Wat is informatiebeveiliging?

Informatiebeveiliging omvat alle preventieve, detectieve, repressieve en corrigerende maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te beschermen, gezien de doelen van een organisatie. Informatiebeveiliging bestond al lang voordat onze moderne digitale tijdperk aanbrak. Zelfs het oude Egyptische rijk had in zijn hoogtijdagen een speciale legergeneraal: de meester van de koninklijke geheimen. Het is gemakkelijk te begrijpen hoe waardevol informatiebeveiliging is in een militaire of inlichtingen context, waar het het verschil kan maken tussen leven en dood.

Voor organisaties van vandaag is de dreiging net zo reëel. Moderne 'meesters van geheimen' zijn onder andere Chief Information Security Officers en Information Security Managers.

Om informatie te beschermen, nemen organisaties een breed scala aan organisatorische, fysieke en logische maatregelen.

Waarom het beveiligen van informatie belangrijk is

In de loop der tijd is één ding altijd belangrijk gebleven: het 'need-to-know-principe'. Dit betekent dat gebruikers alleen toegang moeten hebben tot gegevens en diensten die ze nodig hebben voor hun functie. Toegangscontrole is niet alleen een voorwaarde voor de vertrojeelijkheid van informatie. Het helpt ook om de integriteit en beschikbaarheid van informatie te waarborgen. En dat is precies wat informatiebeveiliging betekent: ervoor zorgen dat een geautoriseerde gebruiker altijd toegang heeft tot juiste en volledige informatie. Europese wetten en regels zijn ontwikkeld om een solide basis te bieden voor het waarborgen van informatie. Uiteraard niet zonder reden. Het kleinste beveiligingslek kan worden misbruikt door dreigende actoren zoals cybercriminelen en door de staat gesponsorde hackers, met faillissement, verstoring van onze economie of ondermijning van onze democratie tot gevolg.

Het zakelijke model bij uitstek voor cybercriminelen is ransomware. Organisaties moeten kiezen tussen het betalen van 1 tot 2% van hun omzet als losgeld in cryptocurrency of het verliezen van gevoelige gegevens. De schade is aanzienlijk. In Nederland bedraagt de gemiddelde downtime van een bedrijf 10 dagen, het gemiddelde financiële verlies is 300.000 euro en meer dan 60% van kleine en middelgrote ondernemingen overleeft geen aanval. Voor non-profitorganisaties is de langetermijnschade vaak een afname van het vertrojeen van het publiek. Specifiek voor de overheid ondermijnt dit de democratie.

Risico's zoals ransomware zijn iets waar elke organisatie mee te maken moet hebben. Van grote overheidsinstellingen tot MKB-bedrijven en non-profitorganisaties zoals ziekenhuizen of universiteiten. En de risico's worden groter. De opkomst van het Internet of Things maakt bijvoorbeeld beveiliging ook een veiligheidsprobleem: de virtuele en fysieke wereld zijn letterlijk met elkaar verbonden.

Europese cyber en information security wetten

In de afgelopen periode heeft de Europese Unie een aantal richtlijnen gelanceerd om het beveiligingsniveau van lidstaten en de privacy van burgers te verhogen. De richtlijnen moeten worden geïmplementeerd in lokale wetgeving. De meest bekende richtlijn is waarschijnlijk de GDPR. Meer recentelijk is NIS2 geïntroduceerd.

Een overzicht van Europese cyber security wetten die je dient te overwegen als organisatie:

De Algemene Verordening Gegevensbescherming (AVG) (ook gekend als GDPR) stelt de eisen vast voor organisaties om de privacy en persoonlijke gegevens van individuen te beschermen. De richtlijn vereist bijvoorbeeld dat individuen in de meeste gevallen toestemming moeten geven voordat hun persoonlijke gegevens worden verwerkt.

De richtlijn verleent individuen ook bepaalde rechten: het recht om toegang te krijgen tot hun gegevens, onjuistheden te corrigeren, gegevens te wissen ("recht om vergeten te worden"), de verwerking te beperken, gegevensoverdraagbaarheid en bezwaar te maken tegen bepaalde soorten verwerking. Bovendien moeten organisaties een register bijhouden van welke persoonlijke gegevens zij verwerken, een privacy impact assessment uitvoeren en privacy by design toepassen.

Organisaties moeten eventuele inbreuken (bijvoorbeeld gegevenslekken) onmiddellijk implementeren en melden zodra ze zich voordoen. Een andere belangrijke vereiste is dat organisaties passende organisatorische en technische beveiligingsmaatregelen moeten implementeren.

