Cybersecurity Module 1 - Concepts I PDF

Summary

This document provides a comprehensive overview of cybersecurity concepts, including information security, cyber security, and the related principles and elements. It covers topics such as confidentiality, integrity, and availability, and the practical applications in real-world scenarios and examples.

Full Transcript

 Informatiebeveiliging
Wat is cyber beveiliging?
Fysische
beveiliging
 Informatiebeveiliging?
 Beveiliging van informatie in welke vorm dan ook
 Ook fysieke vormen van informatie (bijv. papier)
 Inclusief fysieke bedreigingen voor informatie (bv. aardbeving)
 Cyber Beveiliging als onderdeel van informatiebeveiliging
 Beveiliging van "informatie" in de cyberwereld OT
Cyber Beveiliging
 In de cyberwereld wordt informatie verwerkt, opgeslagen op en getransporteerd via
computers die op het internet zijn aangesloten.
 Uitbreiding cyberveiligheid (bijv. OT - operationele technologie)
 Ook programma's, apps, configuraties zijn een vorm van gegevens of informatie
 rekening te houden met fysieke bedreigingen indien deze een direct effect hebben op de
cyberwereld (vereist door bepaalde beveiligingsnormen)
CIA - De basisprincipes van Cybersecurity

C……………………………

I……………………………. A…………………………..
CIA - De basisprincipes van Cybersecurity

CONFIDENTIALITY
CONFIDENTIALITEIT

I……………………………. A…………………………..
Confidentialiteit

 Bescherming van informatie tegen ongeoorloofde toegang of bekendmaking.
 Sommige gegevens zijn gevoeliger dan andere. Bv. Medische, financiële, persoonlijke
gegevens, “IPR” (intellectueel eigendom) versus rapport van een interne
personeelsmeeting.
 Sommige gegevens dienen wettelijk beschermd te worden tegen ongeoorloofde
toegang.
Confidentialiteit

 Middelen: toegangscontrole, bestandsattributen, “encryptie”
 Mogelijke gevolgen:
 Ongeoorloofde toegang en bekendmaking tot informatie die valt onder de
privacy wetgeving “GDPR”/”AVG”.
 Verlies van vertrouwen in het bedrijf
 Verlies van een competitief voordeel
 Aanklachten tegen het bedrijf
 Aantasting van de nationale veiligheid
 Verlies van “compliance” (≈naleving)
CIA - De basisprincipes van Cybersecurity

CONFIDENTIALITY

INTEGRITY A…………………………
INTEGRITEIT
Integriteit

 Bescherming van informatie tegen ongeoorloofde wijzigingen.
 Bv. Veranderen van een overschrijving door een 0 toe te voegen aan het bedrag of
het bankrekeningnummer te wijzigen.
 Ook belangrijk voor software, configuraties, bestuurssystemen.
 Vaak eerste stap waardoor ook andere beveiligingsaspecten in gevaar komen zoals
confidentialiteit.
Integriteit

 Middelen: logboeken (blockchain), digitale handtekeningen, “hash” (“kluts” codes),
encryptie en toegangscontrole.
 Mogelijke gevolgen:
 Fraude
 Onnauwkeurigheid
 Foute beslissingen
 Hardware faalt
 Verlies van compliance
CIA - De basisprincipes van Cybersecurity

CONFIDENTIALITY

INTEGRITY AVAILABILITY
BESCHIKBAARHEID
Availability - Beschikbaarheid

 Bescherming van informatie zodat ze snel en betrouwbaar beschikbaar wordt
gesteld.
 Ook het beschermen tegen ongeoorloofde accidentele of kwaadaardige
verwijdering.
 Zeer belangrijk voor kritieke systemen zoals bijvoorbeeld het aansturen van
transacties op de beurs.
 Geen informatie -> geen mogelijkheid om bij te sturen door
management/bedrijfsleiding.
Availability - Beschikbaarheid

 Middelen: “redundancy”, “High Availibility” systemen, replicatie, backup,
toegangscontrole, “disaster recovery” of “business continuity” plan.
 Mogelijke gevolgen:
 Verlies van functionaliteit en operationele effectiviteit
 Verlies van productietijd
 Verlies van compliance
 Boetes van regelorganen of een juridisch proces
 Belemmeren van de objectieven van het bedrijf
Non-repudiation

 Buiten de CIA, maar een belangrijk grondbeginsel in cyberbeveiliging.
 Definitie: Zich ervan vergewissen dat een bericht of andere informatie authentiek is
EN de persoon die informatie verzendt of ontvangt kan niet ontkennen dat hij de
informatie heeft verzonden of ontvangen.
 In de fysieke wereld: handgeschreven handtekeningen
 In de cyberwereld: digitale handtekeningen en tot op zekere hoogte
transactielogboeken (wordt bv. gebruikt bij Blockchain)
Voorbeelden CIA Triad

 Stelen van iemands bankgegevens.
 Een bank digitaal aanvallen en de som op iemands bankrekening veranderen.
 Iemands gegevens onrechtmatig verwijderen uit een database.
 Een (digitale) handtekening vervalsen.
 Een stroompanne veroorzaken bij een telecom operator (bv. Telenet).
 Een kwaardaardig programma (malware) dat random informatie
verandert op je harde schijf.
 Een bogus website die om je gebruikersnaam en wachtwoord vraagt.
Voorbeelden CIA Triad

 In 2000 haalde een 15-jarige hacker 'Mafiaboy' verschillende grote websites neer,
waaronder CNN, Dell, E-Trade, eBay en Yahoo! Deze aanval had verwoestende
gevolgen -> chaos op de aandelenmarkt.
 eBay meldde dat een aanval in mei 2014 zijn volledige accountlijst van 145 miljoen
gebruikers blootlegde.
 In juni 2019 betaalden twee stadsbesturen in Florida elk honderdduizenden dollars
aan ransomware-actoren om hun getroffen gegevens en activa te herstellen. Riviera
Beach 600.000 dollar, Lake City 460.000 dollar. In België in 2021, IT services betaalt
250 K€.
McCumber Cube - Extensie van de CIA Triad

Voettekst 38
McCumber Cube - Extensie van de CIA Triad

 Wordt ook de “Cybersecurity Cube” genoemd
 Robuust informatiebeveiligingsprogramma houdt rekening met relatie tussen:
 Basis principes cybersecurity (CIA)
 Information states: De verschillende toestanden waarin informatie zich in
een systeem kan bevinden
 Storage, Transmission, Processing
 Safeguards: het volledige scala aan beschikbare beveiligingswaarborgen
dat in het ontwerp moet worden meegenomen.
 Policies & practices (Operations)
 Human factors (Personnel)
 Technology

Voettekst 39
Cyberbeveiliging
Concepten en relaties
Cyber beveiliging concepten en relaties

value
Stakeholders
want to minimize

impose reduce
Controls

can reduce Ris k
may be aware of
can also be found in

Vulnerabilities

make use of increases for
Threat agents

give rise to
Threats Assets
aimed
at
Een voorbeeld (meer later)

 Jong kind van rijke ouders loopt alleen op straat terug van school in buurt rechtse
foto
 Stakeholders/belanghebbenden = ouders, familie, vrienden, school, gemeenschap
 Asset/”onderwerp van belang” = Kind
 Vulnerability/kwetsbaarheid = Kind loopt alleen door een gevaarlijke buurt
 Threat agents/”Bedreigende entiteit” = kidnappers
 Threat/bedreiging = Kidnapper plant om een kind te ontvoeren voor losgeld
 Risk/Risico = reëel en hoog dat kind ontvoerd wordt
 Control(s)/maatregelen = Begeleiding door een volwassene, vervoer per wagen,
lijfwacht
Een IT voorbeeld

 Hacker vraagt privé persoon geld om hem te stoppen met het verspreiden van de pikante
foto's gestolen van zijn computer.
 Stakeholders = private person, …
 Asset = foto's (of de eer van de persoon in kwestie)
 Vulnerability = computer niet voldoende beschermd
 Threat agents = Hacker
 Threat = het verspreiden van de pikante foto’s (NIET het stelen van de foto’s want dat is
reeds gebeurd)
 Risk / Risk = reëel en hoog, aangezien zowel de dreiging als de kwetsbaarheid reëel zijn en
zich vaak voordoen
 Control(s) = betere computerbeveiliging
Definities

 Asset: Iets van materiële of immateriële Stakeholders
value
want to minimize
waarde dat waard is om te
beschermen, met inbegrip van mensen, impose
Controls
reduce

informatie, infrastructuur, financiën en can reduce Risk

reputatie.
may be aware of
can also be found in

 Voorbeeld: privé-foto’s.
Vulnerabilities

Threat agents make use of increases for

give rise to
Threats Assets
aimed
at
Definities

 Stakeholder (belanghebbende): entiteit
(bv. persoon, organisatie, groep) Stakeholders
value
want to minimize

waarvoor de “asset” waarde heeft en
die er belang bij heeft om de “asset” te impose
Controls
reduce

beschermen. may be aware of
can reduce Risk

can also be found in
 Voorbeeld: de eigenaar van privé-foto’s. Vulnerabilities

Threat agents make use of increases for

give rise to
Threats Assets
aimed
at
Definities
value
Stakeholders
want to minimize

 Vulnerability (kwetsbaarheid): Een
zwakheid in het ontwerp, de uitvoering, impose
Controls
reduce

de werking of de interne controle van may be aware of
can reduce Risk

een proces dat de asset zou kunnen can also be found in

blootstellen aan schadelijke dreigingen. Vulnerabilities

 Voorbeeld: een bug (programmeerfout) Threat agents make use of increases for

in een applicatie. give rise to
Threats Assets
aimed
at
Definities
value
Stakeholders
want to minimize

