23.1 Inleiding
Informa(e: de (subjec+eve) betekenis die mensen toekennen aan gegevens.
Als de digitale informa+ebronnen en -stromen worden verstoord, kan dat een bedreiging vormen voor de
sociale en fysieke veiligheid. Het beschermen van informa+e is het terrein van de informa+ebeveiliging,
oAewel de discipline die zich bezighoudt met het treffen van maatregelen om informa+eprocessen en -
systemen te beschermen.
23.2 Bedreigingen
Het eerste waarvoor binnen de informa+ebeveiliging aandacht is vereist, zijn de bedreigingen (poten+ële
ongewenste gebeurtenissen) die processen of systemen kunnen verstoren en zo tot schade kunnen leiden.
Dit wordt getoond is de incidentcyclus. We onderscheiden twee groepen bedreigingen:
• Menselijk en organisatorisch falen
• Falende informa(etechnologie
Menselijk en organisatorisch falen
Menselijke fouten zijn voor elke organisa+e een grote schadepost. Organisatorische fouten zijn
bijvoorbeeld het niet goed inwerken van nieuwe medewerkers, waardoor ze een te hoge werkdruk ervaren.
Criminaliteit richt zich steeds meer op digitale informa+e. Criminelen maken daarbij gebruik van klassieke
technieken zoals social engineering (zodanig inspelen op mensen dat deze onbedoeld gevoelige informa+e
afstaan) en van moderne technieken zoals hacking en malware. Het doel is vaak afpersing of sabotage.
Een bijzondere variant van verkeerd handelen zijn de opzeKelijke overtredingen te goeder trouw. Als regels
en voorschriAen in een uitzonderingssitua+e niet passend zijn, dan kunnen mensen deze te goeder trouw
overtreden. Het vergt wel een juiste inschaLng door de betrokkenen, anders is er sprake van een
vergissing en zou de schade juist groter kunnen worden. In veel organisa+es worden regels en voorschriAen
niet goed onderhouden. In dergelijke organisa+es kunnen uitzonderingsorganisa+es eerder regel dan
uitzondering zijn. Dat komt de bedrijfsprocessen niet ten goede.
Falende informatietechnologie
De hedendaagse informa+ebronnen en -stromen zijn voor een steeds groter deel digitaal. Dit wordt
gerealiseerd met informa+e- en communica+etechnologie (ICT). In de ICT zijn verschillende lagen te
onderkennen:
• ToepassingssoAware en gegevens
• Besturingssystemen
, • Computers en randapparatuur
• Netwerken
In elk van deze lagen kan de technologie ontregeld raken, doordat de technologie zelf faalt of door
bedreigingen van buitenaf. De toepassingssoAware, de bijbehorende digitale gegevens en de
besturingssystemen zijn kwetsbaar voor bedreigingen. Een belangrijke bedreiging zijn programmeerfouten
(bugs). Sommige fouten in systemen hinderen het gebruik van de betreffende soAware, of worden op een
andere manier ontdekt, waarna ze hersteld kunnen worden. Een deel van de fouten levert verborgen
ongewenste func+onaliteit op die misbruikt kan worden om gevoelige gegevens af te tappen of te wijzigen.
Regelma+g wordt dit soort fouten ontdekt en wordt repara+esoAware (patches) aangeboden.
Criminelen krijgen de gelegenheid ongepatchte systemen aan te vallen omdat vaak op internet al over
nieuwe fouten gespeculeerd wordt, terwijl en nog geen repara+esoAware beschikbaar is.
Andere bedreigingen voor soAware zijn allerhande vormen van malware (virussen, wormen, keyloggers).
Met malware kunnen bijvoorbeeld op grote schaal creditcardnummers en wachtwoorden worden gestolen.
Computer en randapparatuur (printers) bestaan voor een deel uit hardware en kunnen dus getroffen
worden door fysieke bedreigingen. Enerzijds zijn dit bedreigingen vanuit de hardware zelf (veroudering en
slijtage). Anderzijds kan hardware ook getroffen worden door bedreigingen van buitenaf (storing in
elektriciteitsvoorziening).
Netwerken bestaan ook uit hardware, voor een deel. Het bekendste mondiale netwerk is internet.
Netwerken kunnen gebruikmaken van draadloze communica+etechnieken.