De basismaatregelen die eerder zijn beschreven, vormen een absoluut minimum om aan deze vereiste te voldoen. In Nederland is de GDPR-richtlijn verankerd in de Algemene verordening gegevensbescherming (AVG).

De Netwerk- en informatiesystemen richtlijn (NIS2) is de opvolger van de NIS1. Het doel van NIS2 is om de veerkracht en de capaciteiten voor incidentenbeheer van de kritische sector te versterken. Daarnaast heeft het als doelstelling om Europa te verbinden en uniformeren op cyber security vlak. De NIS2 wordt een game changer genoemd tegenover de NIS1 vanwege deze redenen: 

• Breidt de reikwijdte van de sectoren die onder de richtlijn vallen uit van zeven naar zeventien kritieke industrieën.

• Introduceert nieuwe vereisten voor cybers security en incidentbeheer.

• Intensiveert het toezichtsregime.

• Versterkt de sancties voor organisaties die niet voldoen aan de vereisten.

• Introduceert verantwoordelijkheid van het topmanagement voor het niet naleven van cybersecurityverplichtingen.

• Bevat strengere rapportagevereisten in geval van een cybersecurityincident.

• Streeft naar harmonisatie van cybersecurityvereisten en sanctieregimes in EU-lidstaten.

NIS2 richt zich expliciet op risico's in de toeleveringsketen van de kritische sector. De kwetsbaarheden van één enkele kritieke organisatie zijn voldoende om een hele samenleving in gevaar te brengen, zelfs als de rest van de kritieke entiteiten volwassen is in hun risicobeheer op het gebied van cybersecurity.

Daarom streeft NIS2 met de bovengenoemde wijzigingen naar een minimumniveau van cybersecurity in de hele EU. Een geharmoniseerde benadering van cybersecurity zal de waarschijnlijkheid en de impact van aanvallen verminderen, waardoor het risico van samenlevingen die de angstaanjagende gevolgen van grootschalige cyberaanvallen op hun kritieke infrastructuur ondergaan, wordt verminderd.

Ook hier vormen de basismaatregelen die eerder zijn beschreven een absoluut minimum om te voldoen aan NIS2. De Nederlandse overheid moet ervoor zorgen dat de richtlijn is verankerd in lokale wetgeving vóór maart 2024. Op dit moment is de eerste NIS-richtlijn verankerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Nederlandse cyber en information security richtlijnen

Het belangrijkste principe van de Nederlandse overheid, tot nu toe in hun inspanning om de veerkracht van cyberbeveiliging te vergroten en organisaties te dwingen basismaatregelen voor cyberbeveiliging te implementeren, is 'zelfregulering'.

Voor verschillende sectoren zijn er sector specifieke normen en eisen ontwikkeld:

• Instellingen zoals banken, verzekeraars en pensioenfondsen, onder toezicht van De Nederlandsche Bank (DNB), moeten passende procedures en maatregelen hebben om IT-risico's te beheersen.

  Deze procedures en maatregelen hebben tot doel de integriteit, continue beschikbaarheid en beveiliging van elektronische gegevens te waarborgen. In deze context betekent "passend" dat de procedures en maatregelen gebaseerd zijn op de aard, omvang en complexiteit van de risico's die verband houden met de activiteiten van de instelling, en op de complexiteit van de organisatiestructuur.

  DNB heeft een 'best practice' ontwikkeld op basis van het CobIT-framework. Instellingen moeten voldoen aan een bepaald volwassenheidsniveau voor specifieke beheersmaatregelen.

• De Nederlandse gezondheidszorg heeft NEN7510 aangenomen, wat simpel gezegd een versie voor de gezondheidszorg is van ISO27001. NEN7510 heeft echter twee aanvullende normen voor gegevensuitwisseling (NEN7512) en loggen (NEN7513). ISO27001 is een internationaal erkende standaard voor managementsystemen voor informatiebeveiliging (ISMS).

  Het biedt een systematische aanpak voor het beheer van gevoelige organisatorische informatie, waarbij de vertrouwelijkheid, integriteit en beschikbaarheid ervan worden gewaarborgd. Bijlage A van de normen bevat een reeks beveiligingsbeheersmaatregelen die organisaties kunnen selecteren en implementeren om hun risico's te beheren. Deze beheersmaatregelen worden in detail beschreven in ISO27002. NEN7510 combineert ISO27001 en 27002.