 Threat (bedreiging): Het resultaat of de
uitkomst van de kwaadwillige activiteit impose
Controls
reduce

van een “threat agent”. may be aware of
can reduce Risk

Noteer: Soms wordt “threat” en “threat can also be found in

agent” tezamen gecombineerd in een Vulnerabilities

“threat”. Threat agents make use of increases for

 Voorbeeld: het onrechtmatig give rise to

verspreiden Threats
aimed
Assets

van privé foto’s. at
Definities
value
Stakeholders
want to minimize

 Threat Agent: Alles (bijv. object, stof,
mens) dat in staat is om tegen een impose reduce
Controls

“asset” te handelen op een manier die may be aware of
can reduce Risk

kan leiden tot schade.
can also be found in

Vulnerabilities

 Voorbeeld: Sterke wind (die increases for
bijvoorbeeld een boom kan Threat agents make use of

omverblazen). give rise to
Threats Assets
aimed
at
Definities
value
Stakeholders
want to minimize

 Risk (risico): De combinatie van de
waarschijnlijkheid van een gebeurtenis en de impose
Controls
reduce

gevolgen ervan (ISO/IEC 73). Het risico wordt can reduce Risk
beperkt door het gebruik van “controles”. may be aware of
can also be found in

 Inherent risico: Het risiconiveau of de
blootstelling zonder rekening te houden met de
Vulnerabilities

maatregelen die het management heeft Threat agents make use of increases for
genomen of kan nemen (bijvoorbeeld het
installeren van controles) give rise to

 Restrisico: Na de invoering van controles zal er Threats
aimed
Assets

altijd een restrisico zijn, gedefinieerd als het at

risico dat overblijft nadat het management
risicobeperkende voorzorgsmaatregelen heeft
uitgevoerd. (100% beveiliging)
Definities
value
Stakeholders
want to minimize

 Control (controle): Maatregelen die
worden gebruikt om:
impose reduce
Controls

can reduce Risk
 de asset te beschermen may be aware of
can also be found in

 kwetsbaarheden en gevolgen te Vulnerabilities

verminderen make use of increases for
Threat agents
 en/of het risico tot een
aanvaardbaar niveau te give rise to
Threats Assets
verminderen. aimed
at

 Voorbeeld: Anti-malware software voor
persoonlijke computers
Definities
value
Stakeholders
want to minimize

 Een “stakeholder” hecht waarde aan
een “asset” en gaat steeds proberen impose
Controls
reduce

om het “risico” te beperken door het may be aware of
can reduce Risk

opleggen van “controls”. can also be found in

Vulnerabilities
 Een stakeholder moet zich in principe
bewust zijn van kwetsbaarheden maar Threat agents make use of increases for

is dit vaak niet! give rise to
Threats Assets
aimed
at
Definities
value
Stakeholders
want to minimize

 “Controles” reduceren in het algemeen
het “risico”.
impose reduce
Controls

can reduce Risk

 Voorbeeld: Anti-malware reduceert may be aware of
can also be found in

risico op virussen. Vulnerabilities

 “Controles” kunnen op hun beurt Threat agents make use of increases for

echter ook “kwetsbaarheden”
bevatten! give rise to
Threats Assets
aimed

 Voorbeeld: Foutieve update door at

bekend Anti-malware bedrijf
resulteerde in blauw scherm na reboot.
Definities
value
Stakeholders
want to minimize

 “Kwetsbaarheden” leiden tot een zeker
“risico” maar kunnen gemilderd worden
impose reduce
Controls

door “controles”. may be aware of
can reduce

can also be found in
Risk

 Voorbeeld: Kwetsbaarheid in MS Vulnerabilities

Windows laat toe om vanop afstand make use of increases for
controle te krijgen over PC. Dit kan
Threat agents

gemilderd worden door de juiste anti- give rise to

malware oplossing te installeren. Threats
aimed
Assets

at
Definities
value
Stakeholders
want to minimize

 Threat agents geven aanleiding of zijn
de oorzaak van “threats”. Ze kunnen de
impose reduce
Controls

“asset” beschadigen en/of willen een may be aware of
can reduce Risk

“asset” misbruiken.
can also be found in

Vulnerabilities

 Voorbeeld: Ontvoerder wil een kind make use of increases for
ontvoeren om losgeld te verkrijgen.
Threat agents

Zonder ontvoerder is er geen give rise to

bedreiging! Threats
aimed
Assets

at

 Voorbeeld: Een sterke storm kan een
gebouw beschadigen.
Definities
value
Stakeholders
want to minimize

 Een “bedreiging” wordt gericht op een
“asset” verhoogt het “risico” en
impose reduce
Controls

gebruikt “kwetsbaarheden”. may be aware of
can reduce

can also be found in
Risk

Vulnerabilities

Threat agents make use of increases for

give rise to
Threats Assets
aimed
at
De essentie van cybersecurity

 De kerntaak van cyber security is het identificeren, beperken en beheren van
cyberrisico's voor de digitale assets van een organisatie.
 Cyberrisico is dat deel van het totale risicomanagement dat zich uitsluitend richt op
risico's die zich manifesteren in het cyber domein.
 Door gebruik te maken van een op risico gebaseerde benadering van cyber security
kan een beter geïnformeerde besluitvorming worden genomen om
 de organisatie te beschermen
 en beperkte budgetten en middelen effectief toe te passen.