Hoe beveilig je je data op een effectieve manier?
Doelgroep:
Dit artikel richt zich op organisaties die de digitale veiligheid rondom data willen verbeteren, zich bewust zijn van de urgentie en relevantie, maar nog zoeken naar een goede aanpak.
In samenwerking met:
CISO’s en adviseurs van Bluebird & Hawk.
- Data is ruwe, ongeorganiseerde feiten of waarden. Denk aan getallen, tekstfragmenten, meetwaarden, logs of bestanden. Op zichzelf zegt ‘data’ vaak nog niet zoveel: het is contextloos.
- Informatie is data die is verwerkt, geanalyseerd of geïnterpreteerd en daardoor betekenis krijgt. Wanneer data in context wordt gezet spreek je van informatie.
- Data-identificatie is het proces waarbij een organisatie in kaart brengt welke data er is en waar deze zich bevindt.
- Data-classificatie is het toekennen van een gevoeligheidslabel aan data, op basis van de waarde en het risico voor de organisatie.
- Dreigingsinformatie is verzamelde, verrijkte en geanalyseerde informatie over dreigingen in het digitale domein, die als doel heeft deze dreigingen tijdig te identificeren en de weerbaarheid van de ontvangers te verhogen. Aan de hand van deze informatie kun je als organisatie een betere invulling geven aan je potentiële risico’s.
- Data loss prevention: Voorkomen dat specifieke informatie ongeoorloofd wordt verzonden.
Achtergrond
Dit artikel is de tweede publicatie in de kennisproductenserie 'Zicht en grip op data'.
Met hulp van het eerste artikel weet je welke data voor jouw organisatie het belangrijkst is en kun je deze ook classificeren. Maar welke beveiligingsmaatregelen moet je vervolgens allemaal treffen en hoe stel je daarin prioriteiten? Met dit vervolg leer je hoe je effectief prioriteiten stelt in jouw datarisico’s.
We hebben uitgebreid stilgestaan bij de gevolgen van de digitalisering van organisaties. Organisaties staan hierdoor voor een steeds complexer wordende uitdaging, namelijk het behouden van zicht en grip op hun essentiële data. Deze bevindt zich niet langer op één centrale plek, maar beweegt continu van eigen datacenters naar commerciële cloudomgevingen, en over publieke en private netwerken.
De technologische vooruitgang biedt enorme schaalbaarheid en flexibiliteit, maar maakt het tegelijkertijd moeilijker om te bepalen waar kritieke data zich bevindt, wie er allemaal toegang toe heeft, en hoe deze beschermd wordt. We hebben we je meegenomen in de stappen om hier zicht op te krijgen. Heb je die stappen doorlopen, dan is het nemen van passende beveiligingsmaatregelen de volgende stap.
Waarom is dit artikel een belangrijke opvolger?
Zonder passende maatregelen is data kwetsbaar voor verlies van beschikbaarheid, integriteit en vertrouwelijkheid. Dit kan resulteren in financiële schade, juridische complicaties en reputatieverlies, bijvoorbeeld door ransomware of het opzettelijk lekken van gegevens door een medewerker. Bovendien sturen wet- en regelgeving sterk op databeveiliging, zoals de AVG en de aankomende Cyberbeveiligingswet (NIS2). Het is daarom cruciaal dat organisaties hun omgang met data aanpassen aan deze nieuwe wetgeving.
“Alle data maximaal beschermen is een utopie en ook onnodig duur en inefficiënt”
Willekeurige maatregelen bieden geen grip op risico’s. Zo beschermt een DLP-oplossing (Data Loss Prevention) niet tegen ransomware. Daarentegen is het maximaal beveiligen van alle data een utopie: het is onnodig duur en inefficiënt.
Waar te beginnen met het beveiligen van je data?
Je hebt aan de hand van het classificatieschema en data-inventarisatie uit het vorige artikel een beeld bij de belangrijkste data van jouw organisatie.
Maar hoe ga je deze data nu op een effectieve manier beveiligen?
We adviseren om te werken vanuit de meest relevante risico’s en hierop te prioriteren.
De onderstaande stappen helpen je hiermee:
- Breng dreigingen in kaart
- Bedenk wat er allemaal mis kan gaan en vertaal dit naar risico-scenario’s
- Prioriteer de risicoscenario’s.
Stap 1 Breng dreigingen in kaart
Om een beeld te kunnen vormen van mogelijke cyberdreigingen voor jouw organisatie, zul je dreigingsinformatie moeten verzamelen.
Dit kan op verschillende manieren:
- Inventariseer welke dreigingsinformatie er al binnen je eigen organisatie aanwezig is.
- Verzamel publiek beschikbare dreigingsinformatie. Denk aan publicaties zoals het Cybersecurity Beeld Nederland (CSBN), het AIVD-jaarverslag of het Dreigingsbeeld Statelijke Actoren. Ook commerciële cybersecurity-bedrijven brengen openbaar beschikbare dreigingsrapporten uit.
- Bekijk openbare dreigingsinformatie die wordt gedeeld door het Nationaal Cyber Security Centrum (NCSC).
- Verken of andere organisaties binnen jouw sector bereid zijn om dreigingsinformatie uit te wisselen.
- Het inkopen van dreigingsinformatie kan bij commerciële bronnnen. Verschillende marktpartijen bieden deze diensten aan. Overweeg of deze informatie van toegevoegde waarde voor jouw organisatie is.
Maak op basis van de verzamelde dreigingsinformatie een overzicht van de verschillende dreigingsactoren en de bijbehorende intenties.
Door dreigingsinformatie te verzamelen verruim je het bestaande beeld van cyberdreigingen. Om vervolgens te bepalen welke dreigingen het meest relevant voor jouw organisatie zijn, kun je een workshop organiseren. Dit lichten we toe in de volgende stap.
Meer lezen over het in kaart brengen van dreigingen doe je op deze pagina.
AeroForge BV gaat aan de slag met de beveiliging van de digitale blauwdrukken (data) van een nieuw product dat zij in opdracht van SkyShield Defense Systems ontwikkelt. Deze blauwdrukken bevatten gevoelige ontwerpdata en strategisch intellectueel eigendom. Het is voor zowel AeroForge als SkyShield essentieel dat alle data strikt geheim blijft. Over de omgang met deze vertrouwelijke informatie zijn contractueel bindende afspraken gemaakt.
Inventarisatie van dreigingsactoren
Tijdens de eerste fase van de analyse onderzoeken ze wie de mogelijke dreigingsactoren zijn en wat hun mogelijke intenties kunnen zijn. Zij baseren zich op actuele publicaties en interne rapporten.
Actor: Criminelen Bij de dreigingsinventarisatie vinden zij in publicaties veel informatie over criminelen en hun handelwijze dat later vertaald kan worden naar scenario’s die de vertrouwelijkheid van de blauwdrukken zou kunnen schaden. Een phishing-aanval schatten ze als zeer reëel in.
Intentie: Geld verdienen d.m.v. afpersing
Actor: APT’s Advanced Persistent Threats (dit zijn geavanceerde aanvallers zoals statelijke actoren of gespecialiseerde cybercriminelen) worden ook geïdentificeerd. Hun intentie (spionage en het stelen van strategische informatie) sluit goed aan bij de aard van de data. Toch wordt de kans dat een APT zich specifiek op dit relatief kleine deelproject bij AeroForge richt als laag ingeschat. Daarom worden APT’s voorlopig niet verder meegenomen in deze analyse.
Intentie: Informatie stelen, spioneren
Actor: Medewerkers Uit een intern auditrapport blijkt dat medewerkers van AeroForge niet altijd goed weten hoe ze met vertrouwelijke data moeten omgaan. Denk aan het onbedoeld delen van bestanden, het gebruik van onbeveiligde opslaglocaties of het ontbreken van bewustzijn over classificatie.
Intentie: Onbewust fout handelen
Stap 2: Van dreiging naar risico: wat kan er misgaan?
Een workshop is een slimme en hands-on manier om te ontdekken welke cyberrisico’s relevant zijn voor jouw organisatie. Door mensen met verschillende achtergronden bij elkaar te brengen, krijg je een breder en realistischer beeld van de risico’s. Samen werk je toe naar concrete scenario’s waarmee je later gerichte en effectieve maatregelen kunt treffen.
Wie nodig je uit?
Zorg dat je een groep samenstelt met mensen die goed zicht hebben op hoe de belangrijkste data van jouw organisatie binnen jouw organisatie wordt gebruikt en beschermd. Denk aan collega’s uit IT, operations, security en eventueel juridische of compliance-afdelingen.
Stel een multidisciplinair team samen dat goed inzicht heeft in hoe de belangrijkste data binnen jouw organisatie wordt gebruikt en beschermd. Betrek collega’s uit IT, operations, security en eventueel juridische of compliance-afdelingen. Kijk daarbij niet alleen naar functies en rollen maar neem ook de verantwoordelijkheidsniveaus mee in je overweging. Denk aan:
- Strategisch: risico-eigenaren, vaak op directieniveau. Zij zijn accountable voor risico’s en bepalen het veiligheids- en risicoacceptatieniveau.
- Tactisch: domein-architecten, CISO’s, teamleads en vergelijkbare lijnfuncties. Zij zijn verantwoordelijk voor het vertalen van beleid naar concrete maatregelen.
- Operationeel: solution-architecten, ervaren adviseurs, ISO’s en vergelijkbare rollen. Zij geven inzicht in de dagelijkse praktijk en de uitvoering van risicobeheersing.
Hoe pak je de workshop aan?
Een goede voorbereiding helpt. Stuur vooraf een overzicht van dreigingsactoren en hun intenties en vraag de deelnemers om dit alvast door te nemen zodat ze hierop kunnen aanvullen en voorbereid de sessie in gaan.
Clusterbrainstorming is een fijne methode om met elkaar aan de slag te gaan.
Brainstormen
Je hebt mensen verzameld voor een workshop en een werkmethode bepaald, je kunt aan de slag!
Om de scenario’s op een vergelijkbare manier te verzamelen spreek je een format af. Bijvoorbeeld:
Actor X wil A, en doet daarom B. Dit leidt tot C
Voorbeelden:
- Een buitenlandse concurrent (Actor) wil onze blauwdrukken (A), stuurt ons daarom met AI opgestelde spearphisingemails (B). Deze zijn erg goed nagemaakt waardoor medewerkers hier in kunnen trappen en blauwdrukken delen (C).
- Een medewerker (Actor) wil graag snel informatie rondom onze blauwdrukken delen met een partner (A), daarom stuurt hij deze via de e-mail (B), dit leidt ertoe dat deze onbeveiligd over het internet worden verzonden en vervolgens ook buiten onze eigen IT infra worden opgeslagen (C) waardoor wij er geen controle meer over hebben.
Om mensen te helpen bij deze brainstorm kun je gebruik maken van frameworks zoals STRIDE-LM en MITRE ATT&CK. Deze frameworks zijn diepgaand en zijn toepasbaar op afgebakende casussen, niet op grote casussen zoals “de hele bedrijfsvoering” of “het primaire proces”. Toch zijn ze hier ter inspiratie toegevoegd.
STRIDE is een klassiek model dat helpt bij het identificeren van risico’s op basis van zes categorieën: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service en Elevation of Privilege. De toevoeging “LM” staat voor Lateral Movement, waarmee dreigingen van laterale bewegingen in het netwerk door aanvallers na de initiële toegang worden geïdentificeerd. De thema’s in STRIDE faciliteren de dialoog rondom de verschillende dreigingen.
Als je realistische aanvallen en verdedigingsmaatregelen in kaart wilt brengt kan MITRE ATT&CK hierin ondersteunen. ATT&CK is een gedetailleerd framework dat aanvalstechnieken en tactieken beschrijft over de gehele cyberkillchain heen.
Door STRIDE-LM en ATT&CK te combineren verkrijg je gedetailleerd inzicht in dreigingen.
Lees hier meer: https://attack.mitre.org/resources/
De workshop begint in een energieke sfeer. Aan een grote tafel verzamelen zich collega’s uit verschillende disciplines: IT, security, compliance en de afdeling die verantwoordelijk is voor het ontwerp en beheer van de blauwdrukken. Iedereen is scherp en betrokken. De opdracht is helder: Wat kan er allemaal misgaan rondom onze blauwdrukken?
Met behulp van clusterbrainstorming gaan de deelnemers aan de slag. Ideeën worden op post-its geschreven, gegroepeerd en besproken. Al snel ontstaat een lijst van risicoscenario’s, geformuleerd in het afgesproken format: Actor X wil A, en doet daarom B. Dit leidt tot C.
Om de brainstorm te verbreden, wordt het STRIDE-LM-model ingezet. Dit helpt om blinde vlekken te voorkomen en ook minder voor de hand liggende risico’s te identificeren. Vervolgens wordt de ATT&CK-matrix erbij gepakt om de scenario’s verder te concretiseren. Door tactieken en technieken toe te voegen, krijgen de scenario’s meer diepgang en realiteitswaarde.
Een van de scenario’s die uit de sessie naar voren komt, luidt als volgt:
Criminelen (X) proberen de organisatie af te persen (A) en starten hun aanval door eerder gelekte wachtwoorden te testen op accounts van medewerkers (B). Ze hopen dat deze wachtwoorden hergebruikt zijn. Omdat op meerdere accounts geen multifactorauthenticatie (MFA) is ingesteld, lukt het hun om via deze legitieme accounts toegang te krijgen tot interne systemen (C).
Het scenario roept bij meerdere deelnemers direct herkenning op. Het is een concreet voorbeeld van hoe het ontbreken van MFA kan leiden tot schade aan de blauwdrukken. De groep besluit daarom onder andere dit scenario mee te nemen in de verdere prioritering.
Stap 3: Wat zijn de grootste risicoscenario’s?
Na stap 2 heb je een verzameling aan scenario’s, dingen die mis zouden kunnen gaan rondom de belangrijkste data van jouw organisatie. Maar welke scenario’s maken nu de meeste kans om werkelijkheid te worden? In deze stap ga je hier een waarschijnlijkheidsinschatting van maken. Door de kans van de geïdentificeerde dreigingen te bepalen, worden de risico’s inzichtelijk en concreet.
Je begint met een individuele inschatting, gevolgd door een groepsgesprek. Werk hierbij toe naar een gedeeld beeld van de meest waarschijnlijke risicoscenario’s.
De clusterbrainstormmethode kan ook helpen deze stap invulling te geven.
Doordat er mensen in de workshop zitten uit verschillende delen van de organisatie kan deze uiteenlopende kennis en ervaring worden ingezet bij het maken van de prioritering. Een open dialoog bepaalt de kwaliteit van deze analyse. Zorg daarom voor een veilige omgeving en de mogelijkheid voor iedereen om zich uit te spreken.
Een manier om hier invulling aan te geven is:
- Een individuele inschatting van de volgorde in de scenario’s. Geef de aanwezigen de opdracht om een rangschikking aan scenario’s te maken en daarbij ook na te denken over de kans en de impact.
- Laat de aanwezigen hun rangschikking toelichten. Ga bij deze toelichting opzoek naar overeenkomsten en verschillen in eerdere toelichtingen.
- Kom na iedereen gehoord te hebben als groep tot concensus over de rangschikking aan risicoscenario’s.
