Basiskennis dossier digitale informatiebeveiliging

Samengesteld door: Kim Wolters, Henny Brullemans


Definitie

Digitale informatiebeveiliging is het beveiligen van de informatie die digitaal wordt gedeeld en verspreid. We leven in een tijdperk waar nagenoeg alle informatie via het digitale kanaal wordt opgeslagen, gedeeld en verspreid. Deze informatie zal hierdoor extra beveiligd moeten worden zodat ze niet blootgesteld kunnen worden aan cybercriminelen en hackers. Zij proberen toegang te krijgen tot gegevens via computers, telefoons, bedrijfssystemen, auto’s, chipkaarten etc

Facilitair

Binnen een organisatie wordt enorm veel informatie via de digitale kanalen gedeeld of opgeslagen. Denk hierbij aan servers of mailingen. Het is van belang dat de gegevens die hier opgeslagen worden ook goed beveiligd worden. Met de technische ontwikkeling van tegenwoordig is het voor sommigen makkelijk om in te breken op een server en de gewenste informatie hier ongezien vanaf te halen. Samen met de ICT-afdeling is de facilitair manager veelal verantwoordelijk voor de beveiliging van de digitale informatie.

Beveiligingssituatie

Programma’s die een computer blokkeren en vervolgens van de gebruiker geld vragen om de computer weer te ‘bevrijden’ zullen steeds vaker verschijnen. Ransomware zal een zeer belangrijke bedreiging blijven, zowel voor particulieren als bedrijven en instellingen. Ondertussen zullen organisaties een actief beleid moeten voeren om haar medewerkers goed voor te lichten. Met de opkomst van het Internet of Things (IoT) nemen ook de beveiligingsrisico’s enorm toe. In een wereld waarin alles is verbonden met het internet zijn deze ‘things’ een vanzelfsprekend doelwit van kwaadwillenden. Veel van de IoT-apparaten zijn ontworpen voor consumenten waarbij gebruikersgemak essentieel is (webcam, smartphone, laptop etc.). Hierdoor wordt in veel gevallen weinig of geen beveiliging toegepast. Aangezien de hoeveelheid van IoT-apparaten drastisch zal toenemen en het aantal computers en mobiele telefoons zal overtreffen, zullen we een toenemende impact van deze apparaten in beveiligingsincidenten te zien. Hackers zoeken naar unieke mogelijkheden om deze apparaten om te zetten in financieel gewin.

De snelle opname van ‘bring-your-own-device’ (BYOD), en de invoering van draagbare technologieën op de werkplek, zal de vraag naar mobiele apps voor werk en thuis vergroten. Ook hier wordt een trend zichtbaar: steeds meer voor consumenten gemaakte IoT-devices worden opgenomen in bedrijfsnetwerken. Deze ‘shadow-it’ valt vaak buiten het blikveld van de beheerders, maar zorgen wel voor een nieuw aanvalsoppervlak.

Bedreigingen
De mens is en blijft de meest cruciale schakel in de informatiebeveiliging. Helaas tegelijkertijd ook vaak de zwakste schakel. Bedrijven schermen hun interne netwerk af van het internet door middel van firewalls, brengen Indringer Detectie Systemen aan, stellen procedures op voor het veilig omgaan met vertrouwelijke informatie en nemen maatregelen voor veilig thuiswerken. Maar het blijft allemaal mensenwerk en mensen kunnen misleid worden om dingen te doen die vanuit veiligheidsoverwegingen niet zouden mogen gebeuren. Onderzoek wijst uit dat 60% van alle informatiebeveiligingsincidenten een ‘inside job’ is. En toch wordt door bedrijven en organisaties juist aan deze vorm van bedreiging relatief weinig aandacht besteed.

Soorten bedreigingen
Het digitale informatiesysteem heeft te kampen met vele bedreigingen. Cyberaanvallen komen in vele vormen en zijn vaak moeilijk op te sporen. Ze veranderen vaak van gedaante en slaan wereldwijd toe. Netwerken worden bijvoorbeeld non-stop gebombardeerd of besmet met verschillende soorten malware. Of ze sporen zwakke netwerken op en nemen deze over. Tevens is het mogelijk dat ze een digitale identiteit stelen door het overnemen van een profiel. Hierdoor kunnen criminelen rechten overnemen maar zelf draait het slachtoffer op voor de plichten.

