Ons kikkerlandje ligt onder de zeespiegel en daarom zijn er tal van dijken gebouwd, die ons beschermen tegen het water. Wanneer er een scheur in de dijk ontstaat zal dat niet direct zichtbaar zijn, maar het maakt ons wel kwetsbaar voor overstromingen.
Kwetsbaarheden sluimeren ook onopgemerkt in onze digitale wereld. Het probleem van technische kwetsbaarheden is dat ze onzichtbaar door de systemen, netwerken en andere digitale structuren sluipen. Wat maakt een systeem kwetsbaar en hoe kunnen we proactief omgaan met technische kwetsbaarheden? In deze blog gaan we dieper in op het begrip technische kwetsbaarheden, hoe zij schade kunnen aanrichten en hoe we daar proactief mee kunnen omgaan.
Een technische kwetsbaarheid kan worden gedefinieerd als: 'een zwakke plek in een informatiesysteem, beveiligingsprocedure, interne controle of implementatie die kan worden misbruikt of geactiveerd door een bron van dreiging' (aldus het Amerikaanse National Institute of Standards and Technology oftewel NIST). Net zoals een dijk op verschillende plekken kwetsbaar kan zijn, kunnen kwetsbaarheden in een organisatie op verschillende plekken ontstaan, zoals in hardware, software, netwerken, personeel, fysieke locaties en processen.
Kwetsbaarheden kunnen voortkomen uit diverse bronnen. Maken we weer de vergelijking met een dijk, dan kan een scheur bijvoorbeeld ontstaan door ouderdom, de voortdurende erosie door het weer of het verkeerd aanleggen van de dijk. Vertaald naar onze digitale wereld zijn verouderde software, zwakke wachtwoorden, configuratiefouten en verouderde techniek allemaal voorbeelden van technische kwetsbaarheden die systemen kwetsbaar maken.
In de definitie van ‘technische kwetsbaarheid’ hierboven is ook een dreigingselement opgenomen. Een kwetsbaarheid die niet kan worden uitgebuit of geactiveerd door een dreiging is namelijk niet relevant, omdat zulke kwetsbaarheden niet tot schade kunnen leiden. Dreigingen in de wereld van informatiebeveiliging kunnen uit verschillende hoeken komen, waaronder hackers, criminele groepen, nationale staten, (h)activisten, terroristen of zelfs intern personeel. Deze mogelijke bronnen van dreigingen in combinatie met de zwakke plekken in een systeem maakt een organisatie kwetsbaar, bijvoorbeeld voor ransomware.
Als het even kan wil je scheuren in dijken signaleren voordat de dijk doorbreekt, zodat je op tijd verstevigingen kunt uitvoeren of dijken kunt verhogen. Waterschappen en Rijkswaterstaat voeren daarom regelmatig onderhoud en controles uit. Controles kunnen periodiek gepland worden, maar er kunnen ook speciale omstandigheden zijn waardoor een extra controle gewenst is. Bijvoorbeeld omdat de waterstand wordt aangepast, omdat achter een bepaalde dijk een nieuwe woonwijk wordt gebouwd, of omdat in een bepaald gebied veel muskusratten worden gesignaleerd die mogelijk gangen in dijken graven.
Met technische kwetsbaarheden is het niet anders. Ook daarbij wil je de kwetsbaarheden signaleren vóórdat ze misbruikt of geactiveerd worden door een dreiging. Op die manier kun je verouderde software updaten, zwakke wachtwoorden vervangen, configuratiefouten herstellen en verouderde techniek vervangen voordat het te laat is. Het is raadzaam om dit periodiek te doen, en om extra controles uit te voeren bij een grote wijziging. Bijvoorbeeld bij ingebruikname van een nieuw systeem of een nieuwe functionaliteit, bij het koppelen met andere systemen of bij veranderd gebruik.
Het is dan ook niet verwonderlijk dat best practices en normenkaders zoals ISO27001, NEN7510 en de Baseline Informatiebeveiliging Overheid het beheersen van technische kwetsbaarheden voorschrijven. Dit wordt, iets pakkender, ook wel vulnerability management genoemd. Als best practice geldt vanuit de genoemde normenkaders dat een proces moet worden ingericht om technische kwetsbaarheden vast te stellen en aan te pakken. Daartoe dienen rollen en verantwoordelijkheden te worden gedefinieerd ten aanzien van o.a.:
Hulp nodig bij het inrichten van een proces voor vulnerability management? Of bij het identificeren en monitoren van technische kwetsbaarheden en het beoordelen van de risico’s? Onze specialisten hebben ruime ervaring in het opzetten van zulke processen en beschikken over tools om kwetsbaarheden te identificeren en te analyseren. Bekijk de website voor een overzicht van onze diensten of stel je vraag via het contactformulier.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.