Uploaded by Jasper Van Doirde

Informatieveiligheid smv C klaar (2)

advertisement
C1
Relevantie informatieveiligheid is door digitalisering groter geworden maar niet nieuw.
Informatieveiligheid = beschermen van informatie en de gegevens waarop deze gebaseerd is. Het
beoogt de bescherming van zowel digitale als analoge gegevens, en zowel tegen menselijk als nietmenselijke dreigingen, met en zonder kwade intentie. Bestaande uit:
-
Technisch goed beschermen
Mensen bewust maken van risico’s
Uitvoeren risicoanalyse
Integraal organiseren van effectief veiligheidsbeleid
Voorbereiden op noodgevallen
Cybersecurity = geheel aan maatregelen om schade door verstoring, uitval of misbruik ICT te
voorkomen en indien er toch schade is ontstaan deze te herstellen.
Cybercrime = alle stafbare gedragingen waarbij ICT-systemen van wezenlijk belang zijn in de
uitvoering van het delict.
Persoonsgegevens = gegevens die een specifiek persoon kunnen identificeren, of indirect naar een
persoon kunnen leiden. Hierbij speelt dus informatieveiligheid en privacybescherming. Een andere
definitie is ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’.
Verschil tussen:
-
Gegevens: observaties van werkelijkheid die worden geregistreerd, ook wel data genoemd
Informatie: als de gegevens in een bepaalde context voor iemand worden geanalyseerd en
gestructureerd.
Internet of things = steeds meer apparaten worden aangesloten op het internet. De producten en de
servers zijn vaak gevoelig voor hackers en brengt gevaar mee.
Een andere bedreiging is de toenemende inzet van big data en kunstmatige intelligentie.
Je hebt 2 soorten persoonsgegevens: Gewone persoonsgegevens = niet bijzonder
Bijzondere persoonsgegevens: extra gevoelig, op basis van deze gegevens kunnen mensen
gestigmatiseerd of gediscrimineerd worden. Sprake wanneer gegevens iets zeggen over:
-
Ras of etnische afkomst
Politieke overtuiging
Goddienst of levensbeschouwelijke overtuiging
Lidmaatschap van een vakbond
Genetische of gezondheid status
Biometrische gegevens waarmee mensen geïdentificeerd kunnen worden
Seksueel gedrag of seksuele gerichtheid
Strafrechtelijke info
Discipline informatiebeveiliging richt zich op beschermen van gegevens, zowel digitaal als andere
vormen. hierbij onderscheid tussen drie te beschermen aspecten van gegevens:
-
Beschikbaarheid: gegevens zin er op moment dat ze nodig zijn
Integriteit: gegevens juist en compleet
-
Vertrouwelijkheid: gegevens alleen beschikbaar voor degenen die geautoriseerd zijn
Samen vormen deze de betrouwbaarheid van informatievoorziening.
Incidentcyclus: wordt gebruikt bij informatiebeveiliging. Kopje ‘schade’ bevat alle ongewenste
effecten.
Informatieveiligheid speelt op verschillende niveaus van samenleving, met voorbeelden:
-
Individu (niet beschikken over jou informatie, onjuiste informatie of niet vertrouwelijk of
sextortion)
Publieke en private organisaties (kwijtraken bedrijfsgegevens)
Kleine organisaties (hackers, vaak te onbewust)
Gehele samenleving (vitale infrastructuur, cyberspionage)
Voorbeelden van bedreigingen voor informatieveiligheid door falen van mensen en organisaties:
-
-
(Kleine) menselijke fouten: typfout, vergeten bepaalde informatie ect.
Organisatorische fouten: onvoldoende ingewerkte mensen, verkeerde positie in bedrijf, te
hoge werkdruk, werkvoorschriften niet actueel of niet passen bij werkwijze ect.
Opzettelijk handelen: stelen, afpersen, saboteren, hacken en spam versturen. Bijvoorbeeld
met social engineering = zodanig inspelen op mensen dat deze onbedoeld gevoelige
informatie afstaan) of met hacking of malware.
Overtredingen ter goeder trouw: regels en voorschriften in uitzonderingssituaties niet
toepasselijk, daarom ter goeder trouw overtreden.
Verschillende soorten informatietechnologie:
-
Toepassingssoftware: applicaties en apps en digitale gegevens
Besturingssystemen: (bijv. Microsoft Windows)
Computers: (servers, laptops, randapparatuur ect.)
In elk van deze lagen kan de technologie ontregeld raken door het zelf falen of bedreigingen van
buitenaf:
-
-
Toepassingssoftware: programmeerfouten, computervirussen, ransomeware en hacking.
Programmeerfouten veelvoorkomend, vaak al bekend over deze fouten voordat er een
‘patch’ is, dit geeft criminele kans. Ze kunnen ook zelf zoeken naar onontdekte fouten = zero
day exploits. Computers en randapparatuur deels hardware en daarom gevoelig aan
bedreigingen van binnen en buitenaf (veroudering & slijtage, maar bijvoorbeeld ook storing
of wateroverlast).
Computers: Computers en randapparatuur deels hardware en daarom gevoelig aan
bedreigingen van binnen en buitenaf (veroudering & slijtage, maar bijvoorbeeld ook storing
of wateroverlast). Ook netwerken bestaan deels uit hardware, zowel draadloze als bedrade
netwerken zijn af te luisteren. Deel van hardware is mobiel en hierdoor gevoelig aan verlies
of diefstal.
Voor informatiebeveiliging dient eerst een beleid te worden opgesteld, waarin de behoefte aan
informatiebeveiliging beschreven is als de wijze waarop dat ingevuld gaat worden. Hierop volgend
worden de benodigde taken en verantwoordelijkheden toegewezen maar ook de middelen, zoals
capaciteit, tijd en budget. Verschillende functies bij informatiebeveiliging, belangrijkste zijn:
-
-
-
Lijnmanagement: begint bij directie, organiseert het en stuurt aan en stelt middelen
beschikbaar
Informatiebeveiligingsfunctionaris: bereid beleid van informatiebeveiliging voor, voert
risicoanalyse uit, ondersteunt lijnmanagement. Coördineert
informatiebeveiligingsactiviteiten en houdt toezicht hierop.
Functionaris gegevensbescherming: ziet toe op goede uitvoering Algemene verordening
gegevensbescherming, het meldingsproces van datalekken en is degene die melding doet
van datalekken bij Autoriteit persoonsgegevens.
Informatiebeveiligingsspecialisten: ontwerpen, implementeren en onderhouden
informatiebeveiligingsmaatregelen en -producten.
Interne of externe auditors: toetsen uitvoering van informatiebeveiliging
Alle medewerkers organisatie: betrokken bij uitvoeren informatiebeveiligingsmaatregelen
en -procedures
Informatiebeveiliging volgt de stappen van een PDCA-cyclus. Deze cyclus en de randvoorwaarden zijn
uitgewerkt in ISO-27001.
Wanneer organisaties samenwerken dient de informatiebeveiliging op elkaar af gestemd te worden.
Zij moeten dus samen de informatiebeveiliging regelen.
Algemene verordening gegevensbescherming (AVG): stelt eisen aan welke persoonsgegevens
wanneer en onder welke voorwaarde opgeslagen mogen worden, welke rollen hoe moeten worden
ingevuld en hoe moet worden omgegaan met datalekken.
Wet beveiliging netwerk en informatiesystemen: schrijft voor hoe organisaties in vitale sectoren
hun informatiebeveiliging dienen in te richten en hoe verantwoordelijkheid voor
informatiebeveiliging moet zijn geregeld.
Enkele belangrijke organisatorische maatregelen op gebied van informatiebeveiliging zijn:
-
Verbetering bewustwording: t.a.v. belang gegevens in organisatie en wat nodig is aan
informatiebeveiliging
Gedragsregels: wat wel en niet mag en moet in organisatie.
Toegangsregulering: wie wanneer bij welke informatie mag en met welke procedures en
middelen dit wordt geregeld
Functiescheiding: mensen belemmeren in uitvoeren ongewenste activiteiten door
functiescheiding
Incidentenregistratie: centraal en adequaat registreren van incidenten t.a.v.
informatiebeveiliging
Enkele voorbeelden van technische maatregelen op gebied van informatiebeveiliging zijn:
-
Cryptografie (versleuteling)
Anti-malware
-
Firewall
Netwerkbeveiliging
Back-up voor belangrijke bestanden
Afgesloten ruimte voor servers
Poortjes met paslezer bij ingang
Brandblussers
Verhoogde vloeren tegen waterschade
Bliksembeveiliging
Dit kan opgedeeld worden in verschillen categorieën:
-
-
-
-
Toegangsregulering: kan met behulp van: wat weet iemand (naam of wachtwoord), iets wat
iemand bezit (sleutel) of iets wat van iemand is (vingerafdruk of gezichtsscan). Veel
instellingen maken gebruik van 2-factor authenticatie = als er 2 van de bovenstaande
manieren tegelijk worden gebruikt.
Fysieke beveiliging: voor het voorkomen van uitval van de fysieke systemen/onderdelen kan
worden gekozen voor hoogwaardige producten en goed onderhoud. Ook dient de fysieke
omgeving beschermd te worden tegen externe gevaren (overstroming ect.). Ook belangrijk is
voorzieningen tegen stroomuitval en warmteafvoer. Een effectieve oplossing is dubbel
uitvoeren van systemen (kans op uitval 2 systemen minimaal)
Communicatiebeveiliging: hieronder valt de communicatie tussen computersystemen,
tussen mensen en computersystemen en tussen mensen die gebruik maken van
computersystemen. Ook het gebruik van mobiele media valt hieronder. Door gebruik te
maken van filters zoals: firewalls, anti-malware, antispam ect. worden de goede van de vuile
gegevens gescheiden. Door ook gebruik te maken van cryptografie is het mogelijk informatie
te beschermen tegen aantasting en afluisteren. Ook moeten de communicatiemiddelen
fysiek beschermd worden.
Back-up en uitwijk: back-up is logisch. Reserve- of uitwijksysteem is een systeem waar de
software op staat bij het niet goed werken van de ene locatie. Er kan hiernaar worden
uitgeweken. Deze moeten preventief worden geïnstalleerd.
Met het verwerken van gegevens wordt bedoeld alles wat je met de gegevens kunt doen. AVG
omschrijft heel precies wanneer je persoonsgegevens mag verwerken. Ook beschrijft het AVG fair
information principles = moet specifiek en duidelijk doel zijn voor verwerking van de
persoonsgegevens, niet meer persoonsgegevens verzamelen dan nodig en als ze niet meer nodig zijn
moeten ze worden verwijderd.
Datalek = inbreuk plaatsgevonden op de bescherming van persoonsgegevens. Wet schrijft voor dat
de organisatie dit zonder onredelijke vertraging, en indien mogelijk, binnen 72 uur meldt bij
Autoriteit Persoonsgegevens. Als de privacyregels niet goed zijn gehanteerd kan er boetes worden
gegeven.
Ook wijst de AVG op het gebruik van gegevensbescherming door:
-
Privacy by design: bij ontwerp systemen wordt al nagedacht over een privacy vriendelijke
manier van gegevensverwerking.
Privacy by default: standaard afschermen van gegevens tenzij gebruiker anders kiest (insta).
Om de juiste hoeveelheid maatregelen te bepalen wordt er gewerkt met een kwalitatieve
risicoanalyse. Op basis van de uitkomsten worden maatregelen bepaald.
Stappen in kwalitatieve risicoanalyse:
Vaak wordt er gewerkt met een standaard maatregelenlijst. De bekendste is ISO 27002, gebaseerd
op best practices die voor elke organisatie relevant zijn. Hiermee kan een baseline worden gehaald =
organisatie breed een minimumniveau van informatieveiligheid realiseren.
C2
Digitalisering = informatie omzetten in digitale vorm.
ICT en de daaruit vloeiende digitalisering wordt op ontelbare manieren ingezet, daarom wordt het
ook wel generieke technologie genoemd. Verdere ontwikkelingen van de digitaliserende
samenleving wordt beïnvloed door bestaande normen, regels, instituties, infrastructuur, en digitale
technologie op haar beurt dezelfde normen, regels, instituties, infrastructuur beïnvloed.
Wet van Moore = de trend van miniaturisering en het tempo waarin innovatie plaatsvind.
De verwevenheid van ICT met andere technologieën maakt duidelijk dat allerlei aspecten uit ons
leven digitaliseren. Hieronder worden 3 thema’s hieruit besproken:
-
De materiële wereld: (zoals het productieproces, de openbare ruimte en ons huis)
De biologische wereld: (zoals het menselijk lichaam, het brein en ons gedrag)
De socio-culturele wereld: (zoals communicatie, culturele producten en organisaties)
In de daadwerkelijke wereld zijn ook deze thema’s verweven met elkaar.
Allereerst de materiële wereld:
Productieproces
Inzet van ICT ging hand in hand met de globalisering van de economie. Het opknippen van
productietaken in deeltaken leidde tot zowel specialisering (outsourcing) als verplaatsing
(offshoring). Ook maatwerk werd mogelijk waar het product pas werd gemaakt na bestellen (just-intime productie) en het customizen (mass customisation).
Door de technische ontwikkelingen ook high-resulution management mogelijk = dataverzameling en
technieken voor monitoring en analyse. De mogelijkheden tot dataverzameling en technieken komen
naar voren in internet of things waar ontwikkeling als: slimme energienetwerken, smart mobility,
digitale oliewinning, robotmijnbouw, smart farming en slimme steden, naar voren komen.
Ook de verdere ontwikkeling van robots en digitale fabricatietechnologieën (3d printen) bieden veel
mogelijkheden in het productieproces.
Leefomgeving en openbare ruimte
Bijvoorbeeld de invoering van camera’s op steeds meer plekken was een grote ontwikkeling. Door
middel van smartphone’s, mobiel internet en sociale media raken fysieke en virtuele wereld steeds
nauwer met elkaar verweven.
Een interessante ontwikkeling op veiligheidsgebied is de invoering van ‘de slimme stad’. Via allemaal
sensoren kunnen overheden, bedrijven in inwoners gedetailleerd inzicht krijgen in processen in de
stad.
Huis
Door internet of things ook steeds meer huishoudelijke apparaten op internet.
Biologische wereld
Lichaam
Begon met gebruik van medische apparatuur die het lichaam uit kan lezen (röntgenbeelden, CT-scans
ect.). belangrijke ontwikkeling was de Human Genome Project, hiermee kon menselijk DNA in kaart
worden gebracht. Er kan tegenwoordig zelfs DNA-materiaal worden aangepast. Ook kunnen mensen
via commerciële diensten als 23andMe inzicht krijgen in hun eigen genetisch profiel en in mogelijke
erfelijke aanleg voor aandoeningen en eigenschappen zoals kaalheid of blindheid. Ook smartphones
en smartwatches helpen mensen inzicht te krijgen in hun gezondheid.
Brein
Neuro-imaging-technologie in het lab om cognitieve processen in kaart te brengen en deep brain
stimulation (DBS) aan breinimplantaten om bijvoorbeeld de trillingen van Parkinsonpatiënten te
verminderen. Verder ook brain-computer interfaces op de markt waarmee gebruikers zelf hun
hersengolven kunnen analyseren en hun cognitieve vermogens proberen te verbeteren. Do-ityourself neuro-enhancers proberen met elektrische golven hun eigen breincapaciteit te vergroten of
trainen hun concentratie met feedback over patronen in hun hersengolven. Gezichts- en
emotieherkenning zijn onderdeel van een reeks nieuwe identificatiemogelijkheden op basis van het
menselijk lichaam, naast bekende methoden als de vingerafdruk en de irisscan.
Gedrag
Steeds meer informatie wordt van ons digitale surfgedrag afgeleid. Ook wordt deze op verschillende
manieren beïnvloed. Persuasieve technologie maakt gebruik van inzichten uit de psychologie,
gedragswetenschappen en mens-computerinteractie, om systemen te ontwerpen die gebruikers
aanzetten tot gedragsverandering (Fogg 2002). Dit soort technologische gedragsbeïnvloeding – ook
wel nudging genoemd – wordt steeds geraffineerder.
