Informatiebeveiliging

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Beveiliging door cijfercodes.

Men doet dit door het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een (organisatieafhankelijke) risicoanalyse of een wettelijke verplichting. In Nederland valt hierbij te denken aan de Algemene verordening gegevensbescherming (AVG), de Telecommunicatiewet en andere vigerende wet- en regelgeving. Ten aanzien van beursgenoteerde ondernemingen in de Verenigde Staten moet worden gedacht aan de Sarbanes-Oxley wetgeving. Voor privacybescherming in de Amerikaanse gezondheidssector is bijvoorbeeld de Health Insurance Portability and Accountability Act (HIPAA) maatgevend.

Op basis van een risicoanalyse wordt het gewenste niveau van beveiliging bepaald. Daarbij wordt in de regel een BIV-klasse beschikbaarheid, integriteit (=betrouwbaarheid) en vertrouwelijkheid (=exclusiviteit) bepaald, vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren). De Engelse term die wordt gehanteerd is de CIA Triad: confidentiality, integrity en availability.

  • Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid. Zie ook Business Continuity Management.
  • Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties.
  • Vertrouwelijkheid of exclusiviteit is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.
  • Toerekenbaarheid geeft de garanties dat bij een transactie waarin twee partijen betrokken zijn aantoonbaar is dat beide partijen deel hebben genomen aan de transactie; bijvoorbeeld een verzender kan aantonen dat de ontvanger ontvangen heeft en de ontvanger kan aantonen wie de verzender was.

Geschiedenis

bewerken

Informatiebeveiliging heeft haar oorsprong in de militaire wereld. Al in de tijd van Julius Caesar realiseerden militaire bevelhebbers zich dat ze vertrouwelijkheid en betrouwbaarheid van hun communicatie moesten bewaken. De eerste vormen van cryptografie met de Caesarversleuteling, samen met strikte procedures en fysieke beveiliging (bewaking), moesten hiervoor zekerheid geven.

In het midden van de 19e eeuw werden de eerste rubriceringssystemen ontwikkeld om informatie onder te verdelen in verschillende klassen van gevoeligheid, die met verschillende maatregelen beveiligd moesten worden. De Eerste en Tweede Wereldoorlog versnelden de verdere ontwikkeling van de informatiebeveiliging, maar nog steeds waren offline cryptografie, fysieke beveiliging en strikte procedures de belangrijkste maatregelen.

Aan het eind van de 20e eeuw kwam informatie steeds meer digitaal beschikbaar. Dat betekende voor de informatiebeveiliging dat deze steeds meer te maken kreeg met computerbeveiliging, of cybersecurity. Vanaf dat moment zijn TEMPEST-maatregelen, netwerkbeveiliging (zoals firewalls), online encryptie (zoals een VPN) en identiteits- en toegangsbeheer (zoals biometrische herkenning) vaste onderdelen van informatiebeveiliging, naast nog steeds de fysieke beveiliging en strikte procedures.

In het begin van de 21e eeuw zijn bijna alle organisaties verbonden via internet en steeds meer informatiesystemen wisselen informatie uit via internet. Losse netwerken waarbinnen veilig met zeer gevoelige data gewerkt kan worden, voldoen steeds minder. Netwerken worden dus steeds meer gekoppeld, met het bijbehorende risico dat deze koppelingen misbruikt worden om van buiten bij de gevoelige informatie te komen of om van binnenuit de gevoelige informatie naar buiten te sturen. Informatiebeveiliging krijgt hierdoor steeds meer te maken met begrippen als labeling van data, public-key-vercijfering (PKI) en multi-level-security (MLS). Naast de koppeling van netwerken groeit ook het gemak om grote hoeveelheden informatie fysiek te verplaatsen, door middel van USB-sticks en geheugenkaarten. Berichten in de media over het vergeten of kwijtraken van USB met daarop geheime of gevaarlijke informatie komen dan ook regelmatig voor. Informatiesystemen met zeer gevoelige informatie worden daarom vaker als System High omgeving gebouwd: veelal losse netwerken zonder verbindingen naar andere netwerken en zonder USB-poort.

Informatiebeveiliging binnen organisaties

bewerken

Informatiebeveiliging in de context van een organisatie die met vertrouwelijke informatie werkt, moet goed verankerd zijn in het topmanagement van de organisatie en moet deels gebaseerd worden op het creëren van draagvlak bij gebruikers.