In de afgelopen jaren hebben veel organisaties en bedrijven te maken gekregen met:

  • Phishing en Pharming (het verleiden van werknemers tot het openbaar maken van gevoelige informatie door middel van nep e-mails en gefingeerde websites)
  • Social Enginering (het winnen van vertrouwen door middel van e-mails of community sites om zo uiteindelijk achter vertrouwelijk informatie te komen)
  • Openbaarmaking van vertrouwelijke informatie op digitale gegevensdragers zoals USB sticks.

Enkele jaren geleden waren de virussen de grootste zorg op dit gebied. Tegenwoordig moeten we rekening houden met Malware en Phishing. De bekendste vormen: Adware, bootsectorvirus, backdoor, computervirus, computerworm, trojaans paard, Spyware, Dialer, IRC-bot, Keylogger, Ransomware, Rootkit, Rogueware, scareware.

Beveiliging
Een juiste informatiebeveiliging begint bij de basis van de ICT-infrastructuur en het vaststellen van het gebruikersniveau. Hierbij moet je rekening houden met technische, organisatorische, fysieke en procedurele aspecten. Organisaties laten risicoanalyses doen om te toetsen hoeveel risico ze lopen op een datalek of cybercrime. Er wordt gesproken over een datalek wanneer informatie vernietigd, gewijzigd of vrijgegeven wordt zonder dat dit vanuit de organisatie de bedoeling is. Denk hierbij aan een gestolen computer of een verloren/meegenomen USB stick. Hierdoor zijn er bijvoorbeeld veel bedrijven waar de computer geen USB stick herkent die niet van de organisatie is. Zo kan worden gepeild welke informatie met wie het pand verlaat. Er is namelijk gebleken dat veel van de beveiligingsincidenten afkomstig zijn van binnen de organisatie. De striktheid van dit proces is afhankelijk van de organisaties en daarbij de informatie die zij verwerken. Organisatie die veel met persoonsgegevens werken zullen een waterdicht systeem moeten hebben.

Soorten beveiliging

  • Steeds meer organisaties nemen regels of een integriteitcode op in hun bedrijfsreglement.  Hierin staat bijvoorbeeld dat werknemers verklaren geen gegevens mee te nemen buiten te organisatie.
  • Installeren van Virusscanner of Firewall die past bij de werkwijze van de organisatie. Een Firewall beschermt de computer en andere systemen tegen het binnenkomen gegevens die op een blacklist staan vermeld. Dit kan doormiddel van een router of via bepaalde software dat zich uit in een beveiligingsprogramma. De firewall kan de binnengekomen documenten scannen op: bekendheid afzender, bekendheid inhoud document en eventuele code in het document. Het doel van een firewall is het beschermen van de computer en de gegevens die hier opgeslagen of verwerkt zijn.
  • Simpele tips & tricks: Je kunt als organisatie de SPAM mail centraal binnenlaten komen. Zo kan niemand in de verleiding komen een ‘foute’ mail als nog te openen. Beveilig je laptop, houd wachtwoorden voor je zelf, klik nooit door zonder de lezen.

Enterprise Information Management

Door de missie, visie en doelstellingen van een organisatie wordt de informatiebehoefte vorm gegeven. Om deze informatiebehoefte in te vullen kan er gebruik gemaakt worden van Enterprise Information Management (EIM). Door gebruik te maken van EIM kan het rendement van de organisatie stijgen. EIM werkt vanuit twee belangrijke aannames:

  • Informatie is een productiemiddel met een waarde. Deze waarde kan vergroten door bewaking van de productie en daarbij de informatie te beheren;
  • Door gebruik van internet wordt de wereldtransparanter. Het is essentieel dat een organisatie zijn bedrijfsgeheimen afschermt en kan excelleren door de informatie beter en slimmer te gebruiken.  

EIM gaat een stap verder dan Business Intelligence en Enterprise Content Management in het organiseren van informatie. Business Intelligence en Enterprise Content Management organiseren Date (gestructureerde informatie) en Content (ongestructureerde informatie) maar zijn er op gericht dat deze informatie beter beschikbaar wordt.

Wet- en regelgeving

  • De Wet bescherming persoonsgegevens (WBP) heeft als doel het beschermen van persoonsgegevens die geregistreerd worden. Persoonsgegevens worden door vele instanties, zoals gemeenten, vastgelegd. Het vastleggen is in principe geen probleem, echter moet er met deze gegevens zorgvuldig worden omgesprongen. Alle instanties die persoonsgegevens verwerken dienen dit aan te melden bij de Autoriteit Persoonsgegevens, tenzij een onafhankelijke functionaris hier toezicht op houdt.
  • Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken.