Als er zich een (overheid) probleem zoals Diginotar voordoet dan moet dit beter worden geregeld. De 2e Kamer vergadert dan over het verdronken kalf en de fractiespecialisten laten publiekelijk weten dat zij niet te spreken zijn over hoe de betrokkenen de ontstane calamiteiten hebben aangepakt. Maar wordt het niet eens tijd om ervoor te zorgen dat er geen calamiteiten komen door het nemen van adequate risico maatregelen?
Gelukkig heeft de overheid in 1994 een voorschrift gemaakt op het gebied van Informatiebeveiliging. Dit doen ze met behulp van CRAMM BS7799 en VIR1994/2007 A&K. Deze code voor informatiebeveiliging heeft als doelstelling: Het verschaffen van een gemeenschappelijke basis van waaruit bedrijven effectieve maatregelen voor informatiebeveiliging kunnen ontwikkelingen, implementeren en meten; of het bevorderen van het vertrouwen in het handelsverkeer tussen organisaties.
VIR2007 en Afhankelijks – en Kwetsbaarheidsanalyse staat voor voorschrift informatiebeveiliging Rijksdienst 2007. Algemeen wordt bij de Rijksoverheid erkend dat informatiebeveiliging onontbeerlijk is voor de betrouwbaarheid van informatie en informatiesystemen. Daarbij is heel duidelijk dat: niet alleen de vertrouwelijkheid van informatie:maar ook de beschikbaarheid en de integriteit van informatie en informatiesystemen van steeds groter belang worden.
Echter het voorschrift schrijft géén maatregelen voor! Die moet worden bepaald na de uitvoering van een Afhankelijkheid & Kwetsbaarheidanalyse. Het resultaat mondt uit in een beveiligingsplan. De A-analyse levert een stelsel betrouwbaarheidseisen op die vanuit de bedrijfsprocessen worden gesteld aan de informatiesystemen. De K-analyse gaat daarna in op de relatie tussen de betrouwbaarheidseisen, relevante bedreigingen en de te nemen maatregelen = het beveiligingsplan.
Dan is het logisch om bij de A&K analyse, die immers de weg bewandelt om van betrouwbaarheidseisen tot maatregelen te komen, te spreken over betrouwbaarheidsmanagement . Betrouwbaarheid is precies wat we willen managen, en niet de risico's. Maar ja, hoe betrouwbaar zijn onze geheime gegevens?
Zoals bij elk bedrijf horen er regels te zijn ten aanzien van informatiebeveiliging, zo heeft de Rijksoverheid die ook. Het Voorschrift Informatiebeveiliging Rijksdienst (VIR) bevat dan ook de interne overheidsregels die betrekking hebben op de eigen informatiesystemen. Omdat hier sprake is van een voorschrift is de systematiek dwingend voor de Rijksoverheid.
CRAMM
De bedoeling van de A&K analyse is om in een aantal logische stappen systematisch de afhankelijkheden en kwetsbaarheden of verantwoordelijkheidsgebieden in kaart te brengen. Daarmee ontstaat er zicht op het niveau van informatiebeveiliging dat nodig is. Het onderzoek wordt met behulp van CRAMM gerealiseerd en uitgevoerd.
CRAMM staat voor CCTA Risk Analyses and Management Method en is overwaaid uit Engeland. De CCTA is een overheidsinstelling die op veel gebieden van IT richtlijnen en aanbevelingen verspreidt. CRAMM is een methode die niet alleen risico's inventariseert en analyseert, maar ook ondersteuning biedt bij het beheer van risico's. CRAMM is een methodiek die de gebruiker dwingt fasegewijs gegevens over het te beveiligen systeem te inventariseren. In CRAMM zijn drie fases te onderscheiden: inventarisatie, risicoanalyse en selectiemaatregelen. Deze fasen moeten volgtijdig worden doorlopen.
Inventarisatie
In de eerste fase wordt een aantal basisgegevens van het systeem beschreven. Bovendien worden de grenzen van het te onderzoeken systeem vastgelegd. Ook vinden identificatie en waardebepaling plaats van de in het systeem opgenomen componenten. De componenten zijn onderscheiden in data, programmatuur en fysieke componenten. De waardering van alle componenten wordt uitgedrukt in een cijfer op een schaal 1 t/m 10. De gegevens worden gewaardeerd tegen gebruikswaarde, die is gebaseerd op de potentiële schade voor de organisatie ten gevolge van vernietiging, ongewenste wijziging of openbaarmaking enzovoorts. De potentiële schade wordt verkregen uit interviews met de functionele eigenaar van een component. De waardering van de programmatuur en de fysieke componenten is gebaseerd op vervangingswaarde of gebruikerswaarde.