Het realiseren van het overeengekomen niveau van beveiliging is een taak die in de regel wordt toebedeeld aan een informatiebeveiliger, iemand die zich beroepshalve met het vakgebied bezighoudt. Toezicht vindt plaats vanuit de IT-audit discipline en vanwege diverse wettelijke toezichthouders. Door middel van het uitvoeren van IT (informatietechnologie) en privacy audits kan worden vastgesteld of het overeengekomen niveau van beveiliging is gerealiseerd. Ook kan een organisatie worden gecertificeerd op basis van de Code voor Informatiebeveiliging, de Nederlandse versie van de BS 7799-2 en tegen de internationale standaard ISO 27001.

Informatiebeveiliging en ICT

bewerken

Informatiebeveiliging wordt in de 21e eeuw vaak als ICT-verantwoordelijkheid beschouwd, maar kan alleen effectief zijn als onderdeel van de bedrijfscultuur. Informatiebeveiliging mondt vaak uit in zichtbare en voelbare ICT-maatregelen, maar die vloeien voort uit risicoanalyses ten aanzien van de bedrijfsprocessen en kwetsbaarheidsanalyses ten aanzien van de geautomatiseerde ondersteuning van die processen.

Een vergelijkbare beperkte visie op veiligheid is te vinden in organisaties waar beveiliging tegen ongewenste toegang van personen of zaken (fysieke toegangscontrole) gelijkgesteld wordt aan bewaking, terwijl die bewaking slechts een van de onderdelen is van de functiescheiding die nodig is op grond van de theorieën over de administratieve organisatie.

Standaarden en methoden voor informatiebeveiliging

bewerken

Er zijn diverse standaarden en methoden voor informatiebeveiliging ontwikkeld, variërend van standaarden die het volledige proces beschrijven tot standaarden en methoden die een specifiek onderdeel ondersteunen. Vanwege de verschuiving van de bescherming van analoge informatie naar de bescherming van digitale informatie gaan deze standaarden voor een groot deel over de bescherming van computersystemen.

Standaarden die het volledige proces van informatiebeveiliging beschrijven:

Standaarden en methoden voor een deel van informatiebeveiliging:

  • VIR en VIR-BI, een standaard hoe de Nederlandse Rijksoverheid met gerubriceerde informatie om dient te gaan.
  • Baseline Informatiebeveiliging Overheid (BIO), een standaard die beschrijft wat Nederlandse overheidsorganisaties minimaal moeten doen aan informatiebeveiliging, gebaseerd op de ISO 27000-standaarden.
  • Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs (IBP FO), een specifiek voor het Nederlandse onderwijs ontwikkelde standaard, die scholen helpt bij het waarborgen van de privacy en beveiliging van persoonsgegevens.[1]
  • NBA Volwassenheidsmodel voor Informatiebeveiliging, een door de Nederlandse Beroepsorganisatie van Accountants ontwikkeld model dat organisaties en auditors ondersteunt bij het evalueren en verbeteren van de informatiebeveiliging.[2]
  • CRAMM, een risicomanagementmethode die na inventarisatie van de informatie en de risico's een lijst maatregelen oplevert voor de bescherming van een digitaal informatiesysteem, met name gebruikt binnen de Engelse en Nederlandse overheid.
  • EBIOS, een risicomanagementmethode met name gebruikt binnen de Franse overheid en binnen de centrale NAVO organisatie.
  • Mehari,[3] een methode om risicomanagement zoals voorgeschreven in ISO 27005 verder uit te voeren, oorspronkelijk ontwikkeld in Frankrijk maar nu internationaal beschikbaar.
  • Information Risk Analysis Methodology (IRAM),[4] een methode ontwikkeld door ISF om informatiebeveiligingsrisico's in een organisatie te identificeren en te beheren.
  • Risicoreductieoverzicht,[5] een methode om de maatregelen en de daaruit volgende acceptabele restrisico's zoals beschreven in ISO 27005 en NIST 800-30 te visualiseren en bespreekbaar te maken, met name gebruikt binnen de Nederlandse overheid.
  • SPRINT, een methode voor dataclassificatie.
  • Octave, een standaard om planning en besluitvorming rondom risicomanagement te ondersteunen ontwikkeld door Carnegie Mellon University.
  • IETF RFC 2196 site security handbook, een lijst best practices voor beveiliging van met internet gekoppelde systemen.[6]
  • Fault Tree Analysis, een algemene risicomanagementtechniek om zwakheden te analyseren.
  • Attack tree,[7] een methode voor dreigingsanalyse die als onderdeel van risicomanagement gebruikt wordt.
  • Attack countermeasure tree (ACT),[8] een methode om dreigingen en maatregelen in een attack tree wiskundig te kwantificeren om daarmee risicomanagement te optimaliseren.

Europese Unie

bewerken

Algemene Verordening Gegevensbescherming

bewerken

Op 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van kracht als opvolger van de wet bescherming persoonsgegevens. Met het akkoord gaat er in Europa één set privacyregels gelden, in plaats van achtentwintig verschillende regelgevingen.[9]

NIS-richtlijn

bewerken

Bij de netwerk- en informatieveiligheid richtlijn (NIS-richtlijn) worden maatregelen vastgesteld met het oog op het tot stand brengen van een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, teneinde de werking van de interne markt te verbeteren.

NIS2-richtlijn

bewerken

Zoals de naam al doet vermoeden, volgt deze richtlijn de NIS-richtlijn op. De NIS2 is op meer sectoren van toepassing en stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2 wordt momenteel in Nederlandse wetgeving omgezet en introduceert verplichtingen op het gebied van zorgplicht, meldingsplicht, en toezicht.[10]

Elektronische handtekening

bewerken
  Zie Digitale handtekening voor het hoofdartikel over dit onderwerp.

De beveiliging en erkenning van de elektronische handtekening is op Europees niveau geregeld in de eIDAS verordening 910/2014.[11]

Informatiebeveiliging en wetgeving in Nederland

bewerken

De veiligheid van informatie wordt steeds belangrijker in de samenleving. Een van de oorzaken hiervan is verdere ontwikkeling van de kenniseconomie. De wetgeving is de afgelopen paar jaar op een aantal punten aangepast om in te spelen op de juridische aspecten van digitale veiligheid.

Er zijn in Nederland een aantal wetten die een relatie hebben met informatieveiligheid en beveiliging:

Grondwet

bewerken

Artikel 10 van de Nederlandse Grondwet geeft aan dat de persoonlijke levenssfeer aan regels gebonden is als het gaat om het vastleggen en verstrekken van persoonsgegevens. Er wordt mee bedoeld, dat persoonsgegevens niet zomaar mogen worden vastgelegd en verstrekt. Deze wet relateert in zekere mate aan de WBP (Wet bescherming persoonsgegevens). Registraties door overheden zoals de AIVD vallen niet binnen deze wet. Voor deze bijzondere registraties zijn andere wetten zoals de Wet op de inlichtingen- en veiligheidsdiensten.

Artikel 13 van de Grondwet heeft betrekking op onschendbaarheid. Zowel dat het briefgeheim onschendbaar is in alle gevallen en het telefoon- en telegraafgeheim, dat niet geldt voor hen die door de wet zijn aangewezen.

De overheid is in bijzondere gevallen bevoegd om deze onschendbaarheid op te heffen. Mogelijke redenen zijn criminele en vergelijkbare activiteiten.

Deze wet voorziet niet in nieuwe communicatiemiddelen zoals e-mail. De wet zou in 1998 aangepast worden om hier wel in te voorzien, echter is dit nog niet gebeurd.

Wet bescherming persoonsgegevens

bewerken

De Wet bescherming persoonsgegevens (WBP) had als doel het beschermen van de privacy van burgers en bevatte daartoe ook regels ten aanzien van de beveiliging van persoonsgegevens. Deze nationale wetgeving is komen te vervallen door aanname van de hierboven onder 'Europese Unie' genoemde Algemene verordening gegevensbescherming (AVG) die voor de gehele Europese Unie van kracht is.

Auteurswet

bewerken

In bepaalde gevallen kan informatie beschermd worden door een beroep te doen op een wet die het auteursrecht beschermt. Een dergelijke bescherming kan alleen worden ingeroepen door de rechthebbende. Verder moet de informatie voldoen aan de eisen van de betreffende auteurswet. De Nederlandse Auteurswet bevat artikelen over het auteursrecht. De wet heeft niet alleen betrekking op teksten, (video)beelden, etc. maar ook op software. De rechten op databanken worden geregeld in het Databankenrecht.

Wettelijke uitzonderingen daargelaten, is het kopiëren van software zonder toestemming van de rechthebbende een inbreuk op het auteursrecht. Ook het analyseren van software is in principe een als schending van het auteursrecht. Analyseren van software is in principe alleen toegestaan wanneer de software rechtmatig verkregen is en wanneer de analyse het doel heeft om de software te testen, fouten in de software te herstellen of om koppelingen met andere software tot stand te brengen.

De Nederlandse Auteurswet geldt alleen in Nederland. Wel zijn de artikelen over software en andere digitale bestanden gebaseerd op de Europese Software Richtlijn (Richtlijn 91/250/EEG) en de Auteursrecht in de informatiemaatschappij Richtlijn (Richtlijn 2001/29/EG). Dat betekent dat alle lidstaten van de Europese Unie vergelijkbare wetgeving hebben. Voor landen buiten de Europese Unie geldt dat een auteursrechtrechthebbende een beroep kan doen op het auteursrecht van het betreffende land. Dit land moet wel aangesloten zijn bij de Berner Conventie (1886).

Telecommunicatiewet

bewerken

De Telecommunicatiewet heeft als doel het beschermen van de rechten van de burger betreffende elke vorm van digitale communicatie. Allereerst mogen aanbieders van elektronische communicatienetwerken en/of -diensten, volgens artikel 6.1 lid 2 van de Telecommunicatiewet (Telecomwet), informatie die voor of tijdens onderhandelingen of uitvoeren van een overeenkomst aan hen is verstrekt, uitsluitend gebruiken voor het doel waarvoor deze informatie is verstrekt. De verkregen of opgeslagen informatie wordt vertrouwelijk behandeld en wordt niet doorgegeven aan andere partijen.

In artikel 11.2 van de Telecomwet, wordt beschreven dat de aanbieders in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen moeten nemen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. Abonnees moeten hierover worden geïnformeerd. Daarbij dient vermeld te worden welke risico’s het bedrijf eventueel kan lopen en hoe deze worden tegengegaan. Wanneer een aanbieder een abonneelijst uitgeeft of een abonnee-informatiedienst verzorgt moet hij de abonnee voor opname van de persoonsgegevens in de lijst op de hoogte stellen van de doeleinden van deze abonneelijst en/of de desbetreffende abonnee-informatiedienst.

In de abonneelijst en het abonneebestand van de aanbieder worden uitsluitend persoonsgegevens van een abonnee opgenomen als de abonnee daarvoor toestemming heeft verleend. Aan het niet opgenomen zijn in een abonneelijst mogen geen kosten worden verbonden.

De abonnee heeft het recht om kosteloos de betreffende persoonsgegevens in een abonneelijst te verifiëren, te laten verbeteren of te laten verwijderen.

Tot slot kan de Minister afwijken van de gestelde regels. Dit is gesteld in artikel 18.8 van de Telecomwet. De Minister kan met betrekking tot de veiligheid en de beveiliging van communicatienetwerken en diensten regels stellen. Deze regels kunnen technische en organisatorische eisen bevatten die aan de aanbieders worden gesteld.

De e-privacyverordening gaat bepalingen van de Telecommunicatiewet vervangen.

Computercriminaliteit

bewerken

Onder computercriminaliteit wordt vaak verstaan misdrijven die met een computer gepleegd worden waarbij het gebruik van ICT een wezenlijke rol moet spelen bij het misdrijf. Er zijn geen wetten die hier uitsluitend over gaan, maar in het Wetboek van strafrecht (Sr) zijn wel vele artikelen opgenomen met betrekking tot computercriminaliteit. Hieronder vallen: vernieling en onbruikbaar maken, aftappen van gegevens, Denial-of-Service (verstikkingsaanval), computervredebreuk, diensten afnemen zonder betalen en zogenoemde malware (kwaadaardige software). Artikel 138ab lid 1 Sr en art. 144a lid 1 Sr BES gaan specifieker in op het onderwerp computervredebreuk. Hierin worden genoemd: het doorbreken van een beveiliging, gebruikmaken van een technische ingreep, valse signalen of een valse sleutel en het aannemen van een valse hoedanigheid als voorbeelden van computervredebreuk. Deze categorieën zijn niet bedoeld als volledige taxonomie, er kan best overlap tussen zitten.

Wet elektronische handtekeningen

bewerken
  Zie voor Digitale handtekening het artikel Digitale handtekening.

In 3:15a lid 4 van het Burgerlijk Wetboek wordt een elektronische handtekening beschreven als een pakket dat bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authenticiteit te garanderen.

De Wet elektronische handtekeningen (WEH) (een wet die de Boeken 3 en 6 van het Burgerlijk Wetboek wijzigt) biedt mogelijkheden om op elektronische wijze met de burger te communiceren. De WEH biedt de mogelijkheid om elektronisch te ondertekenen zodat men geen gebruik meer hoeft te maken van papier. Dit bevordert snelle communicatie tussen overheid en burger. De WEH geeft aan wat een elektronische handtekening is, welke soorten er zijn en waar deze aan moeten voldoen om bepaalde waarborgen te bieden. Zo kan men aan de hand van deze wet bepalen welke handtekening geschikt is voor die vorm van communicatie en uitwisseling van gegevens die wordt nagestreefd. De WEH brengt meer duidelijkheid over elektronische handtekeningen zoals onder andere pincode, biometrie, dynamische handtekening (digitale pen), ondertekening van de elektronische belastingaangifte, calculators die worden ingezet bij het internetbankieren of een elektronisch ondertekend uittreksel dat door de Kamer van Koophandel wordt uitgegeven. De Europese eIDAS verordening biedt een uitgebreid grens- en sectoroverschrijdend kader voor elektronische handtekeningen.

Medische gegevens

bewerken

Informatiebeveiliging is in ontwikkeling en nergens blijkt dat meer dan in de zorg door de grote spanning tussen het medisch nut van ruime informatie-uitwisseling en privacy van de patiënt. Tijdens het wetgevingsproces rond het landelijk Elektronisch Patiëntendossier kregen die spanningen zelfs een politieke lading. In 2009 nog, nam de Tweede Kamer de wetgeving op het landelijk Elektronisch Patiëntendossier aan, na essentiële amendementen voor de regionale patiëntendossiers (motie Omtzigt en Verweij) waaraan het oorspronkelijke wetsontwerp aan voorbij was gegaan. Daarna stagneerde in de Eerste Kamer het wetgevingsproces omdat men daar meer het accent legde op de privacy.

Informatiebeveiliging en wetgeving in België

bewerken

Overheidsreglementering inzake de informatiebeveiliging valt in België grotendeels onder de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie (FOD Economie).[12] Het toezicht komt onder meer toe aan de Privacycommissie, en op Vlaams niveau, aan de Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer.

Wet bescherming persoonsgegevens

bewerken

In België steunt de bescherming van de persoonsgegevens vooral op de Wet van 8 december 1992, nadien nog gewijzigd.[13]

Inzake e-mail en e-commerce is de oorspronkelijke wet van 11 maart 2003[14] vervangen door de wet van 15 december 2013, waarin ook de geldende EU-richtlijnen zijn opgenomen.[15]

De privacy van werknemers wordt dan weer beschermd door het Koninklijk besluit van 12 juni 2002, waarmee een collectieve arbeidsovereenkomst[16] op dit vlak werd bekrachtigd.

Medische gegevens

bewerken
  Zie Elektronisch patiëntendossier voor het hoofdartikel over dit onderwerp.

Vooral gegevens uit het elektronisch patiëntendossier liggen gevoelig, zowel wat de bescherming ervan betreft, als het raadplegen ervan. Doorgaans wordt de expliciete instemming van de patiënt vereist bij het doorgeven van informatie. In België hanteert men hiervoor ook het begrip geïnformeerde toestemming.[17]

Telecommunicatiewet

bewerken

Hier geldt volgens de wet van 13 juni 2005 het algemeen beginsel van vertrouwelijkheid voor gesprekken en locatiegegevens die via een openbaar communicatienetwerk gevoerd worden. Alleen de gebruikers mogen die gesprekken en gegevens beluisteren of opslaan, tenzij er sprake is van een gerechtelijk onderzoek. Operatoren mogen de locatiegegevens wel gebruiken indien deze anoniem zijn gemaakt, en moeten deze een tijd lang opslaan, volgens de dataretentie-richtlijn.[18]

Computercriminaliteit

bewerken

Het inbreken in computers (hacken), met welk doel ook, is strafbaar op grond van de wet van 28 november 2000 inzake informaticacriminaliteit.[19]

Een speciale afdeling van de federale politie, de Federal Computer Crime Unit, is belast met de beteugeling van cybercriminaliteit.[20] Bescherming en preventie worden op federaal niveau gecoördineerd door CERT.be, het federale cyber emergency team.[21]

Wet elektronische handtekeningen

bewerken

De Europese eIDAS-verordening is omgezet in de Belgische wet van 21 juli 2016.[22]

Zie ook

bewerken
bewerken