Om te voorkomen dat de alsmaar toenemende cybercriminaliteit de overhand neemt, moet informatiebeveiliging uiterst serieus genomen worden. Anders zijn de gevolgen niet te overzien. Afpersing, diefstal van persoons- of bedrijfsgegevens en uitval van ICT-diensten hebben een hoge impact op de economie. In dit blogartikel beschrijf ik waarom informatiebeveiliging zo belangrijk is, maar belangrijker nog: welke stappen organisaties kunnen ondernemen om informatiebeveiliging in te zetten tegen de toenemende cybercriminaliteit.
Cybercriminaliteit neemt toe
Tegenwoordig lijkt het alsof geen dag voorbij gaat zonder melding van een hack of datalek. Recente voorbeelden hiervan zijn:
- Een lek van financiële informatie bij een farmaceutisch bedrijf, waarmee beurshandel met voorkennis mogelijk was.
- Een gat in de beveiliging bij een bank, waarmee een onderzoeker toegang had tot 25 miljard dollar.
- Het gijzelen van digitale documenten door hackers, waarbij losgeld gevraagd werd.
Het wordt steeds gemakkelijker om op hetzelfde moment op meerdere plekken digitaal in te breken, bijvoorbeeld door een kwetsbaarheid in een softwarepakket dat wereldwijd gebruikt wordt. Het schrijnende hieraan is dat het in de meeste gevallen met eenvoudige maatregelen te bestrijden is.
Meestal is cybercriminaliteit gericht op financieel gewin. Dat is uitermate vervelend voor bedrijven en hun klanten. De schade beperkt zich niet alleen tot het materiële aspect, maar de immateriële schade speelt ook een rol, namelijk het imago en het vertrouwen die een flinke deuk oplopen. In extreme gevallen kan het leiden tot faillissement.
Informatiebeveiliging is méér dan alleen techniek
Wie echter denkt aan informatiebeveiliging, neigt vrij snel naar de technische kant ervan. De techniek is echter slechts een deel van de oplossing. In de richtlijnen van de ISO 27001 is te lezen dat er behalve technische maatregelen, ook organisatorische en procedurele maatregelen getroffen moeten worden. Deze maatregelen moeten volgens ISO gebaseerd zijn op een risicoanalyse of een wettelijke verplichting.
De techniek is slechts een deel van informatiebeveiliging.
Laurens van der Blom
Wetgeving
De landelijke overheden en de Europese Unie hechten steeds meer waarde aan het beschermen van mensen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens. In het kader van wet- en regelgeving worden er dan ook veranderingen teweeg gebracht. Nu geldt de Nederlandse Wet bescherming persoonsgegevens (Wbp), maar deze wordt vanaf 25 mei 2018 definitief vervangen door de inmiddels gepubliceerde Europese algemene verordening gegevensbescherming (de Europese privacyverordening). Organisaties zijn verplicht om tegen die tijd daaraan te voldoen. Daarbij zijn de beschikbaarheid, integriteit en vertrouwelijkheid van informatie essentieel als beveiligingsprincipes (oftewel de BIV-driehoek) en neemt privacy een centrale plek in.
Beschikbaarheid, integriteit en vertrouwelijkheid van informatie zijn essentieel als beveiligingsprincipes.
Laurens van der Blom
Organisatorische en procedurele maatregelen op basis van gedegen risicoanalyse
Organisatorische en procedurele beveiligingsmaatregelen kunnen op een structurele wijze getroffen worden door een Information Security Management System (ISMS) in te richten. Dat is een set van organisatorische beleidslijnen die strikte eisen stellen aan informatiebeveiliging binnen de bedrijfsprocessen. Een ISO 27001 certificering, bij voorkeur ook gecombineerd met een ISO 9001 certificering ten behoeve van kwaliteitsmanagement (‘zeg wat je doet, doe wat je zegt en bewijs het’), ondersteunt bij het inrichten van een ISMS. Op deze wijze worden op basis van een gedegen risicoanalyse beveiligingsmaatregelen gekozen die in bedrijfsprocessen geïmplementeerd worden. Deze worden ook periodiek getoetst om effectiviteit en efficiëntie op de lange termijn te garanderen, rekening houdend met de snelle veranderingen in de markt en in de wet- en regelgeving.