Socio-culturele wereld
Communicatie en cultuur
Komst sociale media en andere online diensten grote invloed op maatschappij. De afstand tussen het
offline en online leven wordt steeds minder. Ook virtual reality en augmented reality (realtime
informatie) dragen hieraan bij. Ook culturele producten en diensten digitaliseren: muziek, boeken,
films en spellen zijn geheel digitaal te maken, te distribueren, te beluisteren, te lezen, te bekijken en
te spelen. Met slimme aanbevelingstechniek.
Organisatiemodellen
De interactie tussen organisaties en consumenten verloopt eveneens steeds meer geheel digitaal.
Een ander voorbeeld van een digitaal platform is de blockchaintechnologie. Deze technologie maakt
het mogelijk om zogenaamde autonome organisaties te ontwikkelen: organisaties die volledig uit bits
en bytes bestaan. De technologie kan een set van afspraken en taken automatiseren en zo de functie
van een bepaalde organisatie overnemen (Bitcoin wordt gestuurd door blockchain).
De omvang van de digitale wereld is exponentieel gegroeid en lijkt zijn eigen ‘wet van Moore’ te
kennen: elke twee tot drie jaar verdubbelt de hoeveelheid data = big data.
Dataminingtechnieken (data analytics) en kunstmatige intelligentie (met name technieken als deep
learning) profiteren enorm van de grote hoeveelheden gegevens die de afgelopen jaren beschikbaar
zijn gekomen. Via deep learning abstraheren computers informatie op basis van verschillende lagen
van neurale netwerken.
een nieuwe fase in de ontwikkeling van de digitale samenleving in te luiden; een fase waarin een
cybernetische loop ontstaat tussen de fysieke en de digitale wereld. Dat betekent dat processen in
de fysieke wereld worden gemeten, die hieruit voortkomende data wordt geanalyseerd, en er
vervolgens real-time op gedetailleerd niveau wordt ingegrepen. Het effect van de interventie kan
vervolgens weer worden gemeten, geanalyseerd en worden bijgesteld om weer een volgende cyclus
van de cybernetische loop te doorlopen.
Zie afbeelding op volgende bladzijde.
Politieorganisaties over de hele wereld ontwikkelen predictive policing = politiewerk doen aan de
hand van voorspellingen. Dit wordt gedaan aan de hand van big data waar criminaliteit mee
voorspeld kan worden.
In criminologie al veel theorieën die inzicht geven in denken en doen criminelen:
-
-
Routine activity theory: criminelen kiezen locatie waar overlap is tussen virtuele cirkels
criminelen en geschikte slachtoffers. (steeds zelfde gebieden als er geen maatregelen
worden genomen)
Rational choice theory: criminelen kiezen locatie waar afweging tussen risico en buit zo
gunstig mogelijk is.
Crime pattern theory: criminelen zullen nooit te dicht bij hun eigen huis toeslaan, maar altijd
in een buurt die ze kennen, vlakbij huis, werk, sportschool of op de weg daarnaartoe
Blended theory: combinatie van de 3 bovenstaande
Met predictive policing worden deze theorieën niet gebruikt en wordt er vooral gekeken naar near
repeats: in de buurt van incident zal vaak nog een incident gebeuren als er niks veranderd. Vrijwel
alle pakketten kijken naast near repeats vaak ook naar tijdsaspecten en trends zoals verplaatsingen,
seizoenen, weekdagen of weekend en zelfs specifieke tijdstippen. Verder wordt er gekeken naar
kenmerken als omgevingsfactoren, weersvoorspellingen, afstanden tot vluchtwegen en locaties van
politiebureaus.
Intelligence-led policing is de voorganger van predictive policing en focust zich op verleden.
Voorbeelden zijn: analyseteams die statistieken doornemen, hotspotkaarten, brandweerradar ect.
predictive policing doet ook voorspellingen voor toekomst, dit gebeurd onder andere aan de hand
van Criminaliteits Anticipatie Systeem (CAS).
CAS wordt gebruikt voor voorspellen van high impact crimes (woninginbraak, straatroof en
overvallen). Het systeem maakt vakjes in een bepaald gebied. Lage kanzen vakjes worden verwijderd
(weiland, water ect.). Van de overblijvende vakjes wordt een grote hoeveelheid gegevens verzameld:
criminaliteitshistorie, afstand tot bekende verdachten, afstand tot de dichtstbijzijnde snelwegoprit,
soort en aantal bedrijven zoals bekend bij de politie, en demografische en socio-economische
gegevens van het CBS. Vervolgens wordt bepaald wat er in de twee weken na de peiling aan
incidenten kan plaatsvinden. De scores worden gepresenteerd in een heat-map = vakjes met hoog
risico krijgen een warme kleur.
Betrouwbaarheid en validiteit van de voorspelsystemen afhankelijk van een aantal dingen:
-
-
De betrouwbaarheid van deze voorspellingen zijn afhankelijk het aantal incidenten binnen
een vakje. Hoe meer er zijn geweest hoe betrouwbaarder de voorspellingen zijn doordat er
op basis van meer informatie meer betrouwbaarheid is.
Om daadwerkelijk waarde toe te voegen t.o.v. voorspellingen van analisten is het belangrijk
een detailleringsniveau te kiezen dat klein genoeg.
De hoeveelheid informatie, niet alleen data maar ook kennis en expertise over gedrag.
Met name de kwaliteit van de bronnen is belangrijk en in mindere mate de kwantiteit.
De voorspellingen zullen ook niet altijd uitkomen. Deels doordat het voorspellingen zijn en ook
omdat de politie acteert op basis van deze voorspellingen. Gedachte achter predictive policing is niet
meer popo op straat maar gerichter popo op straat.
Doordat het redelijk nieuw is richt predictive policing zich om die reden nu nog vooral op
veelvoorkomende delicten waar een klein aantal mensen een rol in speelt (zoals veelplegers uit een
buurt of rondtrekkende dadergroepen) en vermogensdelicten zoals woninginbraken en straatroof,
waar vaak aangifte van wordt gedaan. Er wordt wel verwacht dat er meer voorspeld kan worden in
de toekomst.
Toch zitten er ook een risico’s op predictive policing:
-
-
-
-
Kans dat politie mensen gaat oppakken op basis van het systeem. Daarom zijn en blijven de
kennis en kunde van de ervaren politieagent leidend. Hij zal moeten bepalen hoeveel waarde
en bewijslast op basis van het systeem kan worden toegekend en hoeveel aanvullend bewijs
nodig is.
Het systeem kan te complex worden om te begrijpen. Mensen blijft het belangrijkst en maakt
de beslissingen = human in the loop by design. Het systeem doet de basiszaken, de mens
bepaalt wat ermee gebeurt. Totdat het moment van singularity aanbreekt, waarbij
computers niet alleen sneller of accurater kunnen rekenen, maar ook
creatiever, slimmer en bewuster zijn dan mensen. Maar voorlopig nog niet het geval en ook
niet gewenst
Data kan een verkeerd beeld geven door tunnelvisie. Als de aangevoerde data bijvoorbeeld
vooroordelen bevat geeft het een verkleurd beeld.
Leveranciers van de systemen zullen wellicht niet de volledige transparantie geven vanwege
hun concurrentiepositie. Je weet nooit zeker of het systeem het zo goed doet als beloofd.
Waarom mensen crimineel worden en hoe zij zich dan gedragen en de kennis van analisten
en politiemensen in het systeem of in de aanvullende processen krijgen is erg lastig.
Privacy komt in het geding bij preventief handelen. Verder zijn er gegevens die een goede
toegevoegde waarde hebben in het systeem, maar niet gebruikt mogen worden vanwege
privacy redenen.
Veel belangrijker is om na te denken over de vraag hoe de politie effectief aan de slag kan
gaan met enigszins betrouwbare voorspellingen. En dus niet teveel focussen op ontwikkeling
van de systemen.
Om zicht te krijgen in de effecten van predictive policing moet de politie het effect van de
voorspelling en de daaropvolgende inzet moeten meten = effect-led policing. Als deze kennis wordt
toegevoegd aan het systeem = prescriptive policing. Hiermee kan het systeem dan ook advies doen
op basis van het verleden welke politie inzet in de gegeven situatie het meest effectief is. Het biedt
de mogelijkheid om de jarenlange kennis en ervaring in een context te plaatsen en deze te herhalen
daar waar de context gelijk is. De uitkomst mag alleen wel enkel worden gezien als advies door het
ontbreken van creativiteit en gebrek aan kennis en ervaring die de mens wel heeft. Ook is er een
juridisch argument om dit principe toe te passen: de Wet bescherming persoonsgegevens stelt in
artikel 42 lid 1 dat ‘niemand kan worden onderworpen aan een besluit waaraan voor hem
rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat besluit alleen
wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens bestemd om
een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid’.
C3
Algemene Verordering Gegevensbescherming (AVG) is van toepassing als op de volgende 5
onderdelen ‘ja’ wordt beantwoord:
-
Als er persoonsgegevens
Worden verwerkt
Door of in opdracht van een vertrouwelijke
Het EU-recht is van toepassing
En er is geen uitzondering van toepassing
‘als er persoonsgevens’
Het gaat hier om welke persoonsgegevens, waarom je ze verwerkt en hoe de organisatorische en
technische randvoorwaarden zijn gesteld.
Een persoonsgegeven is een gegeven waarmee je iemand kan identificeren, bestaat uit:
-
-
Direct (naam) of indirect (specifiek detail van iemand) persoonsgegeven
Privé en publieke gegevens (een gegeven zal als persoonsgegeven worden geïdentificeerd
worden wanneer je er iemand mee kan identificeren)
gewone en gevoelige informatie (voor verwerking gevoelige informatie wel meer
voorwaarden)
identificerende en identificeerbare gegevens. Identificeerbare = gegevens die op dit
moment nog niemand identificeren, maar dit op termijn wel kunnen (databases die
samengevoegd moeten worden bijvoorbeeld)
individualiseerbaarheid = wanneer je persoon wel individueel kan tracken en daarop
bepaalde handelingen ondernemen, zonder te weten wie het is.
Alleen sprake van persoonsgegevens in juridische vorm als het gegevens gaat over een mens en deze
nog leeft.
Vaak wordt door bedrijven beweerd dat ze geen persoonsgegevens verwerken door het toepassen
van de volgende technieken:
-
-
-
-
encryptie van gegevens: door een sleutel toe te passen op de persoonsgegevens denken
bedrijven zo veilig te zijn. Dit is niet zo het zijn nog steeds persoonsgegevens; mensen met de
sleutel kunnen het zien en het is gevoelig voor decryptie (hackers)
gebruik van pseudoniemen: naam wordt persoonlijke code. Betekend niet dat er niet met
persoonsgegevens wordt gewerkt. Pseudoniem ook een uniek gegeven en ook zonder naam
mogelijk mensen te identificeren of te individualiseren.
Anonimiseren van gegevens: persoonsgegevens anonimiseren is wel een werkende
techniek. Toch kunnen ook geanonimiseerde gegevens soms toch tot een persoon te
herleiden zijn.
Aggregeren van data: data alleen per categorie geanalyseerd. Ook hier is verordening niet
van toepassing. Hoe groot de categorieën moeten zijn verschild per situatie
‘worden verwerkt’
De verordening alleen van toepassing als je gegevens verwerkt. Hier valt alles onder wat je met
gegevens kunt doen (dus ook verwijderen, aanpassen ect.). Geld voor zowel als digitaal als fysiek op
een blaadje. De enige uitzondering is wanneer de gegevens niet digitaal en gestructureerd zijn
(notitieblok bijv.)
Recht op gegevensbescherming is een fundamenteel recht = hoogste rechten die er zijn in Europa,
alle andere wetten, regels en beleidsvoorschriften moeten hieraan voldoen. Het betekend niet dat
deze rechten nooit beperkt mogen worden, maar er zitten hier strakke regels aan, het moet aan alle
volgende punten voldoen:
-
-
Noodzakelijk: beperking van het fundamentele recht mag enkel wanneer het noodzakelijk is
voor het bereiken van een legitiem doel. legitiem doel wordt later uitgelegd en noodzakelijk
hangt af van de omstandigheden en context.
Proportioneel: verhoudingen tussen recht en legitiem doel. in hoeverre is het rechtvaardig
dit recht te breken.
Subsidiair: kies het minst inbreuk makende middel om je doel te behalen.
Effectief: gegevensverwerking moet effectief zijn.
Beginselen van gegevensbescherming recht worden vaak fair information principles (FIP’s)
genoemd. De AVG kent 10 FIP’s. Het is aan de verantwoordelijke voor de gegevensverwerking dat in
het gehele proces hieraan wordt voldaan. Ieder van deze principes moet worden gerespecteerd door
je organisatie. Dit zijn:
-
-
-
Rechtmatig, dit houdt 6 dingen in:
1. Gegevensbescherming moet stoelen op een van de gronden in AVG genoemd
2. Bij verwerking gevoelige persoonsinformatie, moet verwerking zijn gebaseerd op een van
de gronden die in AVG zijn genoemd.
3. Als er persoonsgegevens worden verzonden naar buiten Europa, moet dat gebaseerd zijn
op gronden van AVG
4. Gegevensverwerking moet ook aan andere wetgeving voldoen
5. Verantwoordelijke mag geen gegevens gebruiken die hij van andere heeft gekregen als
hij weet dat die gegevens onrechtmatig zijn verkregen
6. Verantwoordelijke mag geen gegevens gebruiken verzameld door een ander omdat deze
aan minder strenge regels mag voldoen.
Behoorlijk: gegevens moeten op een eerlijke en redelijke manier worden verkregen
Doelspecificatie: moeten een specifiek doel dienen:
1. Voordat persoonsgegevens verzameld worden moet er een doel zijn waarom
2. Doel uitdrukkelijk vastleggen, zodat gecontroleerd kan worden of doel is gerespecteerd
3. Doel moet specifiek zijn
Doelbinding: gebruiken van oude gegevens voor nieuw doel mag niet. Tenzij het doel
verenigbaar is (zelfde soort doel). AVG geeft 5 aanknopingspunten om te beoordelen of
nieuw verwerkingsdoeleinde onverenigbaar is:
1. Verband tussen verzameling en nieuwe doeleinde
2. Kader waarin de persoonsgegevens zijn verzameld
3. Aard van de persoonsgegevens
4. De mogelijke gevolgen voor datasubject
5. Bestaan van passende waarborgen (encryptie ect.)
Wel kan middels bijvoorbeeld het vragen van toestemming met de oude gegevens worden
gewerkt. Ook geld er een uitzondering voor: archivering in algemeen belang,
wetenschappelijk of historisch onderzoek en statistische doeleinde.
-
Dataminimalisatie: niet meer persoonlijke gegevens verzamelen dan voor doel nodig is.
Correct en up-to-data: spreekt voor zich. Updaten moet bij gewone databases 1x per jaar,
speciale moet vaker.
-
-
Opslagbeperking: wanneer doel is bereikt moeten de gegevens worden verwijderd of
geanonimiseerd. Een klantbestand aanleggen is wel geoorloofd, maar als het een eenmalige
bestelling is en de klant een jaar lang niks besteld moeten de gegevens worden verwijderd
(mogen wel worden geanonimiseerd voor statistisch onderzoek). 2 uitzonderingen:
1. Als gegevens niet meer noodzakelijk zijn voor behalen doel, mogen ze alleen bewaard
worden voor voldoen wettelijke plicht (belasting ect). Het is niet toegestaan om
gegevens langer te bewaren om aan regels AVG te voldoen.
2. Ook geld er een uitzondering voor: archivering in algemeen belang, wetenschappelijk of
historisch onderzoek en statistische doeleinde. Onderzoek en statistisch onderzoek
vooral te maken met wetenschappelijk en medisch onderzoek (geen klantonderzoek dus)
Organisatorische veiligheid: als gegevens worden opgeslagen dan zul je organisatorische
veiligheidsmaatregelen moeten treffen
Technologische veiligheid: als gegevens worden opgeslagen dan zul je technologische
veiligheidsmaatregelen moeten treffen
Transparantie: gegevensverwerkingsprocessen moeten transparant zijn
AVG geeft 6 gronden aan op basis waarvan persoonsgegevens verwerkt mogen worden, moet aan
een van deze gronden voldoen. Dit zijn:
-
Toestemming van het datasubject
Overeenkomst met datasubject waarvoor het noodzakelijk is de gegevens te verwerken
Wettelijke verplichting waarvoor verwerking noodzakelijk is
Algemeen belang waarvoor verwerking noodzakelijk is
Verwerking noodzakelijk voor bescherming vitale belangen datasubject
Verwerking noodzakelijk voor gerechtvaardigde belangen verantwoordelijke, als die
belangen voor de belangen van datasubject gaan
Verantwoordelijke voor gegevensbescherming kan beroep doen op de belangen die hij nastreeft
namens zichzelf of andere. Toch een aantal restricties:
-
Geldt niet voor overheidsinstanties
Moet gaan om ‘gerechtvaardigde’ belangen van organisatie
Deze belangen moeten belangrijker zijn dan belangen datasubject
Extra strikt bij minderjarige
C5
Bij beveiliging van informatievoorzieningen spelen de begrippen: bedreiging, kwetsbaarheid en
risico een belangrijke rol.
Bedreiging = proces of gebeurtenis met in potentie een verstorende invloed op de betrouwbaarheid
van een object. Bij informatievoorzieningen: apparatuur, programmatuur, gegevens, procedures en
mensen. Ze kunnen worden onderverdeeld naar aspecten van betrouwbaarheid die ze beïnvloeden:
-
Beschikbaarheid: op juiste momenten beschikbaar zijn
Integriteit: juist en volledig zijn
Vertrouwelijkheid: beperkt tot degene die daartoe bevoegd zijn
Bedreigingen kunnen ook op de volgende manier worden ingedeeld:
-
Menselijke bedreigingen: onopzettelijk handelen of misbruik en criminaliteit
Niet-menselijke bedreigingen: invloeden van buitenaf, storing in basisinfrastructuur en
storingen in apparatuur
Kwetsbaarheid = mate waarin betreffende object gevoelig is voor de betreffende bedreiging.
Risico = combinatie van kans dat een bedreiging zich voordoet x de mogelijke schade = Gemiddelde
schade over een bepaalde periode.
Schadeverwachting over een jaar = jaarlijkse schade verwachting (JSV). Bestaande uit acceptabele
risico’s = kosten zonder dat de bedrijfsprocessen wordt aangetast. Een tussengebied en de
onacceptabele risico’s = kosten waardoor de bedrijfsprocessen worden aangetast.
Kosten van beveiligingsmaatregelen kunnen ook worden meegenomen in de JSV. Hoe meer er wordt
uitgegeven aan beveiligingsmaatregelen, hoe lager de schadeverwachting.
Organisatie kan op verschillende manieren omgaan met de ernstige maar niet fatale verstoringen van
bedrijfsprocessen:
-
Risicodragend: nemen relatief veel risico
Risiconeutraal: middenweg
Risicomijdend: zoveel in beveiliging investeren als redelijkerwijs mogelijk is
Een risicoanalyse maakt duidelijk tegen welke bedreigingen maatregelen genomen dienen te
worden. Om de juiste maatregelen te kiezen kan de incidentcyclus worden gebruikt:
Als een bedreiging zich manifesteert spreken we van een verstoring, oftewel een
beveiligingsincident = incident dat betrouwbaarheid van de informatievoorziening verstoord. Door
een incident ontstaat er schade en dit dient herstelt te worden. In alle delen kan ingegrepen worden
met passende maatregelen.
De maatregelen kunnen ook worden onderverdeeld op basis van de incidentcyclus:
Preventieve maatregelen voorkomen dat een bedreiging een verstoring wordt. Deze maatregelen
kunnen worden opgedeeld in 2 soorten:
-
Permanente maatregelen: maatregelen beveiligen continue, zonder dat ze opgestart hoeven
te worden (antibrand vloerkleed)
Getriggerde maatregelen: beveiligen pas nadat ze zijn opgestart, hiervoor moet de
manifesterende bedreiging opgemerkt wordt (uniterruptible power supply)
Detectieve maatregelen: stellen vast of een bedreiging zich manifesteert bij een daarvoor kwetsbaar
object. Moet ook een actie aan gekoppeld worden anders zinloos (malwarescanners, rookmelders,
intrusion-detectie)
Responsieve maatregelen: negatieve invloed van een gedetecteerde verstoring minimaliseren indien
de preventieve maatregelen dit niet is gelukt (verwijderen of neutraliseren malware, offline brengen
van netwerksegment die niet veilig is, melden van datalek en verzekeren)
Correctieve maatregelen: herstellen objecten die bij een incident beschadigt of verstoord zijn.
Naast de indeling op basis van de beveiligingscyclus kunnen maatregelen ook worden ingedeeld naar
de wijze waarop ze gerealiseerd worden:
-
-
Organisatorische maatregelen: maatregelen die betrekking hebben op de organisatie, de
mensen en de procedures (informatiebeveiligingsstrategie, functiescheiding, opleiding &
voorlichting en portier bij deur)
Logische maatregelen: maatregelen die zijn opgenomen in programmatuur (wachtwoord
authenticatie, encryptie, digitale handtekening, integriteitscontrole, securityparameter)
Fysieke maatregelen: maatregelen gerealiseerd met apparatuur of andere materiële
middelen (brandblussers, noodstroomvoorziening en sloten)
Managers sneller geneigd aandacht te besteden aan productie i.p.v. beveiliging, doordat:
-
Leggen beslag op dezelfde middelen
Middelen die in productie gestopt worden hebben voorspelbare resultaten, in beveiliging
niet
Feedback uit productie zichtbaar, beveiliging niet
Verschillende stadia met betrekking tot informatiebeveiliging:
Social engineering = aanvallers gebruiken misleiding, bedrog en overtuigingstechnieken als
aanvalstechniek om hun doelwit gevoelige informatie te laten delen of kwaadwillige acties uit te
laten voeren. Vaak voorkomende techniek, uit de data van de ISACA en RSA Conferencevragenlijstkwam naar voren dat 46,45% van de organisaties succesvol is aangevallen op deze manier.
Uit rapport internet security threat rapport blijkt dat social engineering op nummer 4 staat (15,8%)
van meest voorkomende oorzaken datalek. Ook op ene grootste oorzaak in identiteitsfraude (6,4%).
Het wordt ook vaak als springplank gebruikt voor een andere aanval.
De routine activity theory kan worden gebruikt bij de uitleg van social engineering. De problem
analysis triangle een onderdeel van de andere theory verklaard dat een misdaad plaatsvind wanneer
een gemotiveerde aanvaller en een passend doelwit samenkomen op eenzelfde tijd en plaats met
een gebrek aan effectieve controleurs. Er kunnen ook vanuit psychologisch perspectief 4 facetten
worden onderscheiden:
-
-
-
-
Misleiding door intimidatie: misleiding ontstaat wanneer communicatiefactoren de
informatie in hun berichten aanpassen om een betekenis over te brengen die afwijkt van de
waarheid zoals zij dit kennen. Mensen herkennen waarheid en leugen gemiddeld 54%
correct.
Overtuigingsprincipes: er bestaan 6 overtuigingsprincipes die aanvallers gebruiken:
1. Autoriteit: mensen luisteren snel naar autoritaire mensen
2. Conformiteit: door iemand idee te geven dat andere dit gedrag ook vertonen zijn zij
geneigd dit gedrag ook te vertonen
3. Wederkerigheid: bereidheid om gift te beantwoorden met tegengift.
4. Vasthoudendheid: blijven vasthouden aan een belofte of overeenkomst
5. Schaarste: product, dient of informatie heeft beperkte beschikbaarheid
6. Sympathie: mensen hebben neiging om andere met zelfde interesses, attitudes en
overtuigingen aardiger te vinden
Cognitieve fout en heuristieken: verklaard vanuit duale systeemtheorie: systeem 1 is een
automatisch systeem dat snel, onbewust en met weinig moeite redeneert op basis van
heuristieken. Systeem 2 is een gecontroleerd systeem dat bewust en relatief langzaam
redeneert. Beslissingen worden vaak gemaakt aan de hand van vuistregels = systeem 1. Ook
kan hier geredeneerd worden met beschikbaarheidsheuristiek = wanneer iets onmiddellijk
herinnerd wordt, is het belangrijker dan wanneer iets niet onmiddellijk herinnerd wordt
(keuze wordt gebaseerd op recente informatie). Ook optimisme-bias speelt een rol =
mensen geloven dat negatieve gebeurtenissen vaker voorkomen bij anderen dan bij zichzelf,
en andersom.