  Hoewel het voor zorgorganisaties niet verplicht is om NEN7510 te implementeren en eraan te voldoen, blijkt uit jurisprudentie dat dit de facto het geval is. Onlangs heeft NVZ, een brancheorganisatie voor algemene ziekenhuizen, revalidatiecentra en categorale zorginstellingen, een gedragsrichtlijn uitgevaardigd die organisatorische en technische beveiligingsmaatregelen omvat (gebaseerd op ISO27002) en vergelijkbaar zijn met de basismaatregelen die in dit artikel worden beschreven.

• BIO (Baseline Informatiebeveiliging Overheid), sinds 2019, is de standaard voor informatiebeveiliging van de Nederlandse overheid (d.w.z. de centrale overheid, gemeenten, provincies en waterschappen). BIO is, net als NEN7510, gebaseerd op ISO27001 en ISO27002. De Nederlandse overheid heeft zich gecommitteerd aan de implementatie van BIO. Elke overheidslaag heeft zijn eigen implementatieroute.

• Overige relevante Nederlandse en Europse wetten op gebied van cyber en information security

  • Wet Computercriminaliteit

  • Wet gegevensverwerking en meldplicht cybersecurity

  • Algemene Verordening Gegevensbescherming

  • Telecommunicatiewet

  • Auteurswet

  • Wet elektronische handtekeningen

  • Wet op de inlichtingen- en veiligheidsdiensten

  • Archiefwet

Frameworks en Nationale kaders maken cyber security richtlijnen uniformer en eenvoudiger

Op dit moment overweegt de Nederlandse overheid om een cyberbeveiligingskader zoals België aan te nemen. België heeft het Cyberfundamentals Framework geïntroduceerd, een set concrete maatregelen om:

• gegevens te beschermen,
• het risico van de meest voorkomende cyberaanvallen aanzienlijk te verminderen,
•  en de cyberweerbaarheid van een organisatie te vergroten.

Het framework heeft vier niveaus: klein, basis, belangrijk en essentieel. Het framework is gebaseerd op en gekoppeld aan 4 veelgebruikte cyberbeveiligingskaders: NIST CSF, ISO 27001 / ISO 27002, CIS Controls en IEC 62443. Het framework kan bijvoorbeeld worden gebruikt om te voldoen aan NIS2.

Tot slot is het vermeldenswaardig dat de Nederlandse overheid een algemene richtlijn heeft uitgegeven genaamd 'Leidraad Coordinated Vulnerability Disclosure'. Het doel van Coordinated Vulnerability Disclosure (CVD) is bijdragen aan de beveiliging van ICT-systemen door kennis over kwetsbaarheden te delen.

Eigenaren van ICT-systemen kunnen dan kwetsbaarheden verhelpen voordat ze actief kunnen worden misbruikt door derden. Nederland was een van de eerste landen die een richtlijn voor kwetsbaarheidsmelding uitgaf. Steeds meer landen doen dat nu ook en nemen de richtlijn zelfs op in wetten. CVD wordt beschojed als een goede praktijk om te voldoen aan NIS2.

Compliancy als stok achter de deur

Toezichthouders en andere belanghebbenden vereisen steeds vaker bewijs in plaats van vertrojeen. Organisaties moeten aantonen dat ze hun beveiligingsrisico's beheersen en/of effectief maatregelen hebben geïmplementeerd om hun risico's te beheersen. Organisaties kunnen niet langer vertrojeen op het tonen of zeggen dat ze voldoen aan een bepaalde informatiebeveiligingsstandaard. In de praktijk zijn er twee complementaire manieren om belanghebbenden zekerheid te bieden over het niveau van naleving van informatiebeveiligingsstandaarden en de effectiviteit van geïmplementeerde maatregelen.

• Certificering

  Certificering op basis van ISO 27001 en/of NEN7510 of BIO is een veelvoorkomende manier om aan te tonen dat een organisatie toegewijd is aan informatiebeveiliging, wat de reputatie van de organisatie versterkt, het vertrojeen van klanten vergroot en het vermogen om beveiligingsrisico's effectief te beheren verbetert. 

  Om ISO 27001-certificering te behalen, moet een organisatie een ISMS implementeren en onderhouden dat voldoet aan de eisen die zijn gespecificeerd in de ISO 27001-standaard. Dit omvat het hanteren van een risicobeheer aanpak om informatiebeveiligingsrisico's te identificeren, beoordelen en behandelen.

  De audit bestaat uit twee fases:

  • Een documentbeoordeling waarbij de audit, op basis van de zogenaamde Statement of Applicability, controleert of het ontwerp van het ISMS voldoet aan de eisen van ISO 27001.

  • Na de eerste fase wordt een implementatiebeoordeling uitgevoerd. De auditor controleert of de werking van het ISMS voldoet aan de eisen van ISO 27001.

   

Het is belangrijk op te merken dat ISO 27001-certificering geen eenmalige prestatie is, maar voortdurende toewijding vereist aan het onderhouden en verbeteren van het ISMS. Een ISO 27001-certificaat garandeert echter niet dat beveiligingsmaatregelen goed zijn ontworpen en effectief werken. Daar kan een audit van nut zijn.

• Audit

  In de praktijk bieden organisaties vaak zekerheid met verklaringen die worden verstrekt door gecertificeerde auditors. Beroepsorganisaties hebben rapportagestandaarden ontwikkeld en overgenomen voor dit soort verklaringen.

  Nog steeds veelgebruikt zijn ISAE 3000 en ISAE 3402. ISAE 3000 en 3402 verwijzen naar de International Standard on Assurance Engagements (ISAE) 3000 en 3402, die worden uitgegeven door de International Auditing and Assurance Standards Board (IAASB).

  ISAE 3000 biedt richtlijnen en eisen voor assurance-opdrachten anders dan audits of beoordelingen van historische financiële informatie, terwijl ISAE 3402 zich richt op historische financiële informatie. ISAE 3000 wordt voornamelijk gebruikt voor het bieden van zekerheid over niet-financiële onderwerpen, zoals interne controle, duurzaamheidsrapportage en informatiebeveiliging.

   

De nadelen van de ISAE-standaarden zijn dat er geen gemeenschappelijke set maatregelen is en het rapport niet openbaar kan worden gemaakt.

Daarom is de American Association of International Certified Professional Accountants (AICPA) gekomen met SOC I, II, III (of System Organization Control). Waar SOC I equivalent is aan ISAE 3402, SOC II aan ISAE 3000 en SOC III voor algemeen gebruik en openbaar beschikbaar kan worden gemaakt. SOC maakt gebruik van een standaard set beheers- en  beveiligingsmaatregelen.

Continu pentesten als krachtige tool om compliant te zijn 

Gezien de huidige Europese en Nederlandse wetgeving is het essentieel geworden voor organisaties om de doeltreffendheid van hun technische beveiligingsmaatregelen met betrekking tot digitale activa grondig te beoordelen. De bescherming van deze activa heeft een uiterst belangrijke rol gekregen, vooral gezien de betrokkenheid van vertrouwelijke en privacygevoelige gegevens. Met een aanzienlijke verschuiving van criminele activiteiten van de fysieke wereld naar het virtuele landschap, richten cybercriminelen zich steeds vaker op online identiteiten, chanteren ze en manipuleren ze financiële transacties.

Als gevolg hiervan eisen belanghebbenden nu dat organisaties een robuust beveiligingsraamwerk voor hun (web)applicaties aantonen om aanzienlijke boetes te vermijden die voortvloeien uit het niet voldoen aan relevante wetten en voorschriften.

In de praktijk omvat het beoordelen van de effectiviteit van beveiligingsmaatregelen voor digitale activa vaak ethische hacks of penetratietests die jaarlijks of tweejaarlijks worden uitgevoerd, meestal na de ontwikkelings- en implementatiefases. Echter, een van de nadelen van deze aanpak is dat beveiliging vaak niet inherent is geïntegreerd in het ontwikkelingsproces, wat leidt tot uitdagingen bij het herstellen van structurele fouten of zwakheden in de software. Vaak worden tijdelijke maatregelen gebruikt om de effectiviteit van de beveiliging te waarborgen, wat arbeidsintensief, kwetsbaar en kostbaar kan zijn. Daarnaast bieden traditionele penetratietests slechts een momentopname, waarbij geen rekening wordt gehouden met de dynamische aard van snel evoluerende technologie en nieuw ontdekte kwetsbaarheden.

Hacksclusive pleit voor een risicogestuurde aanpak, waarbij beveiliging op elke fase van het ontwikkelingsproces, of het nu devops, agile of meer traditionele methodologieën zijn, prioriteit heeft. Door middel van deze continue beveiligingstestaanpak worden intrinsiek veilige digitale activa iteratief ontwikkeld. Ethische hackers spelen een cruciale rol in dit proces, waarbij ze betrokken zijn bij het vaststellen van beveiligingseisen en het uitvoeren van geautomatiseerde tests zo uitgebreid mogelijk. Het Pentesting as a Service-platform van Hacksclusive vergemakkelijkt en stroomlijnt dit proces.

Benieuwd hoe continue pentesting u kan helpen uw organisatie compliant te maken? Neem contact met ons op!