moeten worden toegepast voor zover dat mogelijk en praktisch is.
Een voorbeeld is het overmaken van grote bedragen. De ene medewerker maakt de overboeking klaar, een andere medewerker autoriseert de boeking en verzendt deze. Er kan nog een derde medewerker zijn die achteraf controleert of de transactie juist en rechtmatig is geweest.
Ontwikkeling, testen, acceptatie en productie
Om meer zekerheid te hebben dat wijzigingen niet zomaar doorgevoerd kunnen worden is het ook aan te raden verschillende (fysieke) omgevingen in te richten voor ontwikkeling, testen, acceptatie en productie (OTAP) van informatiesystemen zoals een website of een nieuwe applicatie.
Voor de ontwikkelingsfase gelden specifieke beveiligingseisen. De testomgeving is bedoeld om vast te stellen of de ontwikkeling voldoet aan de eisen en de beveiligingseisen.
De acceptatieomgeving is de omgeving waarin eindgebruikers kunnen toetsen of het product voldoet aan de gebruikerswensen. Na acceptatie kan een systeem volgens vaste procedures in productie worden genomen. Tijdens de overgang van de bestaande software naar de nieuwe software moet altijd een ’fall-back’ scenario voorhanden zijn zodat het bij grote problemen mogelijk is terug te vallen op de oude versie.
| In het nieuws Een NS-klant ontdekte dat iedereen die zijn lidnummer en achternaam kende, toegang kon krijgen tot zijn persoonlijke gegevens Op de website was het namelijk mogelijk om je aan te melden voor een nieuw online NS-account, zonder dat werd gecontroleerd of dat account al bestond. Vervolgens kon een kwaadwillende zelf een nieuwe gebruikersnaam invoeren, een nieuw wachtwoord en een nieuw mailadres. Naar dit nieuwe mailadres werd een link gemaild waarop de nepklant kon klikken om zijn nieuwe account te activeren. Het oude account bleef nog steeds in gebruik, maar via deze methode konden ook anderen toegang krijgen tot klantgegevens. Ze konden zien waar hij woont, wat zijn telefoonnummer is en diensten aanvragen, zoals een OV-chipkaart, een nieuw abonnement of een verhuizing. |
Beheer van de dienstverlening door een derde partij
Niet alle activiteiten die voor een organisatie van belang zijn worden door de organisatie zelf uitgevoerd. Zodra iets door een andere partij wordt uitgevoerd is het van belang vast te stellen welke eisen aan die partij gesteld worden. Zo zal niet iedereen vertrouwen op de handige buurman voor het invullen van de belastingformulieren maar de hulp inroepen van een belastingadviseur. U gaat er vanuit dat de belastingadviseur uw informatie vertrouwelijk zal behandelen en bij een erkend adviseur ligt dit vast in een beroepscode.
Wanneer een bedrijf er voor kiest (een deel van) zijn automatisering uit te besteden, dan moeten er goede overeenkomsten met de dienstverlenende partij worden afgesloten waarin het beveiligingsaspect nadrukkelijk de aandacht krijgt.
| In het nieuws Een derde van de IT professionals misbruikt administrator-wachtwoorden om vertrouwelijke informatie te vinden. Onderzoek onder 300 IT’ers wijst uit dat 33% stiekem grasduint in de gegevens van anderen, terwijl 47% weleens informatie bekijkt die niet voor hun werk relevant is. |
Gebruikelijk is om een zogenaamde Service Level Agreement (SLA) af te sluiten waarin de beide partijen beschrijven welke service onder welke omstandigheden verwacht wordt. Het nakomen van deze afspraken wordt regelmatig gecontroleerd in een audit.
Bescherming tegen malware, phishing en spam
Malware is een samentrekking van de woorden Malicious (Engels voor kwaadaardig) en Software en vormt een verzamelnaam voor ongewenste software zoals virussen, wormen en spyware. Een standaardmaatregel hiertegen is het gebruik van antivirusscanners en een firewall. In toenemende mate blijkt echter dat alleen een virusscanner niet voldoende is om malware buiten de deur te houden. Menselijk handelen staat nog steeds hoog op de lijst van oorzaken van virusuitbraken. Vaak ontstaat een virusinfectie doordat een gebruiker een bijlage (attachment) in een e-mail opent waarna blijkt dat deze niet alleen het beloofde spelletje, document, of plaatje bevat maar ook een virus. Het is dan ook niet aan te raden verdachte e-mails of e-mails van een onbekende afzender te openen.
Phishing is een vorm van internetfraude. Meestal ontvangt het slachtoffer een mail waarin hem of haar gevraagd wordt een account bij bijvoorbeeld een bank of een service provider te checken en te bevestigen. Ook wordt er wel gebruik gemaakt van instant messaging. Soms wordt telefonisch contact opgenomen. De daders van phishing zijn moeilijk te achterhalen. Internetters moeten vooral zelf alert zijn en nooit ingaan op een mailverzoek waarin gevraagd wordt geld over te maken of persoonlijke (financiële) gegevens te geven, zoals bankrekeningnummer, pincode, burgerservicenummer (BSN) of creditcardgegevens.