Verdediging tegen social engineering: eerste stap: mensen bewust te maken van zowel het
bestaan ervan, als wat ze moeten doen om zich te verweren. Hierin zit waarheidsbias
verwikkeld = mensen gaan ervan uit dat mensen niet liegen en de meeste communicatie
eerlijk is. Tweede stap: terugbel-aanpak: de gedachte achter deze aanpak is om de identiteit
te achterhalen via een vertrouwde en geverifieerde route.
3 conclusies met betrekking tot interventies:
-
-
-
Bewustwording van de gevaren, karakteristieken en tegenmaatregelen van social
engineering tonen aan dat dit een effectieve manier is om de aanvaller te neutraliseren.
Daaruit komen twee suggesties voor een training voort: hoe kun je de verschillende
overtuigingsprincipes herkennen en hoe reageer je daarop? Daarnaast is het belangrijk om
de partij die contact met jou opneemt te laten bewijzen dat ze zijn wie ze zeggen te zijn.
Een interventie alleen op korte termijn een effect heeft op het reduceren van het aantal
slachtoffers.
Effect van een phishingmail is groter bij een gepersonaliseerde e-mail. Daarnaast heeft een
groep jonge medewerkers die tevens kort in dienst is het meeste baat bij een interventie
(groeptraining).
Wees voorzichtig met het uitrollen van bewustwordingscampagnes. Wanneer mensen niet
beseffen dat ze gevaar lopen, zullen ze ook moeilijker tegenmaatregelen accepteren.
C6
Cybercriminaliteit = strafbare gedragingen waarbij computers en netwerken zowel het doelwit als
middel van criminaliteit. De gedragingen bestaan uit:
-
Beschikbaarheid: opslag, verwerking en overdracht van gegevens
Integriteit: juistheid en correctheid van gegevens en programma’s
Exclusiviteit: onbevoegde nemen geen kennis van vertrouwelijke gegevens
Hacken (computervredebreuk) = opzettelijk en wederrechtelijk binnendringen in een
geautomatiseerd werk. Meest voorkomend. Heeft ook een bredere betekenis buiten criminele
dingen (creatieve en innovatief gebruik van technologie).
Ethisch hacken = hacken zonder toestemming van eigenaar, maar niet met doel strafbare feiten te
plegen. Rechter houdt rekening met:
-
Proportioneel: niet vaker computervredebreuk gepleegd en er zijn niet meer gegevens
overgenomen is dan nodig om doel te bereiken
Subsidiair: waren er minder verregaande manieren voorhanden om zelfde doel te bereiken
Nationaal Cyber Security Centrum hebben leidraad voor ethisch hacken, Coordinated vulnerability
disclosure = organisatie en melder kunnen overeenkomen geen aangifte te doen, zolang melder
binnen de randvoorwaarden van het beleid van bedrijf of instelling opereert.
Malware = verzamelnaam voor verschillende typen kwaadaardige software en vereist een handeling
van de computergebruikers.
Worm = kwaadaardige software met de functionaliteit zichzelf te verspreiden binnen een netwerk
van computers.
Trojaans paard = onschuldig lijkend programma dat eigenlijk malware bevat.
Ransomeware = malware die bestanden op afstand kan versleutelen.
Banking malware = kwaadaardige software gericht op het uitvoeren van frauduleuze banktransacties
via computer van slachtoffer. Geld wordt overgemaakt naar katvanger = gene die zijn rekening
openstelt voor ontvangen van de bedragen.
Botnet = netwerk van geïnfecteerde computers met malware dat door een of meerdere beheerders
(botmaster) wordt aangestuurd. Botmaster stuurt via server aan = command-and-control server.
DDoS aanval = bezoeken vele computers tegelijk een andere computer (bijv. server van website)
zodat deze overbelast raakt.
Gedigitaliseerde criminaliteit = criminaliteit waarbij computers en internet worden gebruikt om
traditionele criminaliteit te plegen. Het gaat hierbij om:
-
-
Internetoplichting: listige kunstgreep of een samenweefsel van verdichtsels waardoor het
slachtoffer wordt bewogen tot het afgeven van een goed of gegevens en de dader zichzelf
wederrechtelijk kan bevorderen.
Online drugshandel: softdrugs online verkopen nog niet getolereerd gebeurd doordat er
lastig gecontroleerd worden.
Witwassen en virtuele valuta: cryptocurrencies worden gebruikt om illegale goederen en
diensten te kopen en kunnen worden gebruikt om geld wit te wassen. Er is geen centrale
-
autoriteit die toeziet op het beheer van het geld. Een netwerk van gebruikers controleerd
gezamenlijk de transacties en de legitimiteit = blockchain. De coins worden opgeslagen in
een bestand = bitcoin wallet.
Online zedendelicten: met bekende onderwerpen zoals kinderporno, sexting, grooming
(online binnenhalen van een minderjarige met oogmerk seksueel misbruik te plegen of
kinderporno grafische afbeeldingen te produceren), sextortion (gebruiken van seksueel
getint beeldmateriaal als chantagemiddel) en wraakporno.
C7
De nationaal coördinator terrorismebestrijding (NCTV) en veiligheid onderscheidt in
cybersecuritybeeld Nederland (CSBN) 4 risico’s voor de nationale veiligheid:
-
Ongeautoriseerde inzage in informatie, in het bijzonder door spionage.
Ontoegankelijkheid van processen, als gevolg van sabotage en inzet van ransomeware
Schendig van de veiligheid van de digitale ruimtes
Grootschalige uitval: een situatie waarin één of meer processen zijn verstoord als gevolg van
natuurlijke of technische oorzaken of als gevolg van niet-moedwillig menselijk handelen.
Het Cybersecuritybeeld Nederland (CSBN) biedt inzicht in de digitale dreiging, de belangen die
daardoor kunnen worden aangetast, de weerbaarheid en risico’s. Het accent ligt daarbij op de
nationale veiligheid. Dit zijn de kernboodschappen uit de CSBN:
-
digitale veiligheid is een randvoorwaarde voor het functioneren van de maatschappij.
De digitale dreiging is permanent.
De digitale weerbaarheid is nog niet overal op orde vanwege het ontbreken van
basismaatregelen.
Vergroting van de weerbaarheid is het belangrijkste instrument om digitale risico’s te
beheersen.
Een compleet en scherp beeld van de weerbaarheid van vitale processen ontbreekt (nog).
Digitale risico’s zijn onverminderd groot en staan niet los van andere risico's.
De afhankelijkheid van Nederland van landen met een offensief cyberprogramma vormt een
risico verhogende factor.
Risico's voor de Nationale Veiligheid: sabotage en spionage door staten, uitval. Daarnaast zijn
cyberaanvallen door criminelen relevant.
Voorzieningen om op afstand te werken kunnen worden ingedeeld in 4 categorieën:
-
Voorzieningen om online te vergaderen zoals Zoom, Teams, Jitsi, Google meet en Webex.
Voorzieningen om de kantooromgeving of kantoorapplicatiesop afstand te bedienen zoals
Virtual Desktop Infrastructure (VDI), Remote Desktop Service (RDS) en TeamViewer.
Systemen om op netwerkniveau verbinding met kantoor te maken: VPN-oplossingen.
schaduw-ICT: oplossingen die niet behoren tot de goedgekeurde kantoorapplicaties, maar
waar wel werk gerelateerd een beroep op wordt gedaan. Voorbeelden zijn berichtenapps,
privé-email en privécloudapplicaties.
De twee belangrijkste verstoring van digitale processen zijn:
-
DDoS-aanval: De Nationale Beheersorganisatie Internet Providers (NBIP) stelt in haar
jaarlijkse DDoS data rapport dat DDoS-aanvallen in 2020 krachtiger en complexer zijn
geworden, terwijl ook het aantal en de duur van DDoS-aanvallen toenam. Aanvallers zouden
bovengemiddeld vaardig zijn. Daarnaast bestaat het fenomeen RDDoS (Ransom Distributed
Denial-of-Service): afpersing met een DDoS-aanval als drukmiddel.
-
Ransomeware: Er is een ontwikkeling geweest naar ‘Big Game Hunting’, het compromitteren
van zorgvuldig geselecteerde organisaties.Meestal betreft het kapitaalkrachtige organisaties,
verantwoordelijk voor continuïteit van processen of in bezit van unieke data. Daarnaast is
ook het drukmiddel veranderd. Waar aanvankelijk data of systemen werden versleuteld,
wordt nu ook data gestolen en gedreigd om deze publiek te maken.
Cybercriminaliteit onderscheid zich door:
-
Met minimale inzet en middelen kan een dader een grote hoeveelheid criminele handelingen
wereldwijd uitvoeren en daarmee maximaal effect sorteren = schaalbaarheid
Uiterst transnationaal. Daders, dienstverleners, slachtoffers en gebruikte of misbruikte
infrastructuren kunnen zich verspreid over de hele wereld bevinden, wat uitdagingen met
zich meebrengt voor de opsporing, vervolging en bestrijding ervan.
Er kan onderscheid worden gemaakt tussen 3 dader categorieën:
-
Cybercriminele dienstverleners: Deze dienstverleners bieden Cybercrime-as-a-Service (CaaS)
aan.
Afhankelijke plegers: Hierbij gaat het om de voornaamste afnemers van cybercriminele
Diensten
Autonome groepen: Deze dadercategorie is kleiner qua omvang, maar verantwoordelijk voor
vaak geavanceerde aanvallen met een hoge organisatiegraad en een wereldwijde impact.
Het betreft veelal losse, niet hiërarchische samenwerkingsverbanden die al langer actief zijn,
daardoor veel kapitaal en expertise hebben en zo in staat zijn om langdurige cybercriminele
aanvalscampagnes uit te voeren. Zulke campagnes vergen een lange aanlooptijd, in het begin
gekenmerkt door veel investeringen en weinig opbrengst. Indien succesvol, kan de opbrengst
echter in de miljoenen euro’s lopen. Deze groepen zijn autonoom, omdat ze hun
cybercriminele proces hoofdzakelijk in eigen beheer ontwikkelen en uitvoeren.\
Hieronder staat de ransomeware kill chain:
Het merendeel van de ransomware-aanvallen kenmerkt zich als Ransomeware as a service (RaaS).
Ransomware-ontwikkelaars vonden hierin een middel om hun malware op grote schaal te
verspreiden, zonder zelf direct risico te lopen. RaaS biedt de afnemers van dit product de kans om
ook zonder noemenswaardige programmeervaardigheden ransomware toe te passen op netwerken
of systemen. Deze afnemers, ook wel affiliates genoemd, vallen onder de categorie van afhankelijke
plegers. Voor elke geslaagde ransomware-aanval betalen zij de ransomware-ontwikkelaar een vast
overeengekomen percentage van het betaalde losgeld.
Big game hunting = Hierbij gaat het om gerichte aanvallen op grote organisaties, waarbij maatwerk
wordt verricht om tot maximaal financieel gewin te komen. Het zijn vooral autonome groepen. In dit
proces werken vaak verschillende groepen met ieder hun eigen specialisatie samen, wat de dreiging
aanzienlijk verhoogt.
De nationale veiligheid is in het geding wanneer het doelwit van zo’n aanval onderdeel is van de
vitale infrastructuur (waaronder de Rijksoverheid en alle vastgestelde vitale processen) en de aanval
de continuïteit van vitale processen verstoort.
Twee belangrijkste soorten oplossing voor de ransomeware kill chain:
-
-
Offensief door in internationaal verband de belangrijkste plegers en dienstverleners te
bestrijden, zoals het offline halen van het Emotet-botnet en het opsporen van de
verantwoordelijke criminelen. Of door slachtoffers in staat te stellen gratis hun bestanden te
ontsleutelen, zoals bij NoMoreRansom mogelijk is.
Defensief door de weerbaarheid te verhogen voor alle fasen van de kill chain en zodoende
de gelegenheid voor de aanvallers te beperken om toe te slaan. Dit is soms al mogelijk met
eenvoudige stappen, zoals het toepassen van tweefactorauthenticatie.
De meest kansrijke oplossing ligt dan ook in het structureel laten stijgen van de kosten voor de
criminelen ten opzichte van de baten van ransomware. Dit kan alleen als politie, het NCSC en OM
samen met publieke en private partners en (potentiële) slachtoffers een vuist maken door proactief
samen te werken en daarbij gericht informatie en inzichten te delen.
De digitale ruimte is de complexe omgeving die het resultaat is van onderling verweven digitale
processen, ondersteund door wereldwijd gedistribueerde fysieke ICT en verbonden netwerken. Drie
invalshoeken kunnen worden onderscheiden:
-
-
-
Digitale processen (proceslaag). Het gaat hier om de wijze waarop organisaties en mensen
de digitale ruimte gebruiken en daarmee om de functionaliteit van de digitale ruimte voor de
samenleving en economie.
ICT, netwerken en protocollen (technische laag). Deze laag maakt digitale processen
mogelijk en omvat uiteenlopende en samenhangende vormen van hard- en software en
netwerken. Internet, als netwerk van netwerken, vormt voor een groot deel die laag.
Risicomanagement en/of governance (governance-laag). Het gaat hier om de wijze waarop
digitale processen en de technische laag kan en moet worden aangestuurd.
Belangrijke elementen voor functioneren digitale ruimte:
-
-
Domaine name system (DNS): systeem en netwerkprotocol dat domeinnamen in tekst
vertaalt naar ip-adressen en andersom
Border gateway patrol (BGP): belangrijkste routeringsprotocol van het internet
Network time protocol (NTP): een netwerk tijdstandaard te regelen
Fysieke internet infrastructuur: zeekabels en glasvezel, grote internet exchanges en grote
datacenters
Vertrouwensdiensten: authenticatie, digitale ondertekening en versleuteling. Dit gebeurt
met behulp van digitale certificaten die worden uitgegeven door zogeheten Certificate
Authorities.
Elementen die cruciaal zijn voor de vitale infrastructuur: het gaat hierbij enerzijds om de
lokale fysieke infrastructuur in beheer van netwerkbeheerders die zorgt voor de
connectiviteit van gebruikers en anderzijds om specifieke diensten, applicaties, peeringconnecties of servers die van belang zijn voor specifieke vitale infrastructuur.
Belangrijke elementen die publieke kern van het internet vormen (WRR):
-
-
Transmission Control Protocol (TCP): zorgt er voor dat de gegevens aankomen zoals ze zijn
verstuurd en dat eventuele communicatiefouten, zowel in de gegevens zelf als in de volgorde
van de gegevens, kunnen worden opgevangen.
Internet Protocol (IP): zorgt voor de adressering van internetverkeer zodat het bij het
beoogde doel aankomt.
Overige als belangrijk te beschouwen elementen in de proceslaag:
-
De (Nederlandse) vitale processen ‘Internet en datadiensten’, ‘Internettoegang en
dataverkeer’ en ‘Spraakdiensten en SMS’.
Mondiale ICT-leveranciersketens
Dit model visualiseert hoe via het binnendringen in een van de ‘ketens’ er makkelijk naar de andere
ketens gegaan kan worden.
Statelijke actoren zetten de volgende middelen in voor eigen belang:
-
Beïnvloeding en inmenging (inclusief desinformatie)
Spionage
Voorbereidingshandelingen op en daadwerkelijke verstoring en sabotage
Militaire activiteiten
Inzet van economische instrumenten
Diplomatieke en internationaal-politieke activiteiten
Juridische activiteiten en/of lawfare
De eerste drie categorieën lenen zich bij uitstek voor de inzet van digitale middelen.
Er zijn 15 categorieën doelwitten van statelijke actoren:
-
Diaspora: bevolkingsgroepen die van oorsprong uit een ander land komen en door het
herkomstland nog worden gezien en behandeld als onderdanen.
Geloofsgemeenschappen
Groepen en/of personen vatbaar voor polariserende boodschappen
Gelegenheidsdoelwitten
High potentials: personen met potentie om op kennis- of invloedrijke posities terecht te
komen.
Instituties en functionarissen van onze democratische rechtsstaat
Democratische processen
-
Adviesorganen, die door onderzoek en advisering een rol hebben bij politieke
besluitvorming.
Onderwijsinstellingen
Wetenschap, kennisinstellingen en denktanks.
Het maatschappelijk middenveld, uiteenlopend van media tot sportverenigingen.
In Nederland gevestigde internationale organisaties
Het bedrijfsleven
Vitale infrastructuur en leverancier
Voor Nederland cruciale internationale verbanden
Op het gebied van software zijn de volgende lessen te trekken:
-
-
-
-
-
Kwetsbaarheden in software ontstaan tijdens de levenscyclus product: doordat er altijd
wordt voorgebouwd op oud product. Ook de gebruikte programmeertaal, het hergebruik van
reeds bestaande onderdelen en (inconsistente) lagen in de software-architectuur kunnen
kwetsbaarheden introduceren. Ook wordt vaak door patches eventuele problemen proberen
op te lossen om geld te besparen. Ook het bekendmaken van zwakke plekken is een
dilemma.
Aanschaf en gebruik van software door organisaties: De ongelijke verhouding tussen
fabrikanten en afnemers van softwareproducten dwingt te weinig af dat fabrikanten zich
inspannen om de veiligheidsrisico’s te beheersen. Het aanbieden van software vanuit de
cloud verplaatst de verantwoordelijkheid om te patchen van de afnemer naar de fabrikant,
maar gaat ook gepaard met nadelen voor afnemers zoals minder autonomie en privacy. Niet
alle organisaties hebben de expertise en capaciteit om maatregelen voldoende uit te voeren,
of onderkennen niet de urgentie om hier capaciteit op in te zetten.
Incidentbestrijding: De incidentbestrijding in Nederland wordt momenteel echter
belemmerd door het feit dat er geen nationale structuur bestaat die erin voorziet dat alle
organisaties tijdig informatie over kwetsbaarheden in software ontvangen. NCSC die
informatie ontvangt over kwetsbaarheden deelt dit nu maar met een beperkte groep. Wel
streeft de rijksoverheid er naar dat de informatie die NCSC wel wil delen beter wordt
uitgewisseld via het zogenoemde Landelijk Dekkend Stelsel, waarin sectorale organisaties en
(groepen) bedrijven ook op vrijwillige basis informatie met elkaar delen die cruciaal is voor
het bestrijden van incidenten.
Leren van voorvallen: Een platform voor gezamenlijk leren door fabrikanten, organisaties die
software gebruiken en andere relevante publieke en private partijen ontbreekt. Om de
veiligheid te kunnen verbeteren is het belangrijk om te onderzoeken wat er gebeurde en
welke factoren bijdroegen aan het ontstaan van voorvallen. Belemmeringen zijn: veel
organisaties komen niet uit als zij zijn aangevallen, de geven onderzoeken niet de
verklaringen die nodig zijn om het systeem te verbeteren, verspreiden organisaties de lessen
uit voorvallen meestal niet buiten de eigen organisatie of gemeenschap.
Beleid en internationale context: Er is Europese regelgeving ontwikkeld gericht op
incidentbestrijding, en verantwoording op het gebied van informatiebeveiliging voor de
financiële sector. Binnenkort komt er ook regelgeving voor de toepassing van software in
producten (Internet of Things). Voor software zelf is er behalve regulering voor bepaalde
toepassingen nog geen internationaal kader. Een belemmering daarbij is dat
kwetsbaarheden niet alleen een probleem zijn voor landen, maar dat landen ze zelf ook
inzetten als middel bij hun eigen activiteiten zoals opsporing en inlichtingen. Daarnaast
wordt internationale samenwerking belemmerd door ideologische verschillen, zoals hoe de
staat zich verhoudt tot het internet en hoe aanvallers af te schrikken.
Bij het verhelpen van kwetsbaarheden gaat de aandacht van de fabrikant uit naar het symptoom.
Het verhelpen van de fundamentele oorzaken vraagt om fundamentele ingrepen. Vanwege de
levensduur en omvang van softwareproducten kosten dergelijke fundamentele ingrepen veel tijd en
geld, wat dus vaak niet gebeurd. Dit is zorgelijk om 3 redenen:
-
-
het maatschappelijk verkeer en de productie van goederen en diensten steeds meer
afhankelijk van digitale systemen.
de meeste software speelt een veiligheid kritische rol in deze digitale systemen.
Kwetsbaarheden in dergelijke software zetten de digitale toegangspoort van een organisatie
open voor onbevoegde gebruikers.
Kwetsbaarheden in software kunnen daardoor doorwerken in het hele ICT-landschap van
een organisatie en, zoals blijkt uit casussen in dit rapport, zelfs in het ICT-landschap van
(delen van) sectoren.
Om de digitale veiligheid van organisaties te kunnen waarborgen is het nodig om belemmeringen
weg te nemen en de overstap te maken naar een nieuwe structuur, waarin de ongelijkheid tussen
fabrikant en afnemer zo veel mogelijk wordt verminderd en informatie zo snel en doeltreffend
mogelijk wordt uitgewisseld.
Daarnaast is het cruciaal voor betrokken partijen om in gezamenlijkheid te leren van voorvallen die
plaatsvinden, zowel vóórdat als nádat software op de markt komt.
Samenwerking maakt ook een doelmatiger inzet van de schaarse capaciteit aan cybersecurityexpertise mogelijk.
Digitaal systeem = de techniek bestaande uit: hardware, software en de fysieke omgeving. De
mensen die de techniek gebruiken en de organisatie waarin de techniek en de mensen zijn.
Socio-technisch systeem = de interacties van de bovenstaande onderdelen met de samenleving.
Een veel gestelde veiligheidseis van afnemers aan leveranciers is het mogen uitvoeren van
penetratietesten.
Proof of Concept code = Ethische hackers kunnen gevonden kwetsbaarheden aan de fabrikant en/of
aan autoriteiten melden.
Common Vulnerabilities and Exposures (CVE) database = Dit is een database met kwetsbaarheden
die zijn ontdekt en gepubliceerd door organisaties van over de hele wereld. t. De score van de
kwetsbaarheid wordt berekend door experts aan de hand van het Common Vulnerability Scoring
System (CVSS).
zero day exploit = Aanvallers maken dan misbruik van de kwetsbaarheid voordat de fabrikant zijn
afnemers over de kwetsbaarheid heeft kunnen informeren.
Een voorbeeld van een gerichte aanval is spear phishing middels social engineering, waarbij de
aanvaller zich verdiept in het slachtoffer en probeert het vertrouwen te wekken.
Een andere tactiek is om de aanval niet te richten op de organisatie zelf, maar op een toeleverancier
of klant van de organisatie en bijvoorbeeld via updates van deze leveranciers of de software die deze
leveranciers gebruiken de systemen van hun klanten binnen te dringen. Dit wordt ook wel een
supply chain attack genoemd.
Veiligheidsrisico’s = de mogelijkheid dat een systeem als gevolg van interne condities of externe
omstandigheden zijn omgeving kan schaden.
beveiligingsrisico’s = namelijk dat de vertrouwelijkheid, beschikbaarheid en/of integriteit van het
digitale systeem kan worden aangetast door zijn omgeving, bijvoorbeeld door aanvallers.
Voordat een (cyber)voorval plaatsvindt, zijn er verschillende fasen te onderscheiden waarin het risico
van een dergelijk voorval kan worden weggenomen of worden beperkt:
-
-
-
proactie: maatregelen nemen om structurele oorzaken van onveiligheid en incidenten weg te
nemen. In het fysieke veiligheidsdomein gaat het dan onder meer om het niet verlenen van
een vergunning aan een bedrijf of activiteit als de risico’s voor de omgeving te groot zijn;
preventie: maatregelen nemen die incidenten voorkomen en/of de gevolgen beperken, zoals
het instellen van een firewall of andere beveiligingsmaatregelen;
preparatie: maatregelen nemen die een goede reactie op een kritieke gebeurtenis mogelijk
maken. Een voorbeeld hiervan is het opstellen van een crisisplan en het trainen en oefenen
op crisissituaties.
incidentbestrijding (respons): dit zijn de activiteiten die plaatsvinden als het incident
daadwerkelijk is opgetreden;
nazorg: dat zijn de maatregelen die nodig zijn om de situatie weer te herstellen naar de
normale gang van zaken. Zo is bij een ransomware aanval het herstel van gegevens een
belangrijke voorwaarde voor een organisatie om weer te kunnen functioneren.
Er zijn wat dat betreft per fase vier soorten reacties mogelijk op het risico (beheersmaatregelen):
vermijden of voorkomen (terminate), verminderen (treat), overdragen of uitbesteden (transfer) of
accepteren (take). Het resterende risico wordt restrisico genoemd (residual risk).
Related documents
Download