Risicoanalyse
Op basis van bovengenoemde inventarisatie geeft CRAMM de berekende waarde van de componenten. Bij het berekenen van de waarde van de diverse groepen van componenten wordt rekening gehouden met onderlinge afhankelijkheden tussen de groepen van componenten. Als alle componenten zijn gewaardeerd, is de eerste fase afgesloten. Vanaf dit punt moet een keuze worden gemaakt voor het vervolgtraject. Dit kan een verkorte of uitgebreide risicoanalyse zijn. In het eerste geval zal een aantal vragenlijsten moeten worden ingevuld ter inventarisatie van bedreigingen en kwetsbaarheden. Vervolgens kan men doorgaan naar de derde fase. Kiest men voor een uitgebreide risicoanalyse dan wordt een inschatting gemaakt van de zwaarte van de bedreigingen waaraan het systeem staat blootgesteld en de kwetsbaarheid van de organisatie als de bedreigingen daadwerkelijk voordoen.
Mogelijke bedreigingen zijn:
– Het verlies van goodwill.
– Aantasting van de persoonlijke veiligheid.
– Niet kunnen voldoen aan de wettelijke verplichtingen.
– Aantasting vertrouwelijkheid.
– Financieel verlies.
– Verstoring activiteiten.
– Aantasting privacy.
En ga zo maar door.
CRAMM geeft hierbij een indicatie van de koppeling tussen bedreiging en het component. Het resultaat hiervan is dat per bedreiging de kans op optreden hoog, gemiddeld of laag wordt vastgesteld. Vervolgens wordt een overzicht opgesteld met het risiconiveau van de in de eerste fase gevonden waarden en de kans en kwetsbaarheid van de tweede fase. Dit geeft dan tevens het benodigde beveiligingsniveau aan.
Selectiemaatregelen
In de derde fase, selectie van maatregelen, worden gedetailleerde beveiligingsmaatregelen geselecteerd uit een uitgebreide en continu gevalideerde database. Bij de geselecteerde maatregelen wordt aangegeven:
– De werkingssfeer.
– De bedreiging waarop de maatregel betrekking heeft.
– De kosten en het beveiligingsniveau waartoe de maatregel bijdraagt.
Tenslotte, een dergelijke aanpak en toepassing van adequaat risicomanagement kan veel problemen voorkomen. De toepasbaarheid is legio en kan dus op veel gebied gebruikt worden. Ook bij de brand die NS en/of Prorail en vele reizigers overviel. Een dergelijke aanpak had de kwetsbaarheid van het backupsysteem en afhankelijk van het zelfde stroomnet in kaart gebracht.
Opmerkingen van Charlie Aptroot over service en informatievoorziening dat het beter moet snijden alleen hout als je weet waar je kwetsbaar en afhankelijk van bent. Dan pas kun je adequate maatregelen eisen of voorstellen. Maar dan ook het geld vrijmaken ervoor! Niet roepen dat de brand geblust moet worden en tegelijkertijd de brandweer het water ontnemen. Schoon schip maken is prima maar dan eerst beginnen met het toepassen van je eigen dwingende voorschriften.
Maar wie let daarop? Waar is de controle hierop? Wat kun je eraan doen als de overheid blijkbaar zijn eigen wetten overtreedt of niet toepast?
Goed artikel, zo zou het moeten zijn binnen de rijksoverheid. Maar Diginotar is geen (rijks)overheid maar een commercieel bedrijf. Wie legt welke regels op aan zo’n bedrijf? Meestal zijn de aandeelhouders belangrijker dan de veiligheid…
Goed artikel. Diginotar valt onder de Telecomwet. Degene die toezicht houdt op de Telecomwet is de OPTA. In de Telecomwet staat dat een partij die onder deze wet valt elk jaar door een externe partij ge-audit moet worden. Tot zover niets aan de hand. Echter het lijkt erop dat er onvoldoende getoetst is bij Diginotar. En dan zijn de rapen gaar. Immers wetgeving zonder handhaving is een wassen neus. Uiteraard valt Diginotar veel te verwijten als het gaat op het niet op orde hebben van hun beheer omgeving, maar ook de toezichthouder valt verwijten te maken. Ook de eindklant heeft echter ook een rol: Immers zij kan haar leverancier dwingen jaarlijks de auditrapporten te overhandigen. Enfin, veel stof voor evaluatie.
Allen,
De partijen zijn subcontractors van de overheid. De overheid is opdrachtgever, als ik me niet vergis. Maar het zwarte pieten spel of bij wie de verantwoording ligt maakt niet uit. Bij dergelijke diensten dient een gedegen risicoanalyse uitgevoerd te worden. Het laatste is verzuimd terwijl wel daarvoor de middelen aanwezig zijn.
John Roos