| In de praktijk Geachte Planet Webmail abonnee, We zijn op dit moment voert onderhoudswerkzaamheden aan uw Planet.nl account. Om dit proces te voltooien moet je antwoord op dit bericht en geef uw huidige gebruikersnaam hier ( ) en wachtwoord hier ( ) als u de rechtmatige eigenaar van deze account. Onze Message Center zal bevestigen van uw identiteit met inbegrip van uw geheime vraag en het antwoord onmiddellijk. De nieuwe Planet.nl Webmail is een snelle en lichte appliction om snel en eenvoudig toegang tot uw e-mail. Ook dit proces zal ons helpen bij het bestrijden van spam mails. Niet-top van uw wachtwoord, maakt uw e-mailadres in-actief uit onze database. U kunt ook de bevestiging van uw e-mailadres door u aan te melden bij uw account op Planet.nl Webmail: https: / / webmail.planet.nl OPMERKING: U stuurt een wachtwoord reset messenge in de komende zeven (7) werkdagen na onder gaan dit proces om veiligheidsredenen. Dank u voor het gebruik van Planet.nl Webmail! https: / / webmail.planet.nl (Noot van de redactie: merk het taalgebruik op!) |
| In het nieuws Vorige week is een aanval op Nederlandse belastingbetalers ontdekt die niet alleen bankgegevens, maar ook creditcardgegevens, Sofi-nummer en pincode probeerde te stelen. De aanval, mogelijk het werk van een Nederlandse virusschrijver die eerder via MSN toesloeg, bestond uit twee delen, waarbij malware de startpagina van het slachtoffer wijzigde. Die pagina linkte weer door naar een gehackt .nl domein, volgens de cache van Google het domein tt-ribbons.nl. |
| In het nieuws Cijfers over Nederlandse slachtoffers van identiteitsfraude en diefstal zijn nog altijd onbekend, maar daar wil de Stichting Aanpak Financieel-Economische Criminaliteit in Nederland (SAFECIN) verandering in brengen. Het is een proefproject gestart dat moet leiden naar een eerste analyse van ervaringen van burgers die te maken hebben (gehad) met misbruik van hen identificerende gegevens. Dit project, dat loopt tot 15 augustus, wordt ondersteund door de werkgroep fraude met identificerende gegevens van het Nationaal Platform Criminaliteitsbeheersing. Op de site identiteitsfraude.nl kan iedereen die met misbruik of diefstal van identificerende gegevens te maken heeft gehad zijn verhaal doen. Het gaat onder andere om misbruik van fysieke, papieren documenten, maar ook aan meldingen met betrekking tot phishing technieken via elektronische communicatiemiddelen. De onderzoekers zijn vooral geïnteresseerd in het traject waarin burgers terecht kunnen komen indien duidelijk is geworden dat zij het slachtoffer zijn geworden van misbruik, zoals de constatering van een debiteurenstand bij Bureau Krediet Registratie te Tiel, het ontvangen van aanschrijvingen van incassobureaus en het ervaren van bezoeken van gerechtsdeurwaarders. Burgers die zich aanmelden en die nog steeds problemen ondervinden kunnen op hulp rekenen. De eerste 50 melders met een duidelijk verhaal krijgen een shredder cadeau. Bron: http://www.security.nl |
Spam is een verzamelnaam voor ongewenste berichten. Meestal wordt met de term ongewenste mail bedoeld, maar ook ongewenste reclameboodschappen op websites (oa. fora) vallen onder spam. De kosten worden evenwel verplaatst naar de ontvangers: tegenover een kleine groep geïnteresseerden staan zeer veel mensen die tijd kwijt zijn met het verwijderen van berichten uit hun mailbox.
Ook voor spam geldt dat een spamfilter de last iets verlicht. Spamberichten nooit beantwoorden of doorsturen en terughoudend zijn in het verspreiden van e-mailadressen (gebruik de BCC functie) is wat we zelf kunnen doen.
| In het nieuws Verreweg het grootste deel van alle verzonden e-mails bestond in 2007 uit spam. Volgens CleanPort, dat het spampercentage in Nederland meet, was 96% van de e-mails ongewenste reclame. |
Malware, phishing en spam zijn belangrijke onderwerpen in de gedragscode en een bewustwordingscampagne voor de medewerkers.
| In het nieuws Miljoenen Nederlanders bankieren via internet. Het is gemakkelijk en vooral ook veilig. Maar er is natuurlijk ook een keerzijde. Criminelen zullen altijd proberen om via internet fraude te plegen. Internetbankieren heeft de afgelopen jaren een enorme vlucht genomen. Uit onderzoek van de Nederlandse Vereniging van Banken (NVB) blijkt dat 98% van de internetbankierders bankieren via internet veilig vindt. Toch blijkt ook dat 20% nog steeds te weinig maatregelen treft. De banken zijn dagelijks bezig om de veiligheid optimaal te houden, maar er ligt ook een verantwoordelijkheid bij de consumenten. Vandaar de campagne 3x kloppen: 1. Klopt uw pc-beveiliging? 2. Klopt de website van uw bank? 3. Klopt uw betaling? Oplettendheid kan veel schade voorkomen. Bron: http://www.veiligbankieren.nl |
Enkele definities:
Virus
Definitie:
Een virus is een stukje programmatuur dat zichzelf doelbewust, in al dan niet gewijzigde vorm, kan vermenigvuldigen. De nakomelingen van het virus moeten volgens deze definitie zelf ook weer virussen zijn. Voor de verspreiding is het virus afhankelijk van dragers die uitvoerbare code bevatten.
Toelichting:
Zodra de drager geactiveerd wordt gaat het virus op zoek naar geschikte nieuwe dragers en tracht deze te infecteren. Het virus kan zich alleen tot buiten het bereik van het geinfecteerde systeem verspreiden als een gebruiker van een dergelijk systeem bestanden overzet naar een ander systeem.
Dragers waren traditioneel alleen programma’s, maar tegenwoordig zijn ook documenten mogelijke gastheren voor een virus, aangezien deze steeds vaker worden voorzien van uitvoerbare code, zoals macro’s, VBScript, of ActiveX. In verreweg de meeste gevallen zijn virussen voorzien van een bagage die alle taken, anders dan die benodigd voor replicatie, herbergt. Deze zogenaamde "payload" is meestal, maar niet per definitie, destructief van aard.
Voorbeelden:
Brain
Chernobyl
Maatregelen:
Zorg voor het gebruik van een virusscan oplossing op de werkplek, voor de mailserver.
Zorg ervoor dat het onderwerp virus behandeld wordt in een bewustwordingscampagne
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
Worm
Definitie:
Een worm is een stukje programmatuur dat zichzelf doelbewust vermenigvuldigd. De nakomelingen van de worm zijn copieen van het origineel en verspreiden zich door gebruik te maken van de netwerkfaciliteiten van zijn gastheer.
