Beveiliging van informatievoorziening: Onderzoek op basis van landelijke enquête '93-'94

(1)

(2)

(3)

BEVEILIGING VAN INFORMATIEVOORZIENING

Onderzoek op basis van een landelijke enquête '93-'94

door de sectie Beheer van Informatiesystemen

van de Technische Universiteit Delft

libliotheek TU Delft

IIIIIW!m~

C 0003213987

(4)

(5)

BEVEILIGING VAN INFORMATIEVOORZIENING

Onderzoek op basis van een landelijke enquête '93-'94

door de sectie Beheer van Informatiesystemen

van de Technische Universiteit Delft

dr. M.E.M. Spruit en prof.dr.ir. M. Looijen

oktober 1994

.tftti

TU Delft

(6)

Stevinweg I 2628 CN Delft

telefoon 015-783254

fax 015-781661

in opdracht van:

M.E.M. Spmit en M. Looijen Postbus 356

2600 Al Delft

CIP-GEGEVENS KONINKLIJKE BIBLIOTHEEK, DEN HAAG

Spmit, M.E.M.

Beveiliging van informatievoorziening, onderzoek op basis van landelijke enquete '93-'94/ M.E.M. Spruit, M. Looijen - Delft: Delftse Universitaire Pers. - 111.

-ISBN 90-407- \072-4 NUGI 855

Trefw.: computerbeveiliging, informatiesystemen

(7)

Inhoudsopgave

Woord vooraf v

Samenvatting vii

1. Inleiding. . . . 1

1.1 Algemeen ... . 1.2 Beveiliging van informatievoorziening en risico-analyse ... 2

1.3 Indeling bedreigingen t.b.v. beveiligingsmaatregelen ... . 4

2. ()nderzoekbeschrijving . . . . . .

7

2.1 Probleemstelling ... 7

2.2 Doelstelling ... 7

2.3 Werkwijze ... 8

3. ()pzet en uitvoering enquête ... ... 9

4. Resultaten enquête ...... ... ... 13

4.1 Respons en registratie ... ... 13

4.2 Bedreigingen ... 17

4.3 Maatregelen ... ... ... 24

4.4 Effectiviteit van maatregelen ... 32

5. Discussie. . . . 41

6. Conclusies 45 7. Referenties 47 Appendix: Enquête ..... 49

(8)

(9)

Woord vooraf

Een aanzienlijke groep bedrijven en instellingen heeft halverwege vorig jaar de enquête 'Beveiliging van infonnatiesystemen' ontvangen. Zo'n 400 enquêtes zijn ingevuld en teruggezonden.

Gelet op de aard en de omvang van de enquête lag het voor de hand dat, alvorens tot verwerking kon worden overgegaan, eerst nog een groot aantal handelingen gepleegd moest worden vanwege onvolkomenheden en gedeeltelijke invulling. Vervolgens moest er een aanzienlijke hoeveelheid gegevens verwerkt worden om tot het gewenste eindprodukt te komen. Welnu, het eindprodukt is er en wel onder de benaming 'Beveiliging van

informatievoorziening' .

Het onderzoek naar beveiliging van infonnatievoorziening, waarvan de enquête deel uitmaakte, beoogde inzicht te krijgen in reële bedreigingen waaraan infonnatiesystemen zijn blootgesteld en de hiermee in verband staande beveiligingsmaatregelen, alsmede inzicht in de effectiviteit van deze maatregelen en de aspecten die er correlaties mee hebben. Op basis hiervan dienden uitspraken te worden gedaan over de kansen van optreden van bedreigingen en het nut van beveiligingsmaatregelen. Dit alles is geplaatst binnen de disciplines beveiliging, risico-analyse en risico-management die alle deel uitmaken van het onderwijs- en onderzoekgebied 'Beheer van infonnatiesystemen' van de studierichting 'Infonnatiesystemen'.

De respons was, gelet op het delicate karakter van het onderwerp, zowel qua aard als omvang verrassend groot. Kennelijk was het uitgangspunt: een objectief onderzoek, uitgaande van anoniem aangeleverde gegevens, alleszins acceptabel.

Bij de opzet van de enquête (niet de verwerking) werd ondenneer medewerking verleend door vertegenwoordiging van het Ministerie van Binnenlandse Zaken en het Computer Uitwijk Centrum Lelystad, alsmede enkele bedrijven en instellingen die zich beschikbaar hadden gesteld om mee te werken met 'pilot'-enquêtes. Deze instanties zijn wij hiervoor bijzonder erkentelijk.

Het geheel overziende, is de conclusie dat dit onderzoek aan haar doel heeft beantwoord. De praktijk heeft een waardevol beeld gegeven inzake de beveiliging van infonnatie-voorziening en de daannee correlerende aspecten. Dit beeld is als referentiekader te beschouwen om eigen situaties mee te vergelijken en conclusies te trekken. Voorts zijn de resultaten van dien aard, dat inzicht en aanscherping inzake beveiliging van informatie-voorziening in onderwijs en onderzoek hier zondermeer van zijn af te leiden.

(10)

(11)

Samenvatting

Veel bedrijven en instellingen zijn in sterke mate afhankelijk van de informatievoorziening in de vorm van één of meer geautomatiseerde informatiesystemen. De afhankelijkheid kan zo sterk zijn, dat het voortbestaan van bedrijf of instelling atbankelijk is van de betrouw-baarheid of de beschikbetrouw-baarheid van de informatiesystemen.

Op basis van informatie over het aantal en de aard van bedreigingen en de effectiviteit van beveiligingsmaatregelen wordt het mogelijk om een gefundeerde keuze te maken voor de te nemen beveiligingsmaatregelen.

Er zijn echter weinig recente gegevens beschikbaar over het aantal en de aard van bedrei-gingen voor de informatievoorziening in Nederland; gegevens over de effectiviteit van beveiligingsmaatregelen ontbreken vrijwel volledig. Hierdoor schieten risico-analyses en beveiligingsstrategieën nogal eens tekort.

Het hier beschreven onderzoek beoogt het inventariseren van het aantal en de aard van bedreigingen waaraan informatievoorziening blootgesteld staat, en het inventariseren van de aard en de effectiviteit van in de praktijk genomen beveiligingsmaatregelen.

Op basis van de resultaten hiervan kunnen uitspraken gedaan worden over de kansen van optreden van verschillende bedreigingen, en over het nut van verschillende beveiligings-maatregelen. Hiermee wordt een referentiekader gevormd waarme~ beveiligingssituaties vergeleken en eventueel getoetst kunnen worden.

Behalve naar de kans van bedreigingen is ook gekeken naar aspecten die er een relatie mee hebben, zoals de waarde van de opgestelde automatiseringsapparatuur en de branche (bedrijfsklasse). Tevens is onderzocht welke relaties er bestaan tussen de effectiviteit van beveiligingsmaatregelen en de aanwezigheid van een beveiligingsplan. Waar mogelijk, zijn de gevonden relaties verklaard.

De verschillende beveiligingsmaatregelen zijn ieder als een geheel beschouwd. Dit betekent, dat er niet gekeken is naar implementatieverschillen, die kunnen ontstaan doordat procedures, die deel uitmaken van een beveiligingsmaatregel, binnen verschillende organisaties op verschillende wijze ingevuld zijn.

Het onderzoek is gebaseerd op een enquête, die uitgestuurd is naar 1956 nederlandse bedrijven en instellingen met tenminste 50 werknemers. Van de 391 geretourneerde enquêtes waren 362 (18.5% van de uitgestuurde enquêtes) geschikt voor verdere verwerking. De resultaten, die volgen uit de analyse hiervan, worden hieronder besproken.

(12)

Aangezien het belang van infonnatievoorziening voor bedrijven en instellingen aanzienlijk is, zou de conclusie getrokken mogen worden, dat er, ten behoeve van de informatie-voorziening, een duidelijk en degelijk beleid gevoerd wordt met betrekking tot risico's en beveiliging. Echter, ongeveer de helft van de bedrijven en instellingen beschikt niet over een beveiligingsplan voor de infonnatievoorziening, of over een document dat daannee vergelijkbaar is. Bovendien is ongeveer de helft van de bedrijven en instellingen niet in staat om gegevens te reproduceren met betrekking tot opgetreden bedreigingen en daaruit voortvloeiende verstoringen. Dit leidt ertoe, dat veelal niet of nauwelijks geanticipeerd kan worden op potentiële bedreigingen.

Enkele bedreigingen van de informatievoorziening manifesteren zich per bedrijf of instelling gemiddeld ongeveer één of meer keer per jaar. Dit zijn: storing in de stroomvoor-ziening, storing in apparatuur, storing in programmatuur, gebruikersfouten, privégebruik en (computer)virus. De aantallen manifestaties van deze en andere bedreigingen van de informatievoorziening zijn in dit onderzoek in kaart gebracht. De frequentie waarin bedreigingen voorkomen hangt zowel af van de waarde van de automatiseringsapparatuur, alsook van de branche (bedrijfsklasse). Privégebruik van apparatuur, programmatuur of gegevens wordt lang niet overal gezien als een bedreiging.

De beveiligingsmaatregelen die genomen zijn ter bescherming van de informatie-voorziening, worden over het algemeen nog te weinig gebaseerd op een risico-analyse. Veelal worden beveiligingsmaatregelen niet zozeer gekozen om te beschermen tegen frequente bedreigingen, maar eerder om te beschennen tegen beruchte bedreigingen (bijvoorbeeld manipulatie, vernieling en virus) en bedreigingen waarvoor het gebruikelijk of verplicht is om maatregelen te nemen (bijvoorbeeld brand, hacking en inbraak). Voor enkele beveiligingsmaatregelen is de effectiviteit onderzocht. Dit zijn: maatregelen tegen brand, maatregelen tegen storing in de stroomvoorziening, (stil) alann, virusdetectie, backup en uitwijken. Opmerkelijk is dat de maatregelen tegen brand (blusmiddelen, brandwerende kluizen, brandisolatie en compartimentering) zeer weinig effectief blijken te zijn. Daarentegen is backup een zeer effectieve maatregel met bovendien een 'breed' werkingsterrein. De effectiviteit van backup hangt overigens wel af van de backup-frequentie en de plaats waar backup-media opgeslagen worden. Maatregelen tegen storing in de stroomvoorziening (noodstroomvoorziening), (stil) alann en virusdetectie laten een effectiviteit zien van meer dan 80%. De effectiviteit van uitwijk kon in dit onderzoek niet goed bepaald worden. Wel is duidelijk dat de effectiviteit van uitwijk afhangt van de soort uitwijkfaciliteit.

(13)

Samenvatting

Over het algemeen gaat de aanwezigheid van een beveiligingsplan samen met een hogere effectiviteit van beveiligingsmaatregelen. Er zijn echter ook uitzonderingen, zoals bijvoorbeeld noodstroomvoorziening, die weinig of geen correlatie vertonen met het al dan niet aanwezig zijn van een beveiligingsplan. Overigens kan niet de conclusie getrokken worden, dat het invoeren van een beveiligingsplan op zichzelf een verbeterend effect heeft op de effectiviteit van beveiligingsmaatregelen. Om een zo hoog mogelijke effectiviteit te krijgen, moeten beveiligingsmaatregelen op elkaar worden afgestemd. Bovendien moeten beveiligingsmaatregelen op een afdoende wijze organisatorisch ingevuld worden, hetgeen onder andere inhoudt dat er voldoende aandacht besteed wordt aan de personele en procedurele invulling van de maatregelen en aan de bewaking ervan. De basis hiervoor wordt gevormd door een evenwichtig beveiligingsbeleid, dat neergelegd is in een beveiligingsplan.

(14)

(15)

1. Inleiding

1.1 Algemeen

Veel bedrijven en instellingen zijn in sterke mate afhankelijk van één of meer geautoma-tiseerde informatiesystemen [LCW92, Warman92]. De afhankelijkheid kan zo sterk zijn, dat het voortbestaan van bedrijf of instelling afhankelijk is van de betrouwbaarheid of de beschikbaarheid van de informatiesystemen.

Het kunnen waarborgen van de betrouwbaarheid en de beschikbaarheid van een informa-tiesysteem staat of valt met het kennen van de factoren die de betrouwbaarheid of de beschikbaarheid kunnen bedreigen. Op basis hiervan kunnen immers het informatie-systeem, en de beveiliging ervan, aangepast worden. Bovendien kan zonodig een gefundeerde keuze gemaakt worden voor een uitwijkfaciliteit of voor verzekering. Een discipline die zich bezighoudt met het analyseren van de factoren die een bedreiging kunnen vormen voor de informatievoorziening is risico-analyse.

Op basis van informatie over de effectiviteit van beveiligingsmaatregelen wordt het mogelijk om, in de praktijk van het beheer van informatiesystemen, een gefundeerde keuze te maken voor de te nemen beveiligingsmaatregelen. Dit heeft gevolgen voor het toekennen en bijstellen van bestedingsbudgetten voor de afdelingen en personen die de relevante taken voor beveiliging moeten uitvoeren.

Het hier beschreven onderzoek maakt deel uit van het onderzoekprogramma van de sectie Beheer van Informatiesystemen van de vakgroep Informatiesystemen van de Technische Universiteit Delft.

Dat beheer van informatiesystemen thans als wetenschappelijke discipline sterk in ontwikkeling is, blijkt ondermeer uit diverse onderzoekprogramma's en publikaties. Daarin wordt het beheer van informatiesystemen onderscheiden in de beheervormen technisch beheer, applicatiebeheer en functioneel beheer [Looijen93, DeLo92]. Het hier beschreven onderzoek richt zich op het technisch beheer, hetgeen zich kenmerkt door het instandhou-den van apparatuur, programmatuur, gegevensverzamelingen en bijbehorende informatie-voorzieningsprocessen. Binnen het technisch beheer richt het onderzoek zich met name op het taakveld beveiliging [DeLo92, OvSi92, NGI92a, NGI91 , Looijen89, HBH88, AHZ85]. Het beoogt een (kwantitatief) fundament te leggen voor het taakveld beveiliging, met name op het gebied van toepassing en effectiviteit. Als gevolg hiervan moet het mogelijk worden, om enerzijds (combinaties van) beveiligingsmaatregelen onderling te vergelijken,

(16)

en anderzijds beveiligingsmaatregelen met bijvoorbeeld uitwijken te vergelijken. Met behulp van deze informatie wordt het mogelijk geacht om per informatiesysteem de doeltreffendheid en de wenselijkheid van beveiligingsmaatregelen te beoordelen.

1.2 Beveiliging van informatievoorziening en risico-analyse

Beveiliging wordt, in het hier beschreven onderzoek, beschouwd met betrekking tot de (geautomatiseerde) informatievoorziening. Informatiesystemen maken deel uit van die informatievoorziening.

De informatievoorziening (IV) is het geheel van technische infrastructuur, gegevens-infrastructuur, informatiesystemen en organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte voor enerzijds het besturen c.q. (doen) uitvoeren van de processen van een bedrijf, en anderzijds voor de verantwoording die daarover moet worden afgelegd [DeL092].

Beveiliging is de implementatie van procedures en voorzieningen in een organisatie, ten

behoeve van bescherming van deze organisatie tegen verstoringen, die schade op kunnen leveren voor (een deel van) de organisatie. Beveiliging van de informatievoorziening omvat beleid, technieken en maatregelen, welke gebruikt worden voor het beschermen van de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid van de informatievoorziening. Beveiligingsmaatregelen kunnen worden onderverdeeld in preventieve en repressieve maatregelen.

Preventieve maatregelen zijn maatregelen die beogen te voorkomen dat bedreigingen tot

een verstoring leiden. Deze maatregelen worden ook wel 1 Slelijns-maatregelen genoemd, omdat deze maatregelen beschouwd kunnen worden als een eerste "schil" van de beveiliging.

Preventieve maatregelen kunnen weer worden onderverdeeld in passieve en actieve maatregelen. Passieve maatregelen beveiligen continu, zonder dat zichtbaar is wanneer de maatregelen effectief zijn. Een voorbeeld hiervan is het gebruik van onbrandbare materialen om brand te voorkomen. Bij actieve maatregelen is het wel zichtbaar wanneer de maatregelen effectief zijn. Een voorbeeld hiervan is het gebruik van brand-isolerende deuren om een reeds aanwezige brand tegen te houden.

(17)

Inleiding

Repressieve maatregelen (2de_{lijns-maatregelen) beogen de negatieve invloed van een}

verstoring te minimaliseren, indien preventieve maatregelen niet succesvol zijn in het voorkomen van de verstoring

Repressieve maatregelen zijn bijvoorbeeld:

• herstel van programmatuur enlof gegevens d.m.v. backup;

herstel van gegevensverwerking d.m. v. uitwijkfaciliteit;

• herstel van gegevensverwerking d.m.v.onderhoudsservice met een contractueel

vastgestelde oplostermijn.

Verzekeren, het dekken van opgelopen schade, wordt gewoonlijk niet als

beveiligings-maatregel beschouwd. Verzekeren zou echter beschouwd kunnen worden als 3de

lijns-beveiligingsmaatregel.

Bij het beveiligen van de informatievoorziening speelt het begrip risico een belangrijke rol. Een risico is de kans op beïnvloeding van een al dan niet tastbaar onderdeel van een organisatie door een bedreiging, zodanig dat dit leidt tot een verstoring van de beschikbaar-heid, betrouwbaarheid enlof vertrouwelijkheid van de informatievoorziening. Verstoring

van de informatievoorziening leidt tot schade, die al dan niet financieel van aard kan zijn.

Een bedreiging is een proces dat in potentie verstorend is voor één of meer onderdelen van de organisatie.

Bedreigingen kunnen in de volgende groepen worden onderverdeeld:

• Invloeden van buitenaf;

Storingen in de infrastructuur;

Storingen in apparatuur, programmatuur of gegevensbestanden; Onopzettelijk foutief handelen;

• Misbruik en criminaliteit.

Om een idee te krijgen over de aard en de grootte van risico's, kan gebruik worden gemaakt van risico-analyse.

Risico-analyse is een methode die informatie oplevert, waarmee het management in staat

wordt gesteld te beslissen welke risico's, of welke combinaties van risico's, een te grote potentiële schade vormen [Lane85]. Risico-analyse omvat de volgende aspecten [NGI92b]:

(18)

Beveiliging van informatievoorziening

het systematisch inventariseren van de bedreigingen waaraan processen onderworpen kunnen zijn;

het inschatten (kansberekening) van de mogelijke gevolgen van het blootstellen van de processen aan die bedreigingen;

het doen van voorstellen om die gevolgen te minimaliseren op basis van de in het beveiligingsbeleid aangegeven uitgangspunten.

Het inschatten van de mogelijke gevolgen van een bedreiging is mogelijk op basis van enerzijds de kans van optreden van de bedreiging en anderzijds de schade die manifestatie van de betreffende bedreiging tot gevolg .heeft.

Het minimaliseren van de gevolgen van bedreigingen (het verkleinen van risico's) kan worden gerealiseerd door het nemen van geëigende (beveiligings)maatregelen. Om te kunnen bepalen welke maatregelen getroffen moeten worden, moet bekend zijn welke effectiviteit maatregelen hebben in het verkleinen van risico's.

1.3 Indeling bedreigingen t.b.v. beveiligingsmaatregelen

Beveiligingsmaatregelen kunnen ingedeeld worden naar de bedreiging waartegen zij beogen te beschermen. Op basis van de eerder genoemde bedreigingsgroepen is de volgende lijst met bedreigingen opgesteld:

Invloeden van buitenaf:

wateroverlast (inclusief waterleidingbreuk); o storm (inclusief vallende voorwerpen);

o brand (inclusief blikseminslag en inductie);

o aardbeving (inclusief funderingsverzakking en heiwerkzaarnheden).

• Storingen in de infrastructuur: stroomvoorziening; koel watervoorziening; o telefoon en telecommunicatie;

(19)

• Storingen in apparatuur, programmatuur of gegevensbestanden: datacommunicatie-apparatuur;

interne netwerken;

o computers, geheugen apparatuur en in-/uitvoerapparatuur;

programmatuur en gegevensbestanden.

• Onopzettelijk foutief handelen:

o operatorfouten;

o gebruikersfouten;

Inleiding

fouten door remote-services (onderhoud door derden m.b.v. telecommu-nicatie);

o fouten door ander personeel.

Misbruik en criminaliteit:

~ Van buiten de organisatie:

o inbraak en insluiping (huisvredebreuk);

o hacking (computervredebreuk; inclusief virus);

o bezetting en gijzeling;

o brandstichting;

sabotage.

~ Vanbinnen de organisatie:

o diefstal van apparatuur;

o diefstal van programmatuur of (vertrouwelijke) gegevens;

vernieling en sabotage van apparatuur;

o vernieling en sabotage van programmatuur of gegevens;

o brandstichting;

o staking en bezetting;

o manipulatie en misbruik van programmatuur of gegevens;

o privégebruik van apparatuur, programmatuur of gegevens.

Bij elk van bovengenoemde bedreigingen kunnen beveiligingsmaatregelen bepaald worden, die de daaraan gekoppelde risico's kunnen verminderen.

(20)

(21)

2. Onderzoekbeschrijving

2.1 Probleemstelling

Er zijn weinig recente gegevens beschikbaar over het aantal en de aard van bedreigingen voor de informatievoorziening in Nederland; gegevens over de effectiviteit van bevei-ligingsmaatregelen ontbreken vrijwel volledig [CBS94, VvV94, Warman92, ChKa90, CCC87, Oonincx84].

Doordat er onvoldoende gegevens beschikbaar zijn met betrekking tot bedreigingen en beveiligingsmaatregelen, schieten risico-analyses en beveiligingsstrategieën nogal eens tekort.

2.2 Doelstelling

De doelstelling van het hier beschreven onderzoek is tweeledig, namelijk:

• het inventariseren van het aantal en de aard van bedreigingen waaraan

informatie-voorziening blootgesteld staat;

het inventariseren van de aard en de effectiviteit van in de praktijk genomen beveiligingsmaatregelen.

Op basis van de resultaten hiervan kunnen uitspraken gedaan worden over de kansen van optreden van verschillende bedreigingen en over het nut van verschillende beveiligings-maatregelen. Hiermee wordt een referentiekader gevormd waarmee beveiligingssituaties

vergeleken en eventueel getoetst kunnen worden. Het referentiekader kan ten eerste

gebruikt worden ter evaluatie van praktijksituaties en kan tevens gebruikt worden binnen

het informatica-onderwijs en -onderzoek.

In dit onderzoek zullen de verschillende beveiligingsmaatregelen ieder als een geheel

beschouwd worden. Dit betekent, dat er niet gekeken zal worden naar

implementatie-verschillen, die kunnen ontstaan doordat procedures, die deel uitmaken van een beveiligingsmaatregel, binnen verschillende organisaties op verschillende wijze ingevuld

(22)

zijn [NGI92a, OvSi92, NGI91 , HBH88, CCC87, AHZ85]. Er kan dus niet gedifferentieerd worden naar verschillende organisatorische invulling van bepaalde maatregelen. Wel wordt er een verband verondersteld tussen bepaalde aspecten van de typering van bedrijf en informatievoorziening enerzijds en anderzijds de wijze waarop bedrijven en instellingen omgaan met de organisatie van beveiliging en beveiligingsmaatregelen. Relaties tussen beveiligingsmaatregelen en typering van bedrijf en informatievoorziening worden wel onderzocht.

Het onderzoek, en daarmee het beoogde referentiekader, beperkt zich tot bedrijven en instellingen binnen Nederland.

2.3 Werkwijze

Het onderzoek is gebaseerd op een enquête, die gehouden is bij 1956 nederlandse bedrijven en instellingen met tenminste 50 werknemers. Omdat beveiliging binnen veel bedrijven en instellingen een gevoelig onderwerp is, is besloten de enquête geheel anoniem te doen zijn.

De enquête wordt beschreven in hoofdstuk 3. De periode waarover bedreigingen en de consequenties daarvan geïnventariseerd zijn, bedraagt 3 jaar.

De gegevens uit de ingevulde enquêtes zijn in eerste instantie allemaal in het statistische pakket SPSS ingevoerd. Vervolgens is de aanzienlijke hoeveelheid opmerkingen verwerkt die als toelichting of aanvulling toegevoegd was aan de ingevulde velden. Bovendien is alle invoer gescreend op klaarblijkelijke fouten. Tenslotte zijn, om invoerfouten zoveel mogelijk te voorkomen, alle velden nogmaals gecontroleerd.

Voor het verwerken van de invoer tot de benodigde resultaten, is gebruik gemaakt van SPSS. Voor het maken van de grafieken, is naast SPSS gebruikt gemaakt van het spreadsheetpakket Quattro Pro.

(23)

3. Opzet en uitvoering enquête

De enquête is zodanig opgezet dat de volgende vraagstellingen beantwoord moeten kunnen worden:

Met welke bedreigingen met betrekking tot de informatievoorziening moet men rekening houden?

Wat is de kans van optreden van verschillende bedreigingen? Welke beveiligingsmaatregelen worden in de praktijk genomen? Hoe effectief zijn de verschillende beveiligingsmaatregelen?

Ten behoeve van het bepalen van eventuele afhankelijkheden, zijn enkele vragen in de enquête gewijd aan het typeren van de organisatie, de informatievoorziening en de beveiliging ervan.

Voor het inventariseren van bedreigingen en beveiligingsmaatregelen is gebruik gemaakt van de lijst met bedreigingen uit paragraaf 1.3. Bij elk van de genoemde bedreigingen is een aantal beveiligingsmaatregelen genoemd die geïmplementeerd kunnen zijn.

Per bedreiging, respectievelijk beveiligingsmaatregel, geeft de enquête de mogelijkheid om aan te geven hoe vaak de betreffende bedreiging zich manifesteerde, welke maatregelen genomen zijn en of de betreffende maatregelen al dan niet succesvol waren. De periode waarin bedreigingen beschouwd worden, is 3 jaar.

Voordat de enquête definitief vastgesteld werd, is de concept-enquête bij verschillende organisaties uitgeprobeerd. Dit heeft geleid tot enkele wijzigingen. De enquête, zoals die uiteindelijk gebruikt is in het onderzoek, is opgenomen in de appendix.

Om met de enquête een zo representatief mogelijk deel van het nederlandse bedrijfsleven te bereiken, is gebruik gemaakt van een commercieel bestand met adressen van bedrijven en instellingen in Nederland, namelijk TOP 100.000 van Directview. Het aantal adressen van bedrijven en instellingen met tenminste 50 werknemers waarbij een Hoofd Automati-sering bekend is, is daarin 6200. Uit die groep is een aselecte steekproef genomen van 2000 adressen. Na screening op onjuiste adressen en op bedrijven en instellingen die onder meerdere namen opereren, bleven 1956 bedrijven en instellingen over. Deze hebben een enquête ontvangen.

(24)

Het belang dat de informatievoorziening heeft binnen de verschillende bedrijven en instellingen, verschilt aanzienlijk. Het belang varieert van zeer hoog, indien bijvoorbeeld de informatievoorziening een primair bedrijfsproces is, tot laag, waarbij nauwelijks gebruik gemaakt wordt van informatievoorzieningsmiddelen (informatietechnologie). De verdeling van de aangeschreven bedrijven en instellingen naar bedrijfsklasse en grootte van de vestiging (aantal werknemers) is aangegeven in figuur 3.1. De volgende bedrijfs-klassen worden in dit onderzoek onderscheiden:

Bedrijfsklasse overheid

industrie

Toelichting

gemeentelijke, regionale, provinciale en landelijke overheid en waterschappen

industrie, grafische sector, uitgeverijen, bouwnijverheid, land- en tuinbouw, handel, transport en nutsbedrijven banken verze- banken, verzekeraars, pensioenfondsen, ziekenfondsen en

keringswezen bedrijfsverenigingen (GAK)

onderwijs gesubsidieerd en niet-gesubsidieerd onderwijs

gezondheidszorg ziekenhuizen, verpleeghuizen, psychiatrische inrichtingen, medische dienstverlening, veterinaire diensten, etc.

zakelijke dienstverlening

niet-zakelijke dienstverlening

accountantsbureaus, woningcorporaties, verhuur van roerende goederen, ingenieurs- en adviesbureaus, uitzendbedrijven, rekencentra, software-leveranciers, etc.

maatschappelijke dienstverlening, cultuur, sport, recreatie, bedrijfs- en werknemersorganisaties, researchinstellingen, sociale en sociaal-culturele instellingen en religieuze organisaties

(25)

Opzet en uitvoering enquête

overheid indusUie bank/ven. onderw. gez.zorg zak.dv. niet-tak.dv. (x2)

Bedrijfsklasse

-

1000->

-

500- 999 l i l 200 - 499 [lil 100-199 D 50- 99

Figuur 3.1-- Aantal uitgestuurde enquêtes per bedrijfsklasse_ Per

bedrijfs-klasse is gedifferentieerd naar de grootte van de vestiging, uitgedrukt in aantal werknemers_

(26)

(27)

4. Resultaten enquête

4.1 Respons en registratie

Van de 1956 uitgestuurde enquêtes werden er 391 geretourneerd, hetgeen neerkomt op een respons van 20%. De verwerking van de enquêtes was volledig anoniem. Hierdoor was het niet mogelijk om navraag te doen in het geval dat een enquête onvolledig of onjuist (bijv. inconsistent) was ingevuld. De niet, zeer onvolledig of klaarblijkelijk onjuist ingevulde enquêtes zijn verder niet meegenomen in de verwerking. Hierdoor waren er 362 ingevulde

enquêtes beschikbaar voor verdere verwerking, hetgeen neerkomt op een respons van

~

₌

_{12(> +}

-5"

e

~

> "3 _c Ol

-<

101aal (x2)

-

1000·>

-

500 -999

-

200 -499 G 100-199 D 50 -99

Figuur 4.1: Aantal verwerkbare enquêtes per bedrijfsklasse. Per bedrijfs-klasse is gedifferentieerd naar de grootte van de vestiging, uitgedrukt in aantal werknemers. Boven de kolommen is de gecorrigeerde respons voor de betreffende bedrijfsklasse vermeld.

(28)

18.5% (362 verwerkbare enquêtes uit 1956 uitgestuurde enquêtes). Deze respons zullen we aanduiden als de gecorrigeerde respons. De verdeling van de verwerkbare enquêtes over de verschillende bedrijfsklassen is weergegeven in figuur 4.1. Bovendien is per bedrijfsklasse aangegeven wat de gecorrigeerde respons is (ten opzichte van het aantal enquêtes dat naar de betreffende bedrijfsklasse uitgestuurd is).

Bedrijven en instellingen konden in de enquête aangeven of zij een systematische registra-tie van verstoringen hadden. 192 bedrijven en instellingen (53%) gaven aan hierover te beschikken. Van deze bedrijven en instellingen bleek het merendeel (65%) een bevei-ligingsplan te hebben, of een document dat daarmee vergelijkbaar is. I De overige 170 bedrijven en instellingen gaven aan dat ze niet over een systematische registratie van verstoringen beschikten. Bij deze groep bleek slechts 39% een beveiligingsplan te hebben.

Uit de enquête-resultaten bleek dat het beschikken over een (systematische) registratie van verstoringen weinig zegt over het kunnen reproduceren van aard en aantal verstoringen. Registratie is echter alleen zinvol indien er ook informatie vanuit het geregistreerde bestand gereproduceerd kan worden. Hieruit volgt dat er een onderscheid gemaakt moet worden tussen het claimen een (systematische) registratie van verstoringen te hebben en het feitelijk blijk geven een dergelijke registratie te hebben. Er wordt in de verwerking van de enquête-resultaten dan ook onderscheid gemaakt tussen de volgende 4 categorieën met betrekking tot de registratie van verstoringen:

Systematische registratie geclaimd

ja nee

ja Jj Jn

Registratie gebleken

nee Nj Nn

In figuur 4.2 is per bedrijfsklasse weergegeven hoe de verdeling is over de verschillende categorieën met betrekking tot registratie. Bovendien is per bedrijfsklasse aangegeven hoeveel enquêtes beschikbaar zijn in de categorieën Jj + Jn; dit zijn de enquêtes waarin

(29)

Resultaten enquête

Jj+Jn: 57% 44% 60% 64% 48% 57% 27% 51%

.onderw. gez.zorg zak.dv. niel-zak.dv. gemiddeld

Bedrijfsklasse

-

Jj

-

Nj

-

Jo D No

Figuur 4.2: Per bedrijfsklasse de verdeling over de verschillende categorieën met betrekking tot registratie. Boven de kolommen is aangegeven hoe groot het aandeel in de categorieën Jj

+

Jn is.

Figuur 4.3 toont de relatie tussen de registratiecategorieën en de waarde van de automatise-ringsapparatuur die in een bedrijf geïnstalleerd is.

Uit figuur 4.3 blijkt dat er een duidelijk verband bestaat tussen het claimen van registratie (categorie J_j+ N) en de waarde van de automatiseringsapparatuur die geïnstalleerd is. Ook het blijk geven van registratie (categorie Jj + Jn) vertoont een duidelijk verband met de

waarde van de automatiseringsapparatuur die geïnstalleerd is. Bedrijven die over veel automatiseringsapparatuur beschikken (> f 2 miljoen; in figuur 4.3 de zesde en zevende kolom) claimen voor het merendeel (86%) een registratie van vèrstoringen te hebben.

Echter, bij een groot gedeelte van deze groep (35%) blijkt dat .de feitelijke registratie inadequaat is (categorie Nj ). Ter vergelijking: gemiddeld claimt 53% registratie te hebben

(30)

Jj+Jn: 33% 41% 46% 61% 53% 56% 71% 51%

< 1 1-2 2-5 5-10 Hl-20 20-50 >50 gemiddeld

Waarde apparatuur per bedrijf (*fl OOk)

-

Jj

-

Nj ~ Jn D Nn

Figuur 4.3: De verdeling over de verschillende categorieën met betrekking tot registratie, uitgezet tegen de waarde van de automatiseringsapparatuur die per bedrijf geïnstalleerd is. Boven de kolommen is aangegeven hoe groot het aandeel in de categorieën Jj + Jn is.

Indien in het vervolg gekeken wordt of bepaalde aantallen of verhoudingen voor bedrijven en instellingen, die over veel automatiseringsapparatuur beschikken, verschillen van het gemiddelde, dan wordt de groep bedrijven en instellingen bedoeld die ieder, naar hun eigen schatting, voor meer dan f 2 miljoen aan automatiseringsapparatuur opgesteld hebben.

In de categorieën Jj

+

Jn zijn in totaal 183 enquêtes beschikbaar. Omdat in deze enquêtes

aantallen genoemd worden voor opgetreden bedreigingen en verstoringen, zijn ze input voor het inventariseren van bedreigingen en verstoringen.

138 enquêtes in de categorieën Jj

+

Jn komen van bedrijven en instellingen met een

geconcentreerde informatievoorziening. Hiervan hebben 16 bedrijven en instellingen aangegeven dat ze alleen over een geconcentreerde informatievoorziening beschikken, en

(31)

informatievoorziening beschikken. Van deze 122 bedrijven en instellingen konden 61 gegevens leveren met betrekking tot beide delen, terwijl de overige 61 alleen gegevens konden leveren voor het geconcentreerde deel.

Voorts komen 106 enquêtes in de categorieën Jj + Jn van bedrijven en instellingen met een

gespreide informatievoorziening. Hiervan hebben 45 betrekking op een situatie waarin sprake is van alleen een gespreide informatievoorziening.

Samengevat:

Enquêtes met gegevens over

Aanwezige informatievoorz.(IV) geconcentreerde IV gespreide IV

alleen geconcentreerde IV 16 alleen gespreide IV 45 geconcentreerde IV

+

gespreide IV 61 61 geconcentreerde IV

+

gespreide IV 61 0 totaal 138 106 4.2 Bedreigingen

In tabel 4.1 staan de aantallen manifestaties van bedreigingen voor geconcentreerde informatievoorziening. Bovendien staat aangegeven hoeveel keer een zich manifesterende bedreiging tot een verstoring heeft geleid.

In tabel 4.2 staan de aantallen voor gespreide informatievoorziening.

Niet in alle meegenomen enquêtes zijn aantallen genoemd voor elke bedreiging. Met name bij de bedreigingen gebruikersfouten en privégebruik. .. 2 zijn vaak geen aantallen vermeld,

of is expliciet aangegeven dat het aantal niet bekend was. Hierdoor zijn de getallen, die voor deze twee bedreigingen in de tabel genoemd staan, een sterke onderschatting van het werkelijke aantal keren dat deze bedreigingen zich gemanifesteerd hebben.

2

De benaming van bedreigingen wordt in de tekst veelal afgekort. Dit wordt aangegeven door middel van puntjes. In paragraaf 1.3 (en in tabel 4.1) zijn de benamingen voluit vermeld.

(32)

Tabel 4.1: Aantal manifestaties van bedreigingen voor geconcentreerde informatie-voorziening, en het aantal keren dat het tot een verstoring gekomen is.

Bedreiging van geconcentreerde informatievoorziening _{manifestaties}Aantal _verstoringenWaarvan Invloeden van buitenaf:

·

wateroverlast (inclusief waterleidingbreuk) 26 8

·

storm (inclusief vallende voorwerpen) 2 I

·

brand (inclusief blikseminslag en inductie) 30 20

·

aardbeving (inel. funderingsverzakking en heiwerkzaamheden) 2 2

Storingen in de infrastructuur:

·

stroomvoorziening 532 150

·

koelwatervoorziening 35 10

·

telefoon en telecommunicatie 178 80

·

airconditioning en stofafzuiging 158 , 41

Storingen in apparatuur, programmatuur of gegevensbestanden:

·

datacommunicatie-apparatuur 965 174

·

interne netwerken 340 136

·

computers, geheugenapparatuur en in-/uitvoerapparatuur 572 151

·

programmatuur en gegevensbestanden 1262 134

Onopzettelijk foutief handelen:

·

operatorfouten 267 124

·

gebruikersfouten 2325 961

·

fouten door remote-services 13 12

·

fouten door ander personeel 11

-

11

•

Van buiten de organisatie:

·

inbraak en insluiping (huisvredebreuk) 97 24

·

hacking (computervredebreuk; inclusief virus) 273 64

·

bezetting en gijzeling I I

·

brandstichting 2 2

·

sabotage 2 2

•

Van binnen de organisatie:

·

diefstal van apparatuur 56

.

54

·

diefstal van programmatuur of (vertrouwelijke) gegevens 5 5

·

vernieling en sabotage van apparatuur 6 2

·

vernieling en sabotage van programmatuur of gegevens 4 I

·

brandstichting 0 0

·

staking en bezetting I 0

(33)

Tabel 4.2: Aantal manifestaties van bedreigingen voor gespreide informatievoor-ziening, en het aantal keren dat het tot een verstoring gekomen is.

Bedreiging van gespreide informatievoorziening _{manifestaties}Aantal _verstoringenWaarvan Invloeden van buitenaf:

·

wateroverlast (inclusief waterleidingbreuk) 6 6

·

storm (inclusief vallende voorwerpen) 0 0

·

brand (inclusief blikseminslag en inductie) 16 13

·

stroomvoorziening 173 72

·

telefoon en telecommunicatie 50 19

·

datacommunicatie-apparatuur 105 34

·

interne netwerken 56 52

·

computers, geheugenapparatuur en in-/uitvoerapparatuur 641 561

·

programmatuur en gegevensbestanden 545 133

·

gebruikersfouten 505 365

·

fouten door ander personeel 35 5

·

inbraak en insluiping (huisvredebreuk) 86 32

·

hacking (computervredebreuk; inclusief virus) 203 31

·

brandstichting 0 0

·

sabotage I 0

•

·

diefstal van apparatuur 55 55

·

diefstal van programmatuur of (vertrouwelijke) gegevens 0 0

·

vernieling en sabotage van apparatuur 9 8

·

vernieling en sabotage van programmatuur of gegevens 29 28

·

brandstichting I I

·

manipulatie en misbruik van programmatuur of gegevens 2 2

·

privégebruik van apparatuur, programmatuur of gegevens 754 751

De manifestaties van de bedreiging hacking blijken vrijwel uitsluitend (> 95%) bepaald te worden door de bedreiging (computer)virus. De bedreiging hacking zal hierna dan ook aangegeven worden als virus.

(34)

Uit de tabellen 4.1 en 4.2 blijkt dat de verschillende bedreigingen grote verschillen vertonen in de frequentie waarin ze voorkomen. Op basis van de frequentie waarin bedreigingen voorkomen, kunnen we bedreigingen, verdelen over drie categorieën, namelijk:

Frequentiecategorie Toelichting

vaak bedreigingen komen frequent tot zeer frequent voor (per

bedrijf gemiddeld I keer of meer per jaar)

soms bedreigingen komen af en toe voor (per bedrijf gemiddeld

minder dan 1 keer per jaar, maar meer dan 1 keer per 10 jaar)

zelden bedreigingen komen zelden tot nooit voor (per bedrijf

gemiddeld minder dan 1 keer per 10 jaar)

De bedreigingen hebben de volgende relatie met deze frequentiecategorieën: Invloeden van buitenaf:

alle: zelden.

o stroomvoorziening: vaak (geconcentreerde IV),

soms (gespreide IV);

o telefoon en telecommunicatie: soms;

o airconditioning en stofafzuiging: soms;

o koelwatervoorziening: zelden.

• Storingen in apparatuur, programmatuur of gegevensbestanden:

o datacommunicatie-apparatuur: vaak (geconcentreerde IV),

soms (gespreide IV);

o computers, geheugenapparatuur en in-/uitvoerapparatuur: vaak;

(35)

• Onopzettelijk foutief handelen: gebruikersfouten: vaak; operatorfouten: soms;

o ander personeel: soms (gespreide IV),

zelden (geconcentreerde IV);

o fouten door remote services: zelden.

Misbruik en criminaliteit: • Van buiten de organisatie:

inbraak en insluiping: soms;

o virus: soms (hacking: zelden);

overige: zelden. • Van binnen de organisatie:

privégebruik van apparatuur, progr. of geg.: vaak (gespreide IV),

zelden (geconcentreerde IV);

o diefstal van apparatuur: soms; o overige: zelden.

Uit bovenstaande lijst blijkt dat slechts enkele bedreigingen in de frequentiecategorie vaak vallen, namelijk:

storing in stroomvoorziening (geconcentreerde IV); storing in datacommunicatie-apparatuur;

storing in computers, geheugenapparatuur en in-/uitvoerapparatuur; storing in programmatuur en gegevensbestanden;

gebruikersfouten;

privégebruik van apparatuur, programmatuur of gegevens (gespreide IV).

Privégebruik... neemt hierbij een bijzondere positie in, omdat het veelal niet als een bedreiging gezien wordt. De opmerkingen die bij privégebruik... genoemd werden,

varieerden van "wordt niet gecontroleerd" tot "wordt als zeer positief ervaren en daarom gestimuleerd" .

Met betrekking tot de bedreigingen uit de frequentiecategorieën soms en zelden zijn weinig gegevens uit de enquêtes beschikbaar. Daarom zal in de verdere bespreking van resultaten voornamelijk gekeken worden naar de bedreigingen uit frequentiecategorie vaak en boven-dien naar de bedreiging virus, omdat deze ook nog betrekkelijk veel gerapporteerd werd.

(36)

Daarentegen wordt verder niet gekeken naar de bedreigingen gebruikers fouten en

privégebruik.... Doordat bij veel van de ingevulde enquêtes hiervoor geen aantallen vermeld stonden, is verdere analyse hiervan onbetrouwbaar. Bovendien zijn er indicaties dat het bedreigende karakter ervan niet overal even duidelijk is.

Een onderscheid tussen datacommunicatie-apparatuur, computers, geheugens, in-/uitvoer-apparatuur en interne netwerken is voor dit onderzoek niet noodzakelijk. Om die reden worden storingen in deze apparatuurcomponenten samengenomen tot storingen in

apparatuur.

De relatie tussen enerzijds het gemiddelde aantal manifestaties van bedreigingen per bedrijf (over 3 jaar) van de geconcentreerde informatievoorziening en anderzijds de waarde van de opgestelde automatiseringsapparatuur, wordt in tabel 4.3 getoond.

TabeI4.3: De relatie tussen het aantal manifestaties van bedreigingen per bedrijf van de geconcentreerde informatievoorziening en de waarde van de opgestelde automatiseringsapparatuur.

Waarde apparatuur per bedrijf <f2 miljoen ;, f2 miljoen Bedreiging

storing in de stroomvoorziening 3 6

storing in apparatuur 7 33

storing in programmatuur 5 21

virus I

.

4

Uit tabel 4.3 blijkt dat met name storing in apparatuur en storing in programmatuur sterk afhankelijk zijn van de waarde van de automatiseringsapparatuur. Dit ligt in de lijn der verwachting, omdat geldt: hoe meer automatiseringsmiddelen er opgesteld zijn (hogere waarde), hoe meer er stuk kan gaan.

Dat ook storing in de stroomvoorziening een, zij het veel zwakkere, afhankelijkheid vertoont van deze waarde, kan verklaard worden door de correlatie tussen de hoeveelheid automatiseringsmiddelen en de tijden dat deze operationeel zijn en dus gevoelig voor

(37)

operationaliteit gedurende kantooruren. Dat operationaliteit zich beperkt tot kantooruren, geldt in nog hogere mate voor gespreide informatievoorziening. Dit komt overeen met de gevonden gevoeligheid van gespreide informatievoorziening voor stroomstoringen (gemiddeld 2 maal per bedrijf), die nog kleiner is dan die voor geconcentreerde informatie-voorziening met minder dan f 2 miljoen aan apparatuur (gemiddeld 3 maal per bedrijf). Dat virus afhangt van de waarde van de automatiseringsapparatuur valt te verklaren door de correlatie tussen de hoeveelheid apparatuur en het aantal gebruikers dat een virus (meestal onbedoeld) in kan brengen.

In tabel 4.4 wordt de relatie getoond tussen enerzijds het gemiddelde aantal manifestaties van bedreigingen per bedrijf (over 3 jaar) van de geconcentreerde informatievoorziening en anderzijds de bedrijfsklasse. Voor niet-zakelijke dienstverlening waren te weinig enquêtes beschikbaar (3) om significante aantallen te bepalen.

TabeI4.4: De relatie tussen het aantal manifestaties van bedreigingen per bedrijf van de geconcentreerde informatievoorziening en de bedrijfsklasse.

Bedrijfsklasse overheid industrie bank/verz. onderwijs gezond- zakelijke niet-zak.

wezen lieidszorg dienstverl. dienstverl.

Bedreiging storing in de 4 3 4 2 5 4 -

•

stroomvoorziening storing in 15 10 51 2 8 7

-

'

apparatuur storing in 8 7 34 2 6 4

-

'

programmatuur virus 3 1 4 3 4 1 -

•

• te weinig gegevens beschikbaar om waarde te bepalen

Uit tabel 4.4 blijkt dat er met betrekking tot storing in de stroomvoorziening slechts kleine verschillen bestaan tussen de bedrijfsklassen. Deze verschillen zijn, in analogie met de afhankelijkheid van de waarde van de automatiseringsapparatuur, te verklaren met de verschillen die tussen de bedrijfsklassen bestaan op het gebied van gemiddelde tijden van operationaliteit.

(38)

Voor storing in apparatuur en voor storing in programmatuur blijken de verschillen

tussen de bedrijfsklassen aanzienlijk groter te zijn. Met name binnen het banken verzekeringswezen manifesteren zich veel van dergelijke storingen. Dit kan verklaard worden door het feit dat een groot deel van de bedrijven en instellingen binnen het bank-en verzekeringswezbank-en (64% uit dit onderzoek) over veel automatiseringsapparatuur beschikt (ter vergelijking: het gemiddelde over alle bedrijfsklassen is 26%; de overheid bevindt zich met 31 % enigszins boven dit gemiddelde). Dat het onderwijs lage aantallen vertoont voor storingen in apparatuur en programmatuur, laat zich verklaren door het kleine aantal onderwijsinstellingen met veel automatiseringsapparatuur (22%). Bovendien hebben de onderwijsinstellingen relatief veel apparatuur en programmatuur ondergebracht in de gespreide informatievoorziening, zodat het aantal storingen in de geconcentreerde informatievoorziening aanzienlijk vermindert.

Opmerkelijk is dat de bedreiging virus maar kleine verschillen laat zien tussen de

verschillende bedrijfsklassen. Bovendien tonen deze verschillen een veel zwakkere relatie met de aantallen storingen in apparatuur enlof programmatuur, dan uit de resultaten van tabel 4.3 verwacht mocht worden. Waarschijnlijk zijn er meerdere factoren van invloed op het aantal manifestaties van deze bedreiging.

4.3 Maatregelen

Tabel 4.5 toont nogmaals de bedreigingen van de geconcentreerde informatievoorziening. Per bedreiging is aangegeven hoeveel bedrijven en instellingen met geconcentreerde informatievoorziening één of meer preventieve (1 Slelijns) beveiligingsmaatregelen getroffen hebben tegen de betreffende bedreiging. Ter bepaling hiervan zijn ook de enquêtes uit de registratiecategorieën Nj en Nn (zie paragraaf 4.1) in aanmerking genomen, hetgeen het totaal op 272 enquêtes brengt. Tabel 4.6 toont de aantallen voor de 233 bedrijven en instellingen met gespreide informatievoorziening.

De bedreigingen waartegen meer dan de helft van de bedrijven en instellingen, die beschikken over een geconcentreerde respectievelijk een gespreide informatievoorziening, preventieve beveiligingsmaatregelen heeft geïmplementeerd, zijn nogmaals in tabel 4.7 weergegeven.

(39)

Tabel 4.5: Het aantal bedrijven en instellingen dat zich beveiligd heeft tegen de verschillende bedreigingen van geconcentreerde informatievoorziening.

Aantal bedrijven Bedreiging van geconcentreerde informatievoorziening _beveil~

(totaal 2) Invloeden van buitenaf:

·

wateroverlast (inclusief waterleidingbreuk) 157

·

storm (inclusief vallende voorwerpen) 91

·

brand (inclusief blikseminslag en inductie) 257

·

aardbeving (inclusief funderingsverzakking en hei werkzaamheden) 20 Storingen in de infrastructuur:

·

stroomvoorziening 197

·

koel watervoorziening 26

·

telefoon en telecommunicatie 108

·

airconditioning en stofafzuiging 99

·

datacommunicatie-apparatuur 95

·

interne netwerken 85

·

computers, geheugenapparatuur en in-/uitvoerapparatuur 83

·

programmatuur en gegevensbestanden 15

·

operatorfouten 60

·

gebruikersfouten 111

·

fouten door remote-services 8

·

•

·

inbraak en insluiping (huisvredebreuk) 247

·

hacking resp. virus 255 resp. 162

·

bezetting en gijzeling 3

·

brandstichting 0

·

sabotage 0

•

·

diefstal van programmatuur of (vertrouwelijke) gegevens 98

·

vernieling en sabotage van apparatuur 80

·

vernieling en sabotage van programmatuur of gegevens 243

·

brandstichting 3

·

staking en bezetting 5

·

manipulatie en misbruik van programmatuur of gegevens 251

·

privégebruik van apparatuur, programmatuur of gegevens 177

(40)

Tabel 4.6: Het aantal bedrijven en instellingen dat zich beveiligd heeft tegen de verschillende bedreigingen van gespreide informatievoorziening.

Aantal bedrijven Bedreiging van gespreide informatievoorziening beveiligd

(totaal 233)

Invloeden van buitenaf:

·

storm (inclusief vallende voorwerpen) 4

·

Storingen in de Infrastructuur:

·

stroomvoorziening 86

·

telefoon en telecommunicatie 38

Storingen in apparatuur, programmatuur of gegevensbestanden:

·

datacommunicatie-apparatuur 49

·

interne netwerken 11

·

computers, geheugenapparatuur en in-/uitvoerapparatuur 47

·

programmatuur en gegevensbestanden 9

Onopzettelijk foutief handelen:

·

gebruikersfouten 77

·

Misbruik en criminaliteit:

.

•

·

inbraak èn insluiping (huisvredebreuk) 204

·

hacking resp. virus 182 resp. 127

·

brandstichting 3

·

sabotage 4

• -

~

·

diefstal van programmatuur of (vertrouwelijke) gegevens 51

·

vernieling en sabotage van apparatuur 50

·

brandstichting 4

·

(41)

Tabel 4.7: De bedreigingen waartegen meer dan de helft van de bedrijven en

instellingen zich beveiligd heeft.

Bedreiging van informatievoorziening Aantal bedrijven beveiligd Geconcentreerde informatievoorziening (272 bedrijven/instellingen)

·

hacking 255

·

storing in de stroomvoorziening 197

·

virus 162

·

Gespreide informatievoorziening (233 bedrijven/instellingen)

·

hacking 182

·

virus 127

Opmerkelijk is dat in tabel 4.7 enkele bedreigingen ontbreken, waarvan uit paragraaf 4.2 blijkt dat ze vaak voorkomen (zie tabellen 4.1 en 4.2): storing in apparatuur (datacomm.-app., interne netwerken en computers e.d.), storing in programmatuur en gebruikers fouten. Blijkbaar wordt niet in de eerste plaats beveiligd op basis van een expliciet uitgevoerde risico-analyse, maar eerder op basis van de bekendheid (beruchtheid) van bedreigingen (brand, inbraak, sabotage, misbruik, etc.). Bovendien spelen waarschijnlijk ook 'gewoonte' ('iedereen' heeft password-beveiliging) en verplichting door derden (bijv. brandweer) een belangrijke rol.

(42)

Uit de tabellen 4.5 tlm 4.7 is weliswaar af te lezen tegen welke bedreigingen het meest beveiligd wordt, maar daaruit is nog niet direct op te maken welke beveiligingsmaatregelen

het meest geïmplementeerd zijn. Dit wordt zichtbaar in de volgende tabellen.

In tabel 4.8 staan de meest geïmplementeerde preventieve (1 stelijns) beveiligingsmaat-regelen voor geconcentreerde informatievoorziening. Per maatregel is aangegeven bij hoeveel van de 272 bedrijven en instellingen met een geconcentreerde informatievoor-ziening de maatregel geïmplementeerd is. Tevens is het aantal implementaties aangegeven bij bedrijven en instellingen uit de registratiecategorieën Jj en Jