Samenvatting Basisboek Integrale Veiligheid
Hoofdstuk 24 Informatieveiligheid
24.1 Introductie
Je maakt veel gebruik van digitale gegevens, elke actie die we digitaal nemen, leiden tot nieuwe gegevens die worden verstuur d,
ontvangen en opgeslagen. Steeds meer informatie wordt digitaal opgeslagen. De veiligheid van deze gegevens is cruciaal, je wilt dat
de gegevens beschikbaar zijn als je deze nodig hebt, dat de gegevens kloppen en dat bepaalde informatie alleen voor jou of je
ontvanger toegankelijk is. Door digitalisering neemt de hoeveelheid te beschermen informatie toe en vervolgens kunnen de gevo lgen
ook groter zijn als iets niet klopt, beschikbaar of toegankelijk is door verkeerde personen. Daarnaast worden we wals samenleving
steeds afhankelijker van digitale processen en infrastructuur. Zo kan een storing of digitale aanval ervoor zorgen dat we daar in de
‘offline wereld’ de gevolgen van ondervinden. De term informatiebeveiliging kan ook vervangen worden door het Engelse
cybersecurity. Informatieveiligheid is het beschermen van informatie en de gegevens waarop deze is gebaseerd, het kunnen zowel
digitale als schriftelijke gegevens zijn. De Nederlandse overheid hanteert de volgende definitie van cybersecurity: ‘Het geheel aan
maatregelen om schade door verstoring, uitval of misbruik van ICT te voorkomen en, indien er toch schade is ontstaan, het herstellen
hiervan.’(NCSC 2020, p.11) Een gangbare term als het gaat over veiligheid op het digitale domein is cybercriminaliteit (cyber crime):
‘Alle strafbare gedragingen waarbij ICT-systemen van wezenlijk belang zij in de uitvoering van een delict’. Door gegevens, en de
daaraan ontleende informatie, centraal te stellen, heeft informatieveiligheid een bredere scope dan cybersecurity en cybercrime. Het
beoogt bescherming van zowel digitale als analoge gegevens, en tegen zowel menselijke als niet-menselijke dreigingen, met én
zonder kwade intentie. Bij het beschermen van gegevens spreken we naast informatieveiligheid ook over privacybescherming.
24.2 Belang van informatieveiligheid
24.2.1 Achtergrond en kenmerken
De termen ‘gegevens’ en ‘informatie’ worden in het alledaags leven door elkaar gebruikt. Gegevens zijn observaties van
werkelijkheden die geregistreerd worden (data). Gegevens op zichzelf hebben geen betekenis, als deze in een bepaalde context
geanalyseerd en gestructureerd worden veranderd dit in informatie die voor een bepaalde concrete situatie toepasbaar is
De grote ontwikkeling in de digitalisering van informatie, zorgt ook voor een grotere mogelijkheden om criminaliteit te plegen of
0nopzettelijk verlies van gegevens. Grotere technologische ontwikkelingen zorgen ervoor dat bestaande bedreigingen een potentieel
grotere impact krijgen. Een ontwikkeling die gepaard gaat met nieuwe bedreigingen is het internet of Things (IoT). Steeds meer
apparaten worden aangesloten op het internet. Door gebrek aan updates zijn sommige apparaten makkelijk te hacken en vervolgens
over te nemen qua besturing (meekijken of luisteren).
Een recente ontwikkeling is de toenemende inzet van big data en kunstmatige intelligentie. Door technologische ont wikkelingen
wordt het eenvoudiger om grootschalig gegevens te verzamelen (big data) en te analyseren. Steeds vaker wordt hierbij kunstmat ige
intelligentie ingezet. Bij big data, al dan niet geanalyseerd met kunstmatige intelligentie, speelt informatieveiligheid enerzijds een rol
bij het waarborgen van de veiligheid van de grote datasets en anderzijds bij het rechtmatig distribueren en gebruiken ervan.
Sommige gegevens zijn gevoelig, omdat ze persoonlijk zijn. Deze persoonsgege4vens zijn extra kwetsbaar voor bijvoorbeeld fraude
of ander misbruik. De wetgever definieert persoonsgegevens als ‘alle informatie over een geïdentificeerde of identificeerbare
natuurlijke persoon’ (AVG, 2016, art. 4:1). Het gaat dan om alle gegevens die direct terug te voeren zijn op een specifiek persoon.
Door de wet wordt onderscheid gemaakt tussen persoonsgegevens en bijzondere persoonsgegevens. Bijzondere persoonsgegevens
zijn extra gevoelig, omdat op basis van gegevens mensen gestigmatiseerd of gediscrimineerd kunnen worden. Bij bijzondere
persoonsgegevens is sprake als deze iets zeggen over iemands:
- Ras of etnische afkomst;
- Politieke overtuiging;
- Godsdienst of levensbeschouwelijke overtuiging;
- Lidmaatschap van een vakbond;
- Genetische of gezondheidsstatus;
- Biometrische gegevens waarmee mensen geïdentificeerd kunnen worden;
- Seksueel gedrag of seksuele gerichtheid.
De overheid stelt strenge voorwaarden aan het verwerken van (bijzondere)persoonsgegevens en aan het beschermen hiervan.
Door de toename aan (digitale)gegevens, zijn er steeds meer verschillende typen (persoons)gegevens die moeten worden
beschermd. De discipline van informatiebeveiliging richt zich op het beschermen van deze gegevens, zowel digitaal als in andere
vormen. Hierbij wordt onderscheid gemaakt tussen drie te beschermen aspecten van gegevens: BIV:
1. De beschikbarheid van gegevens, oftewel dat de gegevens op het juiste moment beschikbaar zijn;
2. De integriteit van gegevens, oftewel dat de gegevens juist en compleet zijn;
3. De vertrouwelijkheid van gegevens, oftewel dat de gegevens alleen beschikbaar zijn voor degenen die daartoe
geautoriseerd zijn.
Samen vormen deze drie aspecten indicatoren van de betrouwbaarheid van de informatievoorziening. De volledige definitie luidt :
‘het treffen en onderhouden van een samenhangend pakket aan maatregelen om de betrouwbaarheid (beschikbaarheid, integriteit
en vertrouwelijk) van informatie voorziening te waarborgen’.
De zinsnede samenhangend pakket duit op een gebalanceerde risicobenadering van
informatieveiligheid. De informatiebeveiliging maakt gebruik van de incidentcyclus. Het startpunt
hiervan is een bedreiging, oftewel een potentiële ongewenste gebeurtenis, die een proces of systeem
zou kunnen verstoren en zo tot schade kan leiden.
Als een bedreiging (bijv. brand) zich daadwerkelijk manifesteert op een hiervoor kwetsbaar proces
of systeem (bijv. pc) ontstaat er een storing. Deze verstoring (de pc doet het niet door brand) leidt
tot schade. Het begrip schade moet ruim geïnterpreteerd worden, namelijk alle ongewenste effecten
zoals herstelkosten, misgelopen opdrachten, imagoschade, tijdverlies, ontwrichting etc. de volgende
stap moet dan zijn het herstel van het getroffen proces of systeem. Daarnaast is het proces of
systeem weer functioneel, maar ook weer vatbaar voor een volgende bedreiging. En zo ontstaat een repeterende cyclus.
, 24.2.2 Focus van informatieveiligheid
Informatieveiligheid speelt op verschillende niveaus in onze samenleving. Voor een individu kunnen nare gevolgen worden
ondervonden als BIV niet op orde is. Maar als dit gaat om bijvoorbeeld Sextortion: het chanteren van iemand met pikante beelden,
kan dit leiden tot stress, depressie, trauma of zelfs suïcidaliteit. Ook kan bij het stelen van persoonsgegevens (id-diefstal)
criminaliteit gepleegd worden door fraude te plegen, het afsluiten van leningen, abonnementen of bijvoorbeeld dure aankopen te
doen. Ook voor publieke en private organisaties is het warborgen van informatieveiligheid belangrijk. Bijvoorbeeld het kwijtraken
van bedrijfsgegevens door een brand, waardoor gegevens niet meer kloppend zijn, kan het voortbestaan va neen onderneming op
het spel staan en kan dit zelfs leiden tot faillissement. Het is dus belangrijk om goed nat e denken over bijvoorbeeld reserve kopieën
(back-ups), zowel voor digitale informatie als voor papieren documentaties. Daarnaast is ook cybercriminaliteit een toenemend
probleem voor kleine organisaties. In tegenstelling tot multinationals zijn zij zich baak onvoldoende bewust van de risico’s en
hebben ze niet de kennis en kunde om zich goed voor te bereiden. Financiële schade is vaak het gevolg, maar bijvoorbeeld ook
reputatieschade richting klanten of leveranciers. Tenslotte is informatieveiligheid voor de samenleving als geheel van belang.
Internet en informatietechnologie, en alle informatie die er over heengaat, zijn inmiddels essentiële onderdelen van onze vitale
infrastructuur. Digitale veiligheid, is cruciaal voor het functioneren van onze samenleving. Steeds meer processen worden
gedigitaliseerd en aan elkaar gekoppeld. En bij interrupties kan een groot deel van onze samenleving stilvallen. We hebben als
samenleving in toenemende mate te kampen met spionage door buitenlandse groeperingen en overheidsdiensten die daarvoor
gebruikmaken van het internet (cyberspionage). De achterliggende principes van informatieveiligheid en een risicoanalyse blijven
hetzelfde: gegevens moeten beschermd worden door een inschatting van de belangen, kwetsbaarheden en de bedreigingen, waarna
uiteindelijk maatregelen getroffen moeten worden. Maar ook het verspreiden van opzettelijke onjuiste gegevens (desinformatie) of
het gebruik van deepfakes zijn voorbeelden die te maken hebben met informatieveiligheid en het functioneren van onze
democratische rechtstaat. Deepfake is een techniek voor het manipuleren van beelden met behulp van kunstmatige intelligentie,
waardoor deze bijna niet te onderscheiden zijn van authentieke beelden.
24.3 Bedreigingen
24.3.1 Falen van mensen en organisaties
Mensen in organisaties gebruiken steeds meer digitale gegevens. Mensen maken fouten, al doen ze dat meestal niet expres. Gelukkig
blijft de schade meestal beperkt. Tegelijk komen kleine menselijke fouten zo vaak voor, dat ze samen een groot probleem kunnen
worden. Menselijke fouten, ook met betrekking tot informatie en informatiesystemen, zijn dan ook voor vrijwel elke organisat ie een
grote schadepost. In sommige situaties is de kans op fouten groter dan gemiddeld. Dit zijn vaak organisatorische fouten (slecht
ingewerkt, werken onder tijdsdruk, niet werken met vereiste kwalificaties of werkvoorschriften zijn niet actueel). Niet alle
bedreigingen van menselijke oorsprong zijn onopzettelijk. Mensen kunnen ook crimineel handelen, zoals stelen, afpersen, saboteren,
hacken en spam versturen. Het Nationaal Cyber Security Centrum signaleert in haar trendonderzoek dat criminelen zich steeds
vaker richten op digitale gegevens (2020) Dit kunnen waardevolle bedrijfsgegevens zijn. Om digitale gegevens te bemachtigen,
maken criminele gebruik van klassieke technieken, zoals social engineering (zodanig inspelen op mensen dat deze onbedoeld
gevoelige informatie afstaan) en van moderne digitale technieken zoals hacking en malware. Zo kan malware bijvoorbeeld worden
ingezet om computer te infecteren, om deze later als botnet in te kunnen zetten om iemand grootschalig aan te vallen (DDoS-aanval).
Het achterliggende doel kan afpersingen of sabotage zijn. Een bijzondere variant van opzettelijk verkeerd handelen zijn de
overtredingen te goeder trouw. Als regels en voorschriften in een uitzonderingssituaties niet passend zijn, dan kunne mensen deze
te goeder trouw overtreden. Dit kan zich voordoen wanneer normale procedures niet meer opgaan. Dan kan het gebeuren dat een
overtreding geen schade oplevert, maar juist beperkt.
24.3.2 Falen van informatietechnologie
Voor het verwerken van digitale gegevens wordt in een organisatie informatietechnologie ingezet. Hierin zijn verschillende lagen te
onderkennen:
- Toepassingssoftware (applicaties en apps) en digitale gegevens’
- Besturingssystemen, zoals Microsoft Windows;
- Computers, zoals servers en laptops, en randapparatuur, zoals printers;
- Netwerken.
In elk van deze lagen kan de technologie ontregeld raken, doordat de technologie zelf faalt of door bedreigen van buitenaf. De
toepassingssoftware, de bijbehorende digitale gegevens en de besturingssystemen zijn kwetsbaar voor digitale bedreigingen, zoals
programmeerfouten (bugs), computervirussen, ransomware ne hacking. De meeste toepassingssoftware ne besturingssystemen zijn
dusdanig complex, dat deze niet foutloos ontwikkeld kunnen worden. Sommige fouten hinderen he gebruik van de betreffende
software, of worden op een andere manier ontdekt, waardoor deze hersteld kunnen worden. Een deel van de fouten levert
verborgen ongewenst functionaliteit op die misbruikt kan worden om gevoelige gegevens af te tappen. Of te wijzingen. Regelmat ig
wordt dit soort fouten ontdekt en wordt reparatiesoftware (patches) aangeboden.
Sommige softwarepakketten moeten wekelijks worden ‘gepatched’ om misbruik te voorkomen. Vaak wordt op internet al over
nieuw gevonden fouten gepubliceerd, terwijl de reparatiesoftware nog niet beschikbaar is. Soms worden deze nog niet bekende
fouten (zero day expoits) door criminelen, terroristen en inlichtingenorganisaties zelf gezocht, hierdoor kan het
(ongepatchte)systeem aangevallen worden.
Computers en randapparatuur bestaan deels uit hardware en kunnen daardoor getroffen worden door fysieke bedreigingen.
Enerzijds zijn dit bedreigingen vanuit de hardware zelf (veroudering of slijtage bijvoorbeeld). Anderzijds kan hardware ook
getroffen worden door bedreigingen van buitenaf (bijvoorbeeld een storing in de elektriciteitsvoorziening, uitval van
airconditioning, wateroverlast of blikseminslag). Bovendien ka hardware worden gestolen of gesaboteerd.
Netwerken bestaan ook deels uit hardware. Lokale netwerken kunnen gekoppeld worden tot regionale, nationale en zelfs mondiale
netwerken (bijvoorbeeld internet). Netwerken kunnen gebruikmaken van draadloze communicatietechnieken.
Zowel draadloze als bedrade netweken zijn af te luisteren. Voor sommige draadloze installaties is de beveiliging niet goed ingesteld
en wordt afsluiteren heel eenvoudig. Door in te breken op een systeem kunnen derden ongemerkt de communicatie volgen.
Criminelen kunnen daardoor communicatie manipuleren. Opsporings- en inlichtingenorganisaties kunnen meekijken met criminele
communicatie. Een deel van de hardware is mobiel, zoals laptops, tablets, smartphones en geheugensticks. Verlies van data kan
voorkomen worden door goede back-ups te maken.