23.3 Organisatorische maatregelen
Informa+ebeveiliging begint met het organiseren ervan:
• Beleid formuleren (hierin is zowel de behoeAE aan informa+ebeveiliging beschreven als de wijze
waarop dat ingevuld wordt)
• Benodigde taken en verantwoordelijkheden worden toegewezen + middelen die nodig zijn.
Voor adequate informa+ebeveiliging moeten verschillende func+es ingericht worden. De belangrijkste
func+es zijn:
• Het lijnmanagement (direc+e organiseert informa+ebeveiliging en stuurt die aan)
• De informa(ebeveiligingsfunc(onaris (bereidt beleid op het gebeid van informa+ebeveiliging voor,
etc)
• De informa(ebeveiligingsspecialisten (ontwerpen en implementeren
informa+ebeveiligingsmaatregelen- en producten)
• Interne of externe auditors (toetsen de uitvoering van informa+ebeveiliging)
• Alle medewerkers van de organisa(e zijn betrokken bij het uitvoeren van de
informa+ebeveiligingsmaatregelen en -procedures.
Informa+ebeveiliging is niet alleen uit het oogpunt van effec+viteit en kosten noodzakelijk. Er is ook wet- en
regelgeving waar men aan moet voldoen. Informa+ebeveiliging omvat niet alleen het organiseren ervan,
maar ook het treffen van de benodigde beveiligingsmaatregelen. Enkele belangrijke organisatorische
maatregelen:
• Gedragsregels
• Toegangsregulering
• Func+escheiding
• Incidentenregistra+e
23.4 Technische maatregelen
Doelen en soorten maatregelen
,Om informa+e te beveiligen zijn naast organisatorische ook technische maatregelen nodig. Deze
beschermen de informa+e op de volgende aspecten;
• Beschikbaarheid (dat de informa+e er is wanneer dat nodig is)
• Integriteit (dat de informa+e correct en actueel is en van de juiste bron komt)
• Vertrouwelijkheid (dat de informa+e alleen bij de juiste par+jen komt)
In het Engels heten deze aspecten; availability, integrity, confiden+ality.
Om beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen is een groot aantal technische
maatregelen mogelijk en nodig. De belangrijkste zijn:
• Toegangsregulering
• Fysieke beveiliging
• Communica+ebeveiliging
• Back-up en uitwijk
Toepassingsregulering
Wanneer bekend is wie wanneer bij welke informa+e mag, kan dat met technische middelen worden
afgedwongen. De belangrijkste stap in de toegangsregulering is het vaststellen van de iden(teit van
degene die bij bepaalde informa(e wil. Het vaststellen van de iden+teit kan gebaseerd worden op:
• Iets wat iemand weet
• Iets wat iemand bezit
• Iets wat van iemand is.
Iemand iden+teit alleen vaststellen op basis van een naam en een wachtwoord is een zwakke vorm van
authen+ca+e. Het toevoegen van een calculator of een vingerafdruk maakt authen+ca+e sterker.
Fysieke beveiliging
Computer- en netwerksystemen zijn fysieke systemen met fysieke onderdelen. De beschikbaarheid ervan
kan worden verbeterd door te zorgen voor fysieke versteviging van de onderdelen die kwetsbaar zijn voor
verstoring. Dit betekent:
• Versteviging van zwakke onderdelen
• Betere lagering van draaiende onderdelen
• Regelma+ge schoonmaakbeurten
• Preven+eve vervanging van onderdelen die snel slijten.
Daarnaast dient de fysieke omgeving van de computer- en netwerksystemen beveiligd te zijn tegen externe
bedreigingen. Aangezien vooral grote systemen veel elektriciteit verbruiken en veel warmte afgeven, is het
belangrijk om in die gevallen goede voorzieningen te treffen om stroomuitval op te vangen en warmte af te
voeren. Als erg hoge eisen aan de beschikbaarheid van computer- en netwerksystemen worden gesteld,
dan kunnen deze dubbel (redundant) uitgevoerd worden. De kans dat twee systemen tegelijker+jd uitvallen
is veel kleiner dan de kans dat een systeem uitvalt.
Communicatiebeveiliging
Informa+e moet niet alleen in opgeslagen toestand worden beveiligd, maar ook +jdens de
informa+eoverdracht oAewel communica+e. Onder communica(e valt informa(eoverdracht tussen
computersystemen, mensen en computersystemen en tussen mensen die gebruikmaken van ICT. Tijdens
communica+e is informa+e veel kwetsbaarder dan in opgeslagen toestand. Door gebruik te maken van
filters, zoals firewalls, an+-malware en an+-spam, wordt informa+e gescheiden van vervuiling. Door
bovendien gebruik te maken van crypto grafische technieken is het mogelijk om informa+e te beschermen
tegen aantas+ng en afluistering.
Back-up en uitwijk
, Ondanks alle maatregelen is het mogelijk dat informa+e verloren of aangetast raakt. In dat geval bewijst de
reservekopie geode diensten. Een back-up bevat informa+e. Als de oorspronkelijk informa+e gevoelig of
vertrouwelijk is, dan moet de back-up even goed beveiligd zijn als de originele informa+e. Als een
computersysteem en de daarop draaiende soAware niet meer goed func+oneert, is het handig om over
een reserve- of uitwijksystemen te beschikken.
23.5 Cryptografie
Cryptografie = geheimschriK. De cryptografische algoritmen worden onderscheiden in symmetrische en
asymmetrische algoritmen. Bij een symmetrisch algoritme is de sleutel waarmee vercijferd wordt,
dezelfde als de sleutel waarmee ontcijferd wordt. Daarom is bij symmetrische algoritmen de sleutel zowel
bij de verzender als de ontvanger bekend en is het belangrijk dat beide par+jen de sleutel goed
geheimhouden.
Bij het vercijferen met een asymmetrisch algoritme worden twee verschillende maar bij elkaar horende
sleutels gebruikt, één om te vercijferen en één om te ontcijferen. De ene sleutel, om te vercijferen, wordt
door de eigenaar openbaar gemaakt en de andere sleutel, om te ontcijferen, wordt door de eigenaar
geheimgehouden. Asymmetrische algoritmen zijn minder efficiënt dan symmetrische algoritmen, maar
kunnen wel gebruikt worden om veilig berichten te versturen tussen par+jen die elkaar niet ontmoeten. In
de prak+jk wordt veelal een asymmetrisch algoritme gebruikt om de sleutel voor een symmetrisch
algoritme uit te wisselen, waarna met behulp van het efficiëntere symmetrische algoritme grote
hoeveelheden informa+e uitgewisseld kunnen worden.
Symmetrische algoritme Asymmetrische algoritme
Voordeel Efficiënt Informa+e-uitwisseling
Nadeel Par+jen die elkaar niet kunnen Minder efficiënt
ontmoeten moeten hun geheime
sleutel eerst van de een naar de
ander sturen.
Bekend algoritme AES RSA en ECC
Omdat asymmetrische algoritmen gebruikmaken van twee verschillende sleutels, kunnen deze algoritmen
ook gebruikt worden om aan te tonen dat een bericht van de juiste afzender komt. Hiertoe wordt het
gebruik van de twee sleutels verwisseld.
Een bijzondere vorm van cryptografie is hashing. Dit is een vorm van éénrich+ngsvercijfering. Ontcijfering is
hierbij niet mogelijk. Met een hash-algoritme wordt een soort digitale vingerafdruk, een hash, van een
bericht gemaakt. Deze hash wordt los van het te beveiligen bericht opgeslagen. De hash is niet meer te
ontcijferen, maar op een andere +jd of plaats kan van hetzelfde bericht weer de hash worden gemaakt en
worden vergeleken met de originele hash. Met deze techniek kan worden aangetoond dat informa+e niet
onbevoegd gewijzigd is +jdens opslag of transport. Een randvoorwaarde is dat het wel nodig is dat een
derde persoon niet zelf een bericht kan maken bij een gegeven hash. Een bekend hash-algoritme is SHA.
23.6 Het selecteren van maatregelen
Informa+e is belangrijk en informa+ebeveiliging is nodig om de informa+e te beschermen. Met
risicoanalyse bepaal je tegen welke bedreigingen welke maatregelen nodig zijn.
Kwan(ta(eve risicoanalyse Kwalita(eve risicoanalyse
Je berekent hoe groot de risico’s zijn, op basis van Maakt gebruik van schaLngen voor de kansen en
de kansen dat bepaalde dreigingen optreden en de de mogelijke schade.
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller sarahvonk. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $7.30. You're not tied to anything after your purchase.