Risico - Bedreigingen, kwetsbaarheden en risico’s

4 Cloud privacy risico’s

4.1 Bedreigingen, kwetsbaarheden en risico’s

4.1.1 Risico

In de literatuur bestaan verschillende definities van IT-risico, maar in het kader van dit onderzoek zal ik mij richten op de volgende definitie uit ISO 27005:2011: “The potential that a given threat will

exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organisation. It is measured in terms of a combination of the probability of an event and its consequence.” (bron: [ISO,

2011)

Een IT risico kan worden omschreven als een functie van drie elementen: bedreiging (‘threat’), kwetsbaarheid (‘vulnerability’) en productiefactor (‘asset’). (bron: Jaisingh, 2001) In de vorm van een formule:

Risk = Threat * Vulnerability * Asset

In de formule wordt het inherent risico uitgedrukt, dat betrekking heeft op de kans dat een gebeurtenis plaatsvindt zonder aanwezigheid van beheersingsmaatregelen. Er zijn ook andere interpretaties waarbij eventuele beheersingsmaatregelen (‘countermeasure’) worden verdisconteerd en daarmee een restrisico uitdrukken: (bron: Jarratt, 1995)

Risk = ((Vulnerability * Threat) / CounterMeasure) * AssetValueatRisk)

NIST definieert het risico als een functie van de kans op het optreden van een dreigende gebeurtenis en de negatieve impact (schade) daarvan (bron: NIST, 2012):

Risico = Kans (op het optreden) x Schade (van de gebeurtenis)

In de context van dit onderzoek kan een risico worden beschreven op basis van de identificatie en interpretatie van bedreigingen en kwetsbaarheden, die betrekking hebben op alle productiefactoren bij de CSP die van betekenis zijn voor bescherming van persoonsgegevens onder de AVG.

Een schematische weergave van de relatie tussen de relevante begrippen in het kader van IT risico’s is opgenomen in figuur 8: (bron: ISO, 2012 / Thiel, 2015)

Figuur 8: Relatie tussen bedreigingen, kwetsbaarheden en risico

In de volgende hoofdstukken zal ik een nadere toelichting geven op de definities van de drie kernelementen van risico (productiefactor, bedreiging, kwetsbaarheid) binnen de context van CSP’s. Een toelichting op het begrip beheersingsmaatregel (‘countermeasure’) volgt in hoofdstuk 4.2.1.

4.1.2 Productiefactor (‘asset’)

Een productiefactor betreft alle gegevens, apparaten en andere componenten in het kader van gegevensverwerkingsactiviteiten, die door ongeoorloofde toegang, gebruik, openbaarmaking, wijziging, vernietiging of diefstal, leiden tot verlies voor de organisatie (bron: Jones, 2005). Een informatiesysteem kan de volgende productiefactoren omvatten: programmatuur, gegevens, apparatuur, procedures en mensen. De gegevens worden verwerkt als onderdeel van de informatievoorziening, zijnde het geheel van organisatie (processen, procedures en mensen), architectuur componenten (applicaties, gegevensinfrastructuur), IT-infrastructuur (servers, netwerk, middleware etc.) en de fysieke (basis)infrastructuur (elektriciteitsvoorziening, gebouw etc.). (bron: Houten, 2015) Door globalisatie en de opkomst van cloud computing staan de verschillende lagen steeds vaker vanuit verschillende locaties met elkaar in verbinding, zoals via het internet, of worden deze door verschillende organisaties gerealiseerd.

In het kader van dit onderzoek zijn de persoonsgegevens en de bijbehorende verwerkingssystemen van CSPs de relevante productiefactoren. Alle productiefactoren die van betekenis zijn voor de bescherming van persoonsgegevens dienen in een asset register te worden opgenomen met een risico classificatie voor het kunnen bepalen van passende beveiligingsmaatregelen.

4.1.3 Bedreiging (‘threat’)

Een bedreiging wordt door NIST (bron: NIST, 2012) omschreven als een dreigende gebeurtenis of een incident (een gebeurtenis doet zich voor) met een negatieve invloed op een productiefactor (assets) van een organisatie, bijvoorbeeld door ongeoorloofde toegang tot systemen en data, vernietiging, wijziging van gegevens, verstrekking van gevoelige gegevens, of het niet beschikbaar zijn van systemen en data. Op grond van verschillende bronnen kunnen dreigingen als volgt worden onderverdeeld: (bron: Houten, 2015)

• Menselijke dreigingen:

o Onopzettelijk handelen door gebruikers, externe medewerkers, beheerders etc; o Opzettelijk handelen (misbruik, criminaliteit) zoals fraude, hacking, diefstal. • Niet-menselijke dreigingen:

o Storingen in de infrastructuur (zoals uitval van elektriciteit) of storingen in programmatuur, gegevensbestanden of apparatuur.

De personen of organisaties (‘threat actors’) die met opzettelijk handelen over persoonsgegevens willen beschikken kunnen worden onderverdeeld in vijf categorieën: amateur, professional, criminele organisatie, activistische of terroristische organisatie (voor ‘het goede doel’) en de staatsorganisatie (bron: Houten, 2015).

Een bedreiging bij een CSP kan een negatieve impact hebben op de productiefactoren (zoals verwerkingssystemen) en de bescherming van persoonsgegevens. Het is van belang voor een CSP om een toereikend proces van dreigingen analyse voor persoonsgegevens in te richten, als onderdeel van het risicomanagement systeem.

4.1.4 Kwetsbaarheid (‘vulnerability’)

Een kwetsbaarheid is de mate waarin een productiefactor gevoelig is voor bedreigingen. Deze gevoeligheid ontstaat doordat één of meer kenmerken van een productiefactor (software, databestand etc.) het mogelijk maken dat een dreiging (hacking, storing etc.) een negatieve invloed uit kan oefenen op één van de betrouwbaarheidsaspecten (beschikbaarheid, integriteit, vertrouwelijkheid) van een productiefactor (bron: Houten, 2015) en specifieke privacy kwaliteitsdoelstellingen (zie hoofdstuk 3.1.3). NIST (bron: NIST, 2012) definieert een kwetsbaarheid als: “a weakness in an information system, system security procedures, internal controls, or

implementation that could be exploited by a threat source.” Daarbij geeft NIST aan dat de meeste

kwetsbaarheden in informatiesystemen kunnen worden gerelateerd aan beveiligingsmaatregelen die niet (opzettelijk of onopzettelijk) zijn toegepast of die zijn toegepast, maar een gevoeligheid behouden.

In het kader van de bescherming van persoonsgegevens is het relevant dat een CSP de kwetsbaarheden in het ontwerp, implementatie en effectieve werking van verwerkingssystemen en getroffen beveiligingsmaatregelen tijdig signaleert en herstelt of risico’s beperkt door het treffen van passende beveiligingsmaatregelen. Om kwetsbaarheden tijdig te kunnen ontdekken en herstellen zijn maatregelen als vulnerability management en patch management noodzakelijk, naast een risicomanagement systeem.

4.2 Risicomanagement

Risicomanagement kan worden gedefinieerd als het systematisch identificeren, analyseren en evalueren van risico’s, het inrichten van maatregelen voor de beheersing van deze risico’s, het bewaken van de effectiviteit van deze maatregelen, en het bijsturen van deze maatregelen waar nodig (bron: NIST, 2012). De doelstelling van risicomanagement is het terugbrengen tot een aanvaardbaar niveau van de risico’s die optreden bij het realiseren van strategische doelstellingen. Het volledig wegnemen van risico’s is in de meeste gevallen niet haalbaar en ook niet noodzakelijk. Daarnaast is risicomanagement gericht op het realiseren van kansen. Risicomanagement is naast de (externe) risico’s van het ondernemen bijvoorbeeld ook gericht op de financiële, materiele en personele risico’s, maar ook de risico’s gerelateerd aan informatie. Het risicomanagement van informatie, ofwel informatiebeveiliging, is een onderdeel van integraal risicomanagement.

Onder de AVG [artikel 32 lid 1d en 2] zijn CSP’s, zover zij persoonsgegevens verwerken, verplicht om een risicoanalyse uit te voeren. Door de snelheid waarmee technologische veranderingen plaatsvinden, veranderen ook de dreigingen, kwetsbaarheden en risico’s in hoog tempo. Om te kunnen waarborgen dat tijdig en aantoonbaar identificatie, analyse, evaluatie en beheersing van risico’s plaatsvinden is een risicomanagement proces onontbeerlijk.

In de literatuur zijn veel verschillende methodieken voor risicomanagement beschreven. In het kader van dit onderzoek zal ik er kort een aantal behandelen, te weten ISO 27005, COSO-model en NIST Privacy Engineering. ISO 27005 omdat deze specifiek gericht is op informatiebeveiliging en daarmee relevant is voor de bescherming van persoonsgegevens. Omdat beheersing van privacy risico’s meerdere bedrijfsdoelstellingen (strategisch, operationeel en compliance) en van toepassing is voor alle bedrijfsonderdelen zal ik ook het COSO -model behandelen dat gericht is op risicomanagement voor de totale organisatie (‘enterprise risk management’). Om dit ook op het niveau van (cloud) systemen te waarborgen heeft NIST een privacy engineering privacy proces ontwikkeld dat door een CSP kan worden toegepast in het kader van (niet verplichte) privacy-by-design als onderdeel van de systeemontwikkeling.

4.2.1 ISO 27005

ISO 27005 (2011) geeft richtlijnen voor risicomanagement van informatiebeveiliging en dient ter ondersteuning van de toereikende implementatie van informatiebeveiliging volgens de algemene concepten van ISO 27001 waarin het hoofddoel is om een Information Security Management System (ISMS) in te richten. In ISO 27005 worden de volgende elementen van het IT risicomanagement proces onderkend in een iteratief proces (zie figuur 9): (bron: ISO, 2011)

• Context analyse – op basis van informatie over de organisatie criteria definiëren ten behoeve van risicomanagement, risico evaluatie, impactanalyse en risicoacceptatie.

• Risicobeoordeling (‘risk assessment’) – heeft tot doel om een organisatie te ondersteunen bij het continu identificeren en evalueren van de risico's waaraan de organisatie wordt blootgesteld en bestaat uit de stappen risico identificatie, -inschatting en -evaluatie.

• Risicobeheersing (‘risk treatment’) – bepalen op welke wijze de risico's beheerst kunnen worden, of teruggebracht tot een aanvaardbaar niveau, op basis van de resultaten van de risicobeoordeling (‘risk assessment’) en in overeenstemming met de risicobereidheid (‘risk appetite’) van het management. Daarbij kan een organisatie het risico: vermijden, beheersen, overdragen of accepteren.

• Communicatie – communicatie van de risico’s tussen de verantwoordelijke personen en de belanghebbenden met als doel de resultaten van het risicomanagement proces te delen, besluitvorming te ondersteunen en de bewustwording te verbeteren.

• Monitoring en review – vanwege de snelheid waarmee technologische veranderingen plaatsvinden en daarmee ook de dreigingen, kwetsbaarheden en risico’s in hoog tempo veranderen, is continue monitoring en review van deze ontwikkelingen en de impact op beheersingsmaatregelen van belang.

Het risicoprofiel en het dreigingen landschap is voortdurend in beweging en dat vraagt om actieve monitoring en review van dreigingen en daarbij behorende risico’s. De ontwikkelingen dienen geanalyseerd te worden om zodoende de gevolgen voor de informatiebeveiliging te kunnen bepalen. Deze continue waakzaamheid en kwaliteitsverbetering is zichtbaar in figuur 9 (bron: ISO, 2011).

Figuur 9: Iteratief proces ISO 27005 voor risicomanagement van informatiebeveiliging

Voor een effectieve beveiliging van (persoons)gegevens en de verwerkingssystemen en diensten is een samenhangend pakket aan beveiligingsmaatregelen nodig. Daarvoor dient er inzicht te bestaan in de werking van, en onderlinge relatie tussen, maatregelen. Een beveiligingscyclus (bron: Houten, 2015) kan daarin ondersteuning bieden, zie figuur 10 (bron: Raamstein, 2014).

Figuur 10: Incident- en beveiligingscyclus

In de beveiligingscyclus is een incidentcyclus te onderkennen waarin een dreiging (iets wat zou kunnen gebeuren) zich kan manifesteren in een verstoring, ofwel een beveiligingsincident met gevolgen voor de betrouwbaarheid (BIV) van de informatievoorziening. Door een incident ontstaat schade aan gegevens of andere productiefactoren (assets) dat herstel behoeft. Voor een effectieve beheersing worden aan elk van de vier fasen beveiligingsmaatregelen gekoppeld: (bron: Houten, 2015)

• Preventieve maatregelen – doel is voorkomen dat dreigingen tot een verstoring leiden. Een voorbeeld is een uninterruptible power supply (UPS).

• Detectieve maatregelen – alleen werkzaamheden in combinatie met een actie preventief (trigger) of repressief. Bijvoorbeeld intrusion-detectie, met repressief het afsluiten van internet.

• Repressieve maatregelen – om de negatieve invloed van een verstoring te minimaliseren. Een voorbeeld is een uitwijkfaciliteit.

• Correctieve maatregelen – herstellen van productiefactoren na beschadiging. Dit zijn niet zozeer beveiligingsmaatregelen, maar beheer- of onderhoudsmaatregelen.

Beveiligingsmaatregelen kunnen ook worden ingedeeld naar de wijze waarop ze gerealiseerd worden: (bron: Houten, 2015)

• Organisatorische maatregelen – hebben betrekking op de organisatie, procedures, mensen. • Technische maatregelen – toepasbaar op programmatuur, gegevensbestanden, infrastructuur.

4.2.2 COSO

The Committee of Sponsoring Organizations of the Treadway Commission (COSO) heeft in 2013 een update van het COSO-rapport ‘Internal Control – Integrated Framework’ (1992) gepubliceerd. Het daarin beschreven interne controle raamwerk heeft als doel organisaties te ondersteunen in het verbeteren van hun interne controle systeem. In de 2013 update zijn de vijf elementen van een interne controle systeem (control environment, risk assessment, control activities, information & communication, monitoring) vertaald naar 17 principes om organisaties te ondersteunen bij de risico assessment en de daaruit voortvloeiende noodzakelijke verbeteringen van de interne controle (bron: COSO, 2013).

Het COSO raamwerk bestaat uit drie dimensies met een directe onderlinge relatie weergegeven in figuur 11. De eerste dimensie is gericht op het bereiken van de doelstellingen door een organisatie, gericht op de gebieden:

• Operations – effectiviteit en efficiëntie van bedrijfsprocessen; • Reporting – betrouwbaarheid van de (financiële) rapporteren; • Compliance – naleving van relevante weten regelgeving.

De tweede dimensie heeft betrekking op de acht componenten voor het beheersen van de risico’s inzake de hierboven vermelde bedrijfsdoelstellingen (eerste dimensie). Dit is een iteratief proces waarbij elk van de acht componenten aan elkaar is gerelateerd en van invloed kan zijn op de andere componenten. Dit betreft de volgende acht componenten:

• Control environment – integriteit, cultuur, filosofie omtrent beheersing en acceptatie risico’s; • Risk assessment – analyseren van onderkende risico’s inclusief kans en impact ervan;

• Control activities – inrichten controlemaatregelen volgens risicoplan en waarborgen effectiviteit; • Information & communication – identificeren, vastleggen en communiceren van relevante info; • Monitoring – continue evalueren van het systeem van interne beheersing en samenhang ervan. De derde dimensie zijn de bedrijfsonderdelen waarvoor de interne controle benodigd is

onderscheiden naar vier niveaus in de organisatiestructuur.

Deze drie dimensies zijn samen een geïntegreerd systeem dat kan worden aangepast aan de veranderende omstandigheden.

In document Cloud privacy control framework onder de AVT : impact van de nieuwe privacy wetgeving op de verantwoording door cloud service providers in Nederland (pagina 49-55)