Gebruik een risicomatrix om inzicht te creëren
Een risicomatrix is een eenvoudige en effectieve manier om de weging van deze scenario’s visueel te maken en de organisatie hierover te informeren. Hiermee laat je in één oogopslag zien welke scenario’s de grootste aandacht verdienen.
De inschatting van de impact hebben we al gedaan tijdens het identificeren van de belangrijkste data van jouw organisatie. Daardoor hebben alle scenario’s een hoge impactscore. Het verschil zit in de kans dat het scenario zich voordoet, dit hebben we met elkaar ingeschat in stap 3. Door kans en impact samen in een matrix visueel te maken ontstaat een helder overzicht van prioriteiten.
Voorbeeld van een risicomatrix
Alle aanwezigen maken hun top-10 aan risicoscenario’s die ze vervolgens plenair aan elkaar presenteren. Er zijn verschillen van inzicht maar daarnaast komen bepaalde scenario’s bijna bij iedereen terug.
Sommige collega’s noemen ransomware als het grootste risico, anderen focussen op insider threats of kwetsbaarheden in third-party software. Er ontstaat een levendige discussie. Verschillen in perspectief worden zichtbaar, maar ook opvallende overeenkomsten: scenario’s zoals phishing via persoonlijke devices en het delen van de blauwdrukken met partners via de e-mail komen bij bijna iedereen terug.
De facilitator schrijft mee op een groot whiteboard. Zodra alle top-10-lijsten zijn besproken, worden de scenario’s die door meerdere mensen zijn genoemd samengevoegd tot een voorlopige top-5. Deze lijst vormt het fundament voor de rest van de sessie.
Daarna volgt een tweede ronde. De facilitator nodigt iedereen uit om scenario’s te nomineren die ze zelf niet hadden genoemd, maar die ze na het horen van collega’s toch belangrijk vinden. “Wie wil een scenario voordragen dat nog niet in de top-5 staat, maar volgens jou absoluut thuishoort in onze top-10?” vraagt hij. Handen gaan omhoog. Een collega uit compliance noemt het risico van onvoldoende logging bij kritieke systemen. Iemand van operations wijst op het gevaar van shadow IT.
Langzaam vult het bord zich met vijf aanvullende scenario’s. De groep discussieert over de kans en impact waarna een top-10 ontstaat. Er is uiteindelijke geen stemming nodig, iedereen kan zich vinden in de top-10.
Aan het eind van de sessie is iedereen positief en tevreden. Er hangt een gevoel van gezamenlijke verantwoordelijkheid in de lucht. Niet alleen is er een gedeeld beeld van de grootste risico’s, maar ook een sterker begrip van elkaars zorgen en prioriteiten.
Met deze top-10 lijst kan de organisatie gericht met de beveiliging van de blauwdrukken aan de slag.
Afronding
Sluit de workshop af met een korte samenvatting van de belangrijkste inzichten.
Leg vast:
- Welke belangrijkste data van de organisatie het uitgangspunt was voor de analyse
- Welke dreigingen jullie het meest serieus nemen en waarom
- Welke risicoscenario’s de grootste kans en impact hebben en daardoor het meest voor de hand liggen om als eerst te mitigeren
- Belangrijke overwegingen en conclusies die jullie hebben gebruikt om te komen tot de geprioriteerde lijst risicoscenario’s.
Met deze lijst aan geprioriteerde risicoscenario’s ga je gericht aan de slag. Je weet nu immers waar de organisatie de grootste risico’s loopt.
Tot slot
In dit artikel hebben we op hoofdlijnen de stappen uitgelegd hoe je kunt komen tot een geprioriteerde lijst van risicoscenario’s. Er zijn verschillende analysetools die je kunt inzetten om dit inzicht te creëren.
Nog een stap verder gaan? We hebben acht analysetools geselecteerd die je kunnen helpen je om analyses zorgvuldiger, consistenter en betrouwbaarder uit te voeren.