Toelichting:
Hoewel het grensgebied tussen virussen en wormen steeds meer vervaagd zijn er nog wel enige kenmerken die duidelijk verschillen. Een virus kan via verschillende dragers zijn gastheer aanvallen en infecteert nieuwe dragers door daadwerkelijk code in die geinfecteerde dragers te plaatsen. Een worm daarentegen maakt altijd gebruik van dezelfde drager en infecteert geen andere bestanden. Bovendien is een worm niet afhankelijk van een gebruiker om zichzelf fysiek te kunnen verspreiden: zodra een worm geactiveerd wordt is deze geheel autonoom in staat zichzelf te verspreiden. Hierdoor kunnen wormen in vaak zeer korte tijd grote gebieden te besmetten.
De twee belangrijkste overeenkomsten zijn de afhankelijkheid van uitvoerbare code in de drager en het gebruik van een payload om secundaire, meestal destructieve, taken uit te voeren.
Voorbeelden:
Melissa
I love you
Happy99
Blaster
Storm Worm
Maatregelen:
Zorg voor het gebruik van een (virus)scan oplossing op de werkplek, voor de mailserver.
Wormen kunnen ook ontdekt worden in het netwerk, hiervoor zijn bepaalde netwerkmonitor tools geschikt.
Zorg ervoor dat het onderwerp worm behandeld wordt in een bewustwordingscampagne
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures
Trojan
Definitie:
Een trojan is een programma, dat naast de voorgespiegelde functionaliteit, ongemerkt en bewust niet aan de gebruiker kenbaar gemaakte activiteit ontplooit die mogelijk de integriteit van het geinfecteerde systeem aantast.
Toelichting:
Net als het echte paard van Troje doet een trojan zich voor als een verdienstelijk object, maar indien de gebruiker de trojan activeert ontplooit deze op de achtergrond allerlei ongewenste activiteiten. Vaak installeert de payload van een trojan een zogebaamde "backdoor", waarmee onbekenden zich (zonder daartoe gerechtigd te zijn) toegang tot het geinfecteerde systeem kunnen verschaffen. Een andere veel voorkomende activiteit van trojans bestaat uit het versturen van vertrouwelijke informatie vanaf het geinfecteerde syteem naar een locatie waar deze verzameld en geanalyseerd kan worden.
Het meest in het oog springende verschil met virussen en wormen is het ontbreken van zelf-replicatie bij trojans, hierdoor zijn trojans vaak in staat langer onopgemerkt hun werk te blijven doen.
Voorbeelden:
BackOrrifice
Netbus
Maatregelen:
Zorg voor het gebruik van een trojan en/of virusscan oplossing op de werkplek, voor de mailserver.
Zorg ervoor dat het onderwerp trojan behandeld wordt in een bewustwordingscampagne, medewerkers moeten bewust worden van het openen van bijvoorbeeld bijlagen uit verdachte e-mails.
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
De gevolgen van trojans (communicatie) kunnen ook ontdekt worden in het netwerk door netwerkbeheerders, hiervoor zijn bepaalde netwerkmonitor tools geschikt.
Een andere maatregel is het gebruik van een personal firewall op de werkplek zelf om verdacht netwerkverkeer te detecteren.
Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures
Hoax
Definitie:
Een hoax is een bericht dat probeert de lezer ervan zover te krijgen dat hij de inhoud van het bericht voor waar aanneemt en vervolgens een bepaalde handeling verricht. Voor z’n verspreiding is een hoax afhankelijk van het bewust versturen naar andere potentiele slachtoffers door degene die ertussen genomen wordt.
Toelichting:
De payload van een hoax is geen technische, maar een psychologische. Door op het gevoel in te spelen tracht de opsteller van de hoax de lezer zover te krijgen dat hij het bericht naar anderen doorstuurt (een vorm van social engineering). Dit is vrijwel altijd het belangrijkste doel van een hoax, maar soms wordt ook getracht de lezer over te halen tot het storten van geld of iets dergelijks. Kettingbrieven vormen de meest bekende en succesvolle vorm van hoaxes.
Voorbeelden:
Good times
Pen Pal
Maatregelen:
Zorg voor het gebruik van een virusscan oplossing op de werkplek, en een antispam oplossing voor de mailserver. Een Hoax bevat vaak teksten die door scanners herkend kunnen worden.
Zorg ervoor dat het onderwerp Hoax behandeld wordt in een bewustwordingscampagne, medewerkers moeten bewust worden vreemde vragen in e-mails, met name die aanzetten tot acties als bijvoorbeeld doorzenden van de Hoax.
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures
Logic Bomb
Definitie:
Bij de logic bomb wordt een stuk code in een softwaresysteem gebouwd die een functie uitvoert wanneer er aan specifieke voorwaarden wordt voldaan. Dit wordt niet altijd gebruikt voor kwaadaardige doeleinden. Zo kan een programmeur code inbouwen die (gevoelige) bestanden verwijderd wanneer ze het bedrijfsnetwerk verlaten. Virussen en wormen bevatten vaak logic bombs, daarbij is er meestal sprake van een ingebouwde vertraging van de uitvoering van het virus of de verspreiding van de worm
Maatregelen:
Maak bij belangrijke software voor kritische bedrijfssoftware gebruik van bijvoorbeeld een code review door een andere partij.
Spyware
Definitie:
Deze omschrijving wordt gebruikt voor computerprogramma’s die informatie verzamelen over een computergebruiker en deze info doorsturen naar een externe partij. Het doel daarvan is om geld te verdienen. Hier gaat het dus nadrukkelijk niet om software die schade aan de PC en/of de geïnstalleerde software veroorzaakt, maar om een privacyprobleem.
Spyware is soms op een aantal mogelijke manieren te herkennen, bijvoorbeeld:
De computer is trager dan anders
Er draaien programma’s op de computer die je niet zelf gestart hebt of niet eerder gezien
Er zijn settings op de computer aangepast en er draaid bijvoorbeeld een toolbar (werkbalk) in de Internet Explorer die er eerst niet was, en deze toolbar is ook niet te verwijderen.
Er verschijnen bij het openen van webpagina’s en op willekeurige momenten allerlei pop-up schermen
Maatregelen:
Er zijn scanners die het register scannen naar verdachte registersleutels en de op de werkplek geinstalleerde software naar aanwijzigingen voor spyware. Soms kunnen anti-virus programma’s ook spyware herkennen.
Een andere maatregel is het gebruik van een personal firewall om verdacht netwerkverkeer te detecteren.
Zorg ervoor dat het onderwerp spyware behandeld wordt in een bewustwordingscampagne, medewerkers moeten bewust worden vreemde vragen in e-mails, met name die aanzetten tot acties als bijvoorbeeld doorzenden van de Hoax.
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures
Botnets / Stormworm
Sinds januari 2007 wordt het internet geteisterd door de Storm worm, een zogenaamde botnet die volgens verschillende schattingen tussen de 1 en 50 miljoen computers heeft Geïnfecteerd. Er wordt een vergelijking gemaakt met het Trojaanse paard, waarvan de symptomen eerst nauwelijks zichtbaar zijn, maar wanneer onbehandeld, zeer ernstige gevolgen kan hebben. Storm worm is dan ook de toekomst van malware.
Het is geduldig, en daardoor moeilijk te detecteren en analyseren. Het werkt als een mierenkolonie, waardoor er geen centrale command en control server is, maar een netwerkverbinding tussen duizenden besmette Pc’s wordt opzet. Hierdoor hebben gedesinfecteerde machines geen gevolgen voor het botnet. Storm worm veroorzaakt verder geen schade of belasting van de host, zodat gebruikers niet weten dat ze geïnfecteerd zijn.
Het aantal e-mails met links naar virtuele postkaarten of YouTube-films met een poging om de StormWorm te verspreiden, neemt in hoog tempo toe.
Op 15 augustus 2007 was er zelfs een heuse ’pandemie’ toen 600.000 e-mails in amper 24 uur werden verstuurd. Op die manier ontwikkelt zich het StormWorm-botnet dat onderhand op 1,8 miljoen besmette computers over de hele wereld wordt geschat.
Hoewel de berichttekst en titel van een lokbericht voor de StormWorm continu veranderen, bevat de e-mail steeds een eenvoudig tekstje of HTML-codering met een link naar een IP-adres. Dat IP-adres verwijst naar een andere besmette machine binnen het botnet die de gebruiker onmiddellijk naar een server brengt in een poging om het slachtoffer met een kopie van de Trojaanse StormWorm te besmetten.
De reden dat StormWorm zo’n succes is: de servers die StormWorm verspreiden hercoderen het virusbericht om de dertig minuten, zodat het virus moeilijk door de traditionele anti-virusprogramma’s kan worden opgespoord.
Dan zou je zeggen: neem die server dan uit de lucht. Immers, elke computer aan het internet heeft toch een IP-nummer en is snel te traceren. Dat is waar, maar de boeven zijn nog sneller: net als bij andere botnets wordt de locatie van de computers waarmee het botnet bediend wordt, beschermd achter een snel wijzigende vorm van adressering met de IP-nummers (voor de kenners: de DNS-techniek ’fast flow’). Het gevolg is dat de hosting sites - waar de StormWorm gereed staat - en mailservers - die de lokberichten versturen - moeilijk opgespoord en uitgeschakeld kunnen worden.
Als gevolg van de recente StormWorm-activiteiten is het aantal e-mails met een link naar de besmette code in augustus fors gestegen tot 19,5 procent. Dat vertegenwoordigt een toename van maar liefst 19 procent in vergelijking met de cijfers van juli toen het nog om 0,5 procent ’vuile’ e-mail ging.
Verdere analyses van webtrends tonen aan dat het aantal nieuwe verdachte websites dag na dag razendsnel toeneemt. In augustus 2007 werden er elke dag gemiddeld 1.772 nieuwe besmette websites opgespoord en geblokkeerd. In vergelijking met juli maakt dat een dagelijkse toename van 783 websites.
Rootkit
Een rootkit is een set softwaretools die vaak worden gebruikt door een derde partij (meestal een hacker) na toegang te hebben verkregen tot een (computer-) systeem. De rootkit nestelt zich diep in het besturingssysteem, zodat het mogelijk is dat het besturingssysteem instabiel wordt. De rootkit is bijna niet te verwijderen zonder de functie van het besturingssysteem te beschadigen.
Grosso modo kunnen rootkits op twee niveaus werken: kernelniveau en gebruikersniveau. Moderne processoren kunnen namelijk programma’s in kernelmodus en in gebruikersmodus afhandelen en het onderscheid is wezenlijk: programma’s in kernelmodus hebben toegang tot het gehele geheugengebied; toepassingen in gebruikersmodus krijgen specifieke geheugensegmenten toegewezen. Rootkits met kernelstrategieën kunnen dus in het werkgeheugen ongeveer doen wat ze willen. Deze tools hebben de bedoeling om lopende processen, systeem data of bestanden te lezen, wijzigen of beïnvloeden. Een rootkit helpt de indringer toegang te houden tot het systeem, zonder dat de gebruiker hier iets van merkt.
Rootkits bestaan voor allerlei besturingssystemen zoals Linux, Solaris, Mac OS en versies van Windows.
Rootkits werden bekender in het najaar van 2005, toen ontdekt werd dat platenmaatschappij Sony/BMG rootkits installeerde via hun muziek cd’s, om zo een kopieerbeveiliging te installeren.
Eind Augustus 2007 kwamen weer rootkits voor in Sony’s producten. Deze keer ging het om memorysticks met beveiliging, er werd een rootkit gebruikt om zo betere beveiliging te bieden, helaas werd er onvoldoende gekeken naar verdere implicaties bij het toepassen van deze omstreden beveiliging.
De beveiliging zou overigens niet door Sony zelf ontwikkeld zijn, maar door het Taiwanese FineArt Technology.
Rootkits zijn zeer moeilijk te detecteren, en infecteren het systeem vaak zonder dat de gebruiker dat beseft. Het enige doel van een rootkit is bestanden, netwerkverbindingen, geheugen-adressen en register-ingangen aanmaken en verbergen. Zelfs wanneer de rootkit verwijderd wordt, blijven de wijzigingen door de rootkit aan het systeem gemaakt ongewijzigd en meestal niet - detecteerbaar. M.a.w.: de enige wijze om er geheel zeker van te zijn dat een rootkit verwijderd is, is door het hele systeem opnieuw te formatteren en herinstalleren. Zeer moderne (eind 2006) anti-malware software is tegenwoordig in staat om ook actieve rootkits te detecteren en verwijderen.
De benaming rootkit komt uit het UNIX-milieu: met root werd de zgn superuser uit een UNIX-familie aangeduid. In de jaren ’80 slaagden hackers erin UNIX-systemen te infiltreren en een achterdeurtje te installeren, die hen toeliet telkens opnieuw met root-rechten de machine over te nemen.
Back-up en restore
Het doel van het maken van back-ups of wel reservekopieën is het handhaven van de integriteit en beschikbaarheid van informatie en IT-voorzieningen.
Een van de meest vervelende ervaringen met computersystemen is het verliezen van informatie. Om verloren informatie weer te kunnen herstellen is het noodzakelijk een kopie van de originele informatie te hebben, de back-up. Vaak wordt het maken van een back-up gezien als een preventieve maatregel. Het is echter goed om te beseffen dat een back-up eigenlijk een repressieve maatregel is. De gevolgen van het verliezen van informatie worden beperkt door oudere informatie terug te halen. Het is dan ook noodzakelijk om na te denken over het interval waarmee back-ups gemaakt worden. Hoeveel tijd kunnen we ons permitteren om verloren informatie opnieuw te genereren. En de back-up moet regelmatig getest worden.
Naast het daadwerkelijk maken en testen van back-ups is het nodig na te denken over hoe met de back-ups wordt omgegaan. Wordt de back-up vanuit een streng beveiligd gebouw meegenomen en in een niet-afgesloten kast neergelegd? Of liggen de back-ups naast de server met de originele data? Gaan de back-ups naar een derde partij en zijn de gegevens dan wel versleuteld? Hoe lang worden back-ups bewaard, voldoet dit aan de wettelijke bewaartermijnen?
Beheer van netwerkbeveiliging
Een grote uitdaging in de informatiebeveiliging is dat delen van het netwerk de grens van de eigen organisatie kunnen overschrijden.
| In het nieuws De beveiliging van draadloze privénetwerken in Nederland laat sterk te wensen over, want bijna de helft van de onderzochte netwerken gebruikt geen of de eenvoudig te kraken WEP-encryptie. Tijdens de wardrive die Dimension Data uitvoerde werden in totaal 884 draadloze netwerken gescand. Daarbij keek men ook naar de beveiliging van privénetwerken. Maar liefst 18 procent van de draadloze privénetwerken is helemaal niet beveiligd en 28 procent gebruikt WEP (Wired Equivalent Privacy), dat binnen 2 minuten te kraken is. De overige 54% is voorzien van WPA- of WPA2 (WiFi-Protected Access). "Hoe veilig je ook denkt dat jouw gegevens zijn als je thuis op de pc aan het werken bent, als je gebruikmaakt van een slecht beveiligd draadloos netwerk, lopen alle privégegevens die je op de computer bewaart, gevaar. Hackers kunnen inbreken op het draadloze netwerk en zo alle informatie die op je laptop of pc staat, bekijken. Zo vallen privégegevens als bankrekeningnummers, adressen en foto’s makkelijk in verkeerde handen," zegt een manager van Dimension Data. Bron: http://www.security.nl |
Intranet - een intranet is een privaat netwerk binnen een organisatie. Voor de gebruiker is het net een private versie van Internet. Het primaire doel van een intranet is het elektronisch delen van informatie binnen een organisatie met eenzelfde look-and-feel als het bekende internet. Tevens kan het gebruikt worden voor teleconferenties en om het elektronisch samenwerken in groepen te faciliteren en stimuleren. Het is mogelijk voor een organisatie om via een publiek netwerk, zoals het Internet, afzonderlijke delen van het intranet aan elkaar te koppelen Door middel van speciale encryptie/decryptie methoden en andere aanvullende veiligheidsmaatregelen wordt de betrouwbaarheid van de overdracht verzekerd. Wanneer een organisatie een gedeelte van haar intranet toegankelijk maakt voor klanten, partners, leveranciers of anderen buiten de organisatie noemt men dat gedeelte een extranet.
Extranet - Een extranet is een type computernetwerk binnen een organisatie. Het extranet is verwant aan het intranet. Het doel van een extranet is het beveiligd beschikbaar stellen van bedrijfsinformatie en gegevens aan klanten, partners en leveranciers buiten de organisatie. Bijvoorbeeld: een bedrijf staat klanten toe, via het extranet, rechtstreeks op het bedrijfsnetwerk bestellingen te plaatsen. Een extranet vereist beveiliging en privacy. Hieronder wordt verstaan:
het gebruik van een firewall-server;
het uitgeven van digitale certificaten of andere methoden van gebruikers authenticatie;
encryptie van het verkeer;
het gebruik van VPN’s (Virtual Private Networks) die over het internet communiceren.
VPN - een Virtual Private Network (VPN) maakt gebruik van een reeds bestaand netwerk, doorgaans het internet, om informatiedeling tussen geografisch afgescheiden netwerken mogelijk te maken alsof er een ’eigen’ (bedrijfs)netwerk voorzien was. De verzonden data kan goed beveiligd worden waardoor de integriteit, autorisatie en authenticiteit bij het verzenden van de data gewaarborgd blijft. Technisch zijn er tal van protocollen uitgewerkt die deze dienst beschikbaar maken, het bekendste en meest courante protocol vandaag de dag is IPsec.
| In het nieuws klik mij!Een Australische beveiligingsonderzoeker heeft een ernstig beveiligingslek in een koffiezetapparaat ontdekt, waardoor een aanvaller de smaak en hoeveelheid water per beker kan wijzigen. Ook is het mogelijk om een Denial of Coffee te veroorzaken, zodat een monteur langs moet komen om de machine te repareren. De ernst van het lek wordt vergroot doordat het koffiezetapparaat niet te patchen is. Het probleem ontstaat doordat het apparaat is uit te rusten met een Internet Connection Kit. |
Behandeling van media
Onder media wordt alles verstaan waar gegevens op vastgelegd kunnen worden: papier, cd’s, dvd’s, USB-sticks, harde schijven, back-uptapes, blackberries, mobiele telefoons, enzovoort.
Het doel van richtlijnen voor het omgaan met media is dat we voorkomen dat waardevolle informatie in verkeerde handen komt met als mogelijke gevolgen: onbevoegde openbaarmaking, wijziging, verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten.
De wijze waarop met de media moet worden omgegaan is vaak gekoppeld aan de classificering of rubricering en ligt vast in procedures. Dossiers met gevoelige informatie gaan na de bewaartermijn in de papierversnipperaar of worden vernietigd door een erkend bedrijf. USB-sticks worden leeggemaakt. Een afgeschreven pc wordt niet bij het grof vuil gezet.
| In de praktijk We dachten dat een cd-rom onbeperkt houdbaar zou zijn. In werkelijkheid blijkt een groot deel van de zelfgebrande cd’s na twee tot vijf jaar zodanig aan kwaliteit verloren te hebben, dat de meeste data onbruikbaar zijn. |
Enkele aandachtspunten:
Media moeten op een beveiligde manier worden verwijderd als ze niet langer nodig zijn;
Systeemdocumentatie en handleidingen liggen op een beveiligde plaats en worden regelmatig bijgewerkt;
Transport van media, die uiteraard goed zijn verpakt, wordt door een erkende koeriersdienst gedaan, die ook let op de juiste fysieke omstandigheden (vocht, temperatuur, elektromagnetische straling).
| In het nieuws Een ziekenhuis in de Amerikaanse staat Utah is een back-up tape met de gegevens van tenminste 2,2 miljoen patiënten verloren. De gegevens betreffen iedereen die de afgelopen 16 jaar in het ziekenhuis is geholpen. Het gaat onder andere om diagnostische gegevens, namen, demografische informatie en andere gegevens. Een transportbedrijf moest de tapes vervoeren, maar een werknemer besloot de tapes in zijn eigen auto mee naar huis te nemen. Daar werden ze uiteindelijk gestolen, waarschijnlijk door een dief die dacht dat het om een geldkoffer ging. De werknemer, die al 18 jaar voor het bedrijf werkte, is inmiddels ontslagen. Bron: http://www.security.nl |
0 Mobiele apparatuur
We gebruiken vaker mobiele apparatuur, die ook steeds meer kan. Het is raadzaam om hiervoor regels op te stellen. Bedenk dat verlies van mobiele apparatuur vaak meer is dan alleen de hardware, er staan ook software en gegevens op mobiele apparatuur. Er komen veel incidenten voor met mobiele apparaten. Laptops worden gestolen vanaf de achterbank van een auto maar ook uit de kofferruimte. Handbagage is vaak duidelijk zichtbaar als laptopdraagtas en dit maakt het dieven gemakkelijk. Deze schade is moeilijk te verzekeren. Laat mobiele apparatuur indien mogelijk in het bedrijf of zorg voor passende opbergmiddelen voor onderweg, gecombineerd met een verzekering.
Procedures voor het omgaan met informatie
Er moeten procedures zijn voor de opslag van en het omgaan met informatie, om deze te beschermen tegen onbevoegde openbaarmaking of misbruik. De beste methode hiervoor is classificering of rubricering.
Een dergelijke regeling die bijvoorbeeld voor de Nederlandse Rijksdienst onder de naam Voorschrift Informatiebeveiliging Rijksdienst, Bijzondere Informatie (VIR-BI) van kracht is zal de volgende onderwerpen moeten dekken:
- De positie ten opzichte van het algemene beveiligingsbeleid van de organisatie;
- Hoe, wanneer en onder welke voorwaarden mag geclassificeerde informatie buiten de organisatie gebracht worden;
- Welke classificaties of rubriceringen zijn er;
- Welke merkingen kunnen in aanvulling op de rubricering gebruikt worden;
- Hoe lang is een rubricering geldig;
- Wie mag een rubricering toekennen;
- Onder welke voorwaarden en door wie kan een rubricering herzien en/of beëindigd worden;
- De vertrouwelijkheidseisen aan de hand waarvan het rubriceringsniveau bepaald wordt;
- Welke beveiligingsmaatregelen moeten er genomen worden om de bescherming van de vertrouwelijkheid te waarborgen.
| In de praktijk Een jaarlijks terugkerende vraag is: hoeveel dagen voor Prinsjesdag ligt de Miljoenennota op straat? Dit document dat de financiële huishouding van de Staat der Nederlanden voor het komende jaar omvat, is te vergelijken met een jaarrekening van een bedrijf. Het te vroeg bekend worden van een jaarrekening kan leiden tot handel in voorkennis op de beurs en dat is strafbaar. Daarom zal een bedrijf ook alle mogelijke stappen ondernemen om deze informatie tot op het moment van bekendmaking geheim te houden. |
Uitwisseling van informatie
Om te voorkomen dat informatie terechtkomt bij partijen voor wie deze informatie niet bestemd is, is het van belang om interne en externe afspraken te maken over informatie-uitwisseling. Dit kan informatie-uitwisseling zijn tussen organisaties. Hierin wordt vastgelegd waar de informatie-uitwisseling voor bedoeld is en dat partijen zich houden aan het doel van deze uitwisseling. Denk hierbij ook aan de geautomatiseerde uitwisseling van informatie en informatie die op fysieke media (cd-rom, dvd, USB-sticks maar ook papier) staat opgeslagen.