Welke organisatorische en procedurele maatregelen treft BCT?
BCT implementeert haar ISMS op basis van deze ISO certificeringen en is bovendien ISO 27001:2013 gecertificeerd. Hierbij wordt speciale aandacht geschonken aan privacy en de BIV-driehoek. Tevens wordt de High Level Structure (HLS) van de nieuwste ISO 9001:2015 norm meegenomen. Dit verduidelijkt de relatie tussen een managementsysteemnorm en de strategische doelstellingen en operationele processen van een organisatie. Ook zorgt de HLS voor eenduidige terminologie. Hierdoor wordt de integratie van verschillende managementsysteemnormen aanzienlijk vereenvoudigd. BCT werkt daarnaast met datacenters die minimaal ISO 27001 gecertificeerd zijn.
BCT implementeert haar ISMS op basis van deze ISO certificeringen en is bovendien ISO 27001:2013 gecertificeerd.
Laurens van der Blom
Technische maatregelen tegen cybercriminaliteit
De technische maatregelen voor informatiebeveiliging kunnen preventief, detectief, repressief en correctief van aard zijn. Penetratietesten kunnen aanzienlijk ondersteunen in het effectief doorvoeren van zulke maatregelen. Pogingen tot inbraak moeten immers mislukken (preventief) en middels centrale monitoring en signalering ontdekt worden (detectief). Daarnaast moeten de gevolgen van een eventuele daadwerkelijke inbraak ingeperkt (repressief) of zelfs teruggedraaid worden (correctief).
De technische beveiligingsmaatregelen van infrastructuur en software kunnen het beste gelaagd toegepast worden van buiten naar binnen: perimeter, netwerk, platform, applicatie en data. Dit is conform het Layered Security Framework concept van Alex Berson en Larry Dubov. Het is raadzaam om hierbij de beveiligingsrichtlijnen van instituten zoals NCSC en OWASP in acht te nemen. Het productontwikkelingsproces is bij voorkeur conform Secure Software Development van het Centrum Informatiebeveiliging en Privacybescherming (CIP).
Niet genoemd in de ISO-definitie, is er ook nog de fysieke beveiliging. Dit betreft het beveiligen van bijvoorbeeld het pand, serverruimten, netwerkkabels, switches en routers. Zelfs de reikwijdte van een draadloze verbinding hoort erbij.
Welke technische maatregelen treft BCT?
BCT ontwikkelt haar nieuwste weboplossingen op basis van haar nieuwe, gelaagde EIM softwareplatform. Technische preventieve maatregelen die BCT daarin doorvoert, op basis van het Layered Security Framework, zijn onder andere:
- Encryptie van gegevensoverdracht (data in transit), zoals het versleutelen van verbindingen met Transport Layer Security (TLS), de opvolger van Secure Sockets Layer (SSL).
- Encryptie van gegevensopslag (data at rest), zoals database-encryptie.
- (Tweetraps)authenticatie en autorisatie: wie ben je en wat mag je doen? Dit is centraal geborgd in alle onderdelen en lagen van de weboplossingen van BCT door middel van standaard Identity Access Management (IAM) software.
- Beperkte datatoegang voor eindgebruikers door het toepassen van beveiligingsclassificaties, bijvoorbeeld vertrouwelijkheden met termen zoals ‘openbaar’, ‘vertrouwelijk’ en ‘zeer geheim’. Dit is het concept van data visibility.
De laatste twee punten vullen één van de meest essentiële beveiligingsprincipes in, namelijk vertrouwelijkheid.
Bij BCT toetsen we onze weboplossingen tegen kwetsbaarheden met behulp van vooraanstaande beveiligingsrichtlijnen van NCSC en OWASP. Verder is de uitgebreide security checklist van BCT gebaseerd op deze beveiligingsrichtlijnen. Dit is onderdeel van de ISO 25010 checklist van BCT om de benodigde kwaliteitsstempel op haar weboplossingen te zetten.
Kortom: informatiebeveiliging door privacy & security by design.
