Op zoek naar digitaal vertrouwen

12-04-2019 Omdat informatietechnologie steeds geavanceerder wordt en zowel betere kansen als nieuwe kwetsbaarheden en bedreigingen biedt, bestaat het gevaar dat organisaties zich op grote schaal blootstellen aan kwaadaardige aanvallen of datalekken. Risicomanagement is daarom net zo belangrijk in cyberspace als in de fysieke wereld. Maar wat zijn deze cyberrisico's? Hoe kunnen internationale standaarden helpen?

Succesvol managen van risico's kan positieve resultaten opleveren en bedrijven moeten risico's nemen om hun doelstellingen te bereiken. Organisaties hebben een voldoende mate van zekerheid nodig voordat ze belangrijke strategische beslissingen nemen en het is van essentieel belang om te begrijpen dat risico eigenlijk te maken heeft met de waarschijnlijke gevolgen van onzekerheid voor die beslissingen.

De digitale dreiging

Dit geldt met name op het gebied van cyberrisico's. In cyberspace komt de dreiging van 'kwaadwillende personen' die serieuze misdaden plegen. Deze kwaadwillende personen hebben zowel de intentie als het vermogen om schade aan te richten, en ze zijn behendig en passen zich snel aan.

Technologie wordt met de dag, zo niet per uur, geavanceerder. Als een crimineel erop uit is om beschermde medische producten te stelen, hoeven ze niet langer in een opslagruimte in te breken, maar kunnen ze de gegevens in een digitaal format kopiëren en het product klonen via een 3D-printer. Het is een uitgemaakte zaak dat alle organisaties, in welke vorm dan ook, op de een of andere manier ‘cyberbescherming’ nodig hebben. Bovendien moet dat een systeem zijn dat robuust genoeg is om hen zo snel mogelijk te waarschuwen bij een aanval.

Bedreigingen in cyberspace vallen in twee categorieën: intern en extern. Om een beschermend systeem tegen externe bedreigingen te ontwerpen en succesvol actief te hebben, moet worden gekeken naar de bedoelingen en mogelijkheden van externe kwaadwillenden - waar ze op uit zijn, waarom ze het willen hebben en welke technologieën voor hen beschikbaar zijn. Maar organisaties moeten zich ook voorbereiden op de dreiging van zowel kwaadwillende medewerkers als medewerkers die per ongeluk het systeem hebben opengezet. Onzorgvuldig behandelen van persoonlijke gegevens kan iemand blootstellen aan chantage of rekrutering door een organisatie met kwaadaardige bedoelingen. Organisaties kunnen de beste firewalls ter wereld hebben, maar die betekenen niets als een medewerker overal bij kan en informatie kan stelen zonder te worden ontdekt.

Wat echt telt

Hoe beschermen overheden, bedrijven en particulieren zichzelf tegen deze bedreigingen? ISO-technische commissie ISO/TC 262, risicomanagement, heeft de richtlijn ISO 31000 voor risicomanagement opgesteld, met daarin de principes van en een raamwerk voor risicomanagement, een raamwerk van beginselen en processen voor het risicobeheer in het algemeen en een beschrijving van het risicomanagementproces van contextanalyse, via risicobeoordeling en -beheersing tot monitoring en verbetering van de genomen maatregelen.

Jason Brown is de voorzitter van ISO/TC 262 en was onder meer verantwoordelijk voor cyberbeveiliging bij de Australische defensie. Hij wijst erop dat als een organisatie zichzelf serieus wil beschermen tegen cyberrisico's, het "terug moet gaan naar de doelstellingen van de onderneming en moet kijken naar wat echt telt - met andere woorden: ken de digitale kroonjuwelen".

Bedrijven en overheden moeten zorgvuldig de waarde en aard beoordelen van wat ze belangrijk vinden. Als een organisatie bijvoorbeeld eigenaar is van hoogwaardige technische kennis in de vorm van intellectueel eigendom, is het duidelijk dat het lekken of stelen van dergelijke gegevens enorme gevolgen voor hen zou hebben. De gevolgen zouden echter nog destructiever kunnen zijn als deze informatie zou worden bewaard voor anderen die afhankelijk zijn van die organisatie als onderdeel van een toeleveringsketen, omdat een breuk in het systeem zou kunnen betekenen dat de hele keten breekt. Wat in eerste instantie van belang is, is daarom een systematisch strategisch overzicht en nog niet de technologie zelf.

De prijs van ‘resilience’

Internationale standaarden ondersteunen deze strategische benadering van cyberrisico's. Volgens Jason Brown moet de ISO 31000-reeks bij het aanpakken van cyberrisico's ook worden gebruikt in combinatie met de ISO/IEC 27000-serie over Information Security Management Systems (ISMS).

Cybersecurity moet ook worden bekeken in termen van bedrijfscontinuïteit, en daar is ISO 22301 voor bedrijfscontinuïteitsmanagement voor. Deze norm stelt eisen aan een managementsysteem dat de organisatie helpt zich te beschermen tegen [...] verstorende incidenten wanneer deze zich voordoen . Zo’n systeem stelt een organisatie bijvoorbeeld in staat te beoordelen hoe het informatie- en telecommunicatiesysteem haar doelstellingen ondersteunt, en wat de gevolgen zijn als dat systeem zou instorten. De investering van een organisatie in cybersecurity kan worden bepaald door de afhankelijkheid die het heeft van het systeem; een kleine organisatie kan misschien doorgaan met (of zelfs terugkeren naar) papieren recepten, terwijl een gigant zoals Amazon letterlijk afhankelijk is van een continue verbinding met het internet.

Daarnaast helpen normen leveranciers - en dus uiteindelijk consumenten - bij het spreken van een gemeenschappelijke taal voor cloud computing. De vraag naar de reeks normen voor dit onderwep werd niet gedreven, zoals meestal het geval is, vanuit de leveranciers, maar vanuit de klanten. Regeringen en bedrijven wezen erop dat elke leverancier zijn eigen terminologie gebruikte, waardoor het onmogelijk was om producten te vergelijken en een weloverwogen keuze te maken. Dit leidde tot de publicatie van NEN-ISO/IEC 17789, informatietechnologie - cloud computing - referentiearchitectuur, waarmee een referentiearchitectuur en een raamwerk van een gemeenschappelijke woordenschat werden opgezet. Ook wordt de normNEN-ISO/IEC 19086 voorbereid, een vierdelige norm voor 'service level agreements' tussen cloudaanbieders en hun klanten, waarvan er twee nog in ontwikkeling zijn.

Er kan niet getwijfeld worden aan de positieve impact die al deze normen hebben op cyberbeveiliging in het algemeen en op tegengaan van cyberrisico's in het bijzonder.

Eerder door u bekeken