Het is noodzakelijk om te voorkomen dat er een vrije uitwisseling van informatie tussen personen in verschillende (elkaar beconcurrerende) bedrijven plaatsvindt, waardoor zij in al hun goedheid en zonder zich te realiseren wat ze doen de concurrentiepositie van het eigen bedrijf aan kunnen tasten.
Bewustwording is ook hier een belangrijke beveiligingsmaatregel.
Elektronische berichtenuitwisseling
Elektronisch berichtenverkeer brengt andere risico’s met zich mee dan communicatie op papier. Daarom dient informatie die elektronisch wordt uitgewisseld op een daarvoor geschikte wijze te worden beschermd.
Vooral wanneer informatie via e-mail over het internet wordt verstuurd moet er rekening mee gehouden worden dat die informatie voor hen die daar op uit zijn, gewoon leesbaar is. Bovendien blijven kopieën van de mail soms op servers verspreid over de hele wereld achter. Het internet kiest namelijk niet de kortste weg, maar de snelste weg. De snelste weg van Den Haag naar Leidschendam wil dan nog wel eens via Moskou, Rio de Janeiro, Boston en Londen lopen.
Wanneer informatie echt vertrouwelijk is mag deze niet via internet worden verstuurd. Indien het niet anders kan, zorg dan voor een beveiligde verbinding en/of beveiliging van het bericht door middel van encryptie.
Systemen voor bedrijfsinformatie
Wanneer binnen een bedrijf systemen onderling worden gekoppeld moeten er vooraf procedures worden ontwikkeld en geïmplementeerd om informatie te beschermen tegen onverwachte beveiligingsrisico’s.
| In het nieuws Een Amerikaanse internetprovider heeft per ongeluk de mailboxen van 14.000 klanten gewist. Een softwarefout is de oorzaak. Volgens een woordvoerder is dit nooit eerder gebeurd en zal het ook nooit meer gebeuren. Een woordvoerder van de provider zegt dat er geen mogelijkheid is om de verloren gegane bestanden nog te ’undeleten’ en biedt haar excuses aan. De fout ontstond doordat de provider, die ook kabel en telefoon aanbiedt, inactieve mailaccounts elke drie maanden automatisch verwijdert. Daarbij zijn per ongeluk ook wel actieve accounts vernietigd. Bron: http://www.computable.nl |
Zijn de applicaties separaat voldoende beveiligd, gekoppeld kunnen er plotseling kwetsbaarheden ontstaan in administratie- en boekhoudsystemen waar informatie wordt gedeeld tussen verschillende delen van de organisatie. Ook kunnen er kwetsbaarheden ontstaan bij koppelingen in bedrijfscommunicatiesystemen, zoals het opnemen van telefoongesprekken of telefonische conferenties, vertrouwelijkheid van telefoongesprekken, of het digitaal opslaan van faxen.
Wanneer er sprake is van (zeer) vertrouwelijke informatie, dan is het goed te realiseren dat de meeste moderne kantoorprinters, vaak combinatieapparaten met een scanner, fax en kopieerfunctie, voorzien zijn van een harde schijf, waar alle te verwerken informatie op opgeslagen staat. Via een speciale applicatie is het mogelijk toegang te krijgen tot die harde schijf en alle data te kopiëren. Bovendien kan een ’onderhoudsmonteur’ vaak ongemerkt met die harde schijf naar buiten lopen.
| In het nieuws Een Amerikaanse veiligheidsexpert heeft een methode ontdekt om vanaf websites printopdrachten naar netwerkprinters te sturen. De techniek biedt ongekende nieuwe mogelijkheden voor de spamindustrie. Het versturen van tekst naar de netwerkprinter is een koud kunstje. Een potentieel slachtoffer hoeft niets meer te doen dan je site met malafide javascript te openen. Het grootste probleem is het achterhalen van het adres van de netwerkprinter, maar dat wordt opgelost door in de javascript een paar reeksen ip-adressen af te lopen. Door te kijken naar het ip-adres van de bezoeker kan dit tot een relatief klein aantal worden teruggebracht. Eenmaal gevonden is de printer aan de grillen van de spammer overgelaten. Niet alleen simpele teksten, maar ook volledig opgemaakte documenten kunnen geprint worden zonder dat de gebruiker iets doorheeft. "Het is mogelijk om de printerinstellingen te veranderen en zelfs faxen te versturen", zegt de expert. De hacker geeft in een document zelfs nog een paar tips op welke manier kwaadwillenden het lek kunnen gebruiken: "Maak een bannerpagina. Op die manier krijgt elke printopdracht jouw bannerpagina erbij. Dit is een handige manier om je boodschap te verspreiden." De truc is zowel in Firefox als in Internet Explorer mogelijk. Het werkt niet bij printers die direct op de computer zijn aangesloten en niet op het netwerk. Bron: http://www.computable.nl |
Diensten voor e-commerce
Wanneer een bedrijf besluit zich als internetwinkel te profileren krijgt het met heel andere risico’s te maken dan wanneer het internet uitsluitend gebruikt wordt om informatie op te zoeken. Diensten voor e-commerce en het gebruik ervan moeten op een goede manier beveiligd zijn. Denk bijvoorbeeld aan veilige betalingstransacties (IDeal, Visa, Mastercard, Paypal), het beschermen van de informatie tegen fraude, duidelijke voorwaarden in contracten, onweerlegbaarheid van aankopen en onbetwistbare prijzen.
De vertrouwelijkheid en integriteit van ordertransacties, betalingsinformatie, adresgegevens van de ontvanger en ontvangstbevestiging moeten gewaarborgd zijn en de klant moet er op kunnen vertrouwen dat onbekenden daar geen inzage in krijgen. Denk ook aan maatregelen om de creditcardgegevens af te schermen.
Informatie in online transacties moet worden beschermd om onvolledige overdracht, onjuiste routering, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen.
| In het nieuws Toen een klant van een internetprovider opmerkte dat hij inzage had in een zeer groot bestand dat hij niet kende, heeft hij het gedownload om tot de conclusie te komen dat het alle klantgegevens van een internet provider betrof, zo’n tweeënhalf miljoen in totaal. De beheerder heeft waarschijnlijk een fout gemaakt tijdens het wegschrijven van de back-up met klantgegevens. De klant lichtte de internetprovider hierover in. Toen deze niet reageerde besloot hij zijn ervaringen te delen op een internetforum. "Wat hier gebeurd is, is fout", aldus een woordvoerster van de internetprovider, "Normaal gesproken hoort dit soort meldingen terecht te komen bij ons security-team dat er dan direct mee aan de slag gaat." Conclusies: De eerste fout ligt in de back-upprocedure. De tweede fout ligt in een incidentprocedure die niet gevolgd is, waardoor niet werd gereageerd op de melding. Pas wanneer het kwaad geschied is en de fout in de openbaarheid komt, reageert de provider. In dit geval gaat de ontdekker van de fout gelukkig niet verder dan het te vermelden op een forum. Hij had ook de volledige lijst op internet kunnen publiceren, of de klantgegevens voor marketingdoeleinden kunnen verkopen, waarna de betrokken klanten overspoeld zouden worden met spam. |
Openbaar beschikbare informatie
Bedrijfsinformatie die op een internetpagina wordt gepresenteerd aan de hele wereld is openbaar, maar moet wel integer zijn en niet gemanipuleerd kunnen worden. Foute informatie zal de reputatie van de organisatie schaden. Het is erg vervelend als je een rekening moet betalen, het banknummer niet meer weet, op de internetsite het bankrekeningnummer opzoekt maar dit blijkt niet te kloppen en het geld wordt overgemaakt naar een ander persoon.
Het kan zijn dat de informatie op een openbaar beschikbaar systeem, bijvoorbeeld informatie op een webserver die toegankelijk is via het internet, moet voldoen aan wetten, regels en voorschriften in het rechtsgebied waar het systeem zich bevindt, waar de zakelijke transactie plaatsvindt of waar de eigenaar(s) woont (wonen).
Het is ook belangrijk dat bijvoorbeeld programmatuur die beschikbaar wordt gesteld, aan de gebruikerseisen en de veiligheidseisen voldoet. Denk bijvoorbeeld aan de fouten in de aangifteprogramma’s van de belastingdienst.
Samenvatting
| We hebben het over beleid gehad. We weten nu dat beleid richting geeft aan de wijze waarop de informatiebeveiliging wordt ingericht. Beleid wordt ook gebruikt om aan de overheid en andere controlerende instanties aan te tonen dat men aan de wet- en regelgeving voldoet. Het beleid geeft bovendien houvast aan de medewerkers op het moment dat niet duidelijk is of iets wel of niet is toegestaan. We zijn ingegaan op diverse organisatorische maatregelen. Hoe draagt de organisatie het beleid uit. Aan welke regels moeten medewerkers voldoen. We weten nu wat de PDCA-cyclus betekent. De onderdelen van de ISO/IEC 27002 standaard zijn genoemd en daarmee is de samenhang tussen de verschillende aspecten van informatiebeveiliging duidelijk geworden. We hebben uitgelegd wat calamiteiten zijn en hoe we de risico’s bij calamiteiten zoveel mogelijk kunnen beperken, onder andere door ons op calamiteiten voor te bereiden. Communicatie- en bedieningsprocessen, testprocedures, eigen beheer of uitbesteding van de IT-omgeving zijn besproken. We zijn op de hoogte van malware en hoe we ons daartegen kunnen beschermen. De noodzaak van back-upprocedures zijn besproken. Het beveiligen van het netwerk en media en het uitwisselen van informatie is aan bod gekomen . Met het uitwisselen van informatie kwamen we ook aan bij het onderwerp e-commerce, een wat oudere benaming voor de webwinkel. |
Casus
Een nieuwe mobiele telefonieprovider bestormt Nederland. U wordt ingehuurd als beveiligingsfunctionaris. In deze Engelstalig georiënteerde branche mag u zich Chief Information Security Officer (CISO) noemen. U krijgt de opdracht er voor te zorgen dat de klanten via internet hun mobiele telefoniezaken kunnen regelen. Aandacht is vereist voor de privacy van de klant. De klant moet vierentwintig uur per dag zaken kunnen doen, abonnementen kunnen afsluiten en aanpassen, de rekening in kunnen zien, etc.
Uw bedrijf biedt de klanten naast mobiele telefonie UMTS/ HSDPA breedbandinternetverbindingen. Het bedrijf garandeert de beschikbaarheid en veiligheid van die verbinding. Hierbij garandeert men een 100% virusvrije verbinding.
Om aan te tonen dat uw bedrijf aan alle beveiligingseisen voldoet wil het zich laten certificeren.
U dient er zorg voor te dragen dat het management weet wat er gebeurt en tijdig kan reageren wanneer er iets fout gaat. Tevens is het uw verantwoordelijkheid dat het personeel dat in dienst komt betrouwbaar is.
Gerelateerde IBpedia artikelen
Nederlandstalig:
- IBpedia, kennisdeling voor informatiebeveiliging en digitale architectuur
- PvIB het platform voor informatiebeveiliging
- Vakblad informatiebeveiliging
- Artikelen over informatiebeveiliging
- Certificeringen voor informatiebeveiliging
- De checklist pagina voor informatiebeveiliging
- De hitlijsten voor informatiebeveiliging
Engelstalig:
- IBpedia, knowledge sharing for information security and digital architecture
- PvIB, The Dutch Platform for Information Security
- Articles about information security
- The checklist page for information security
- Certification for information security
- Patterns for information security
- The hit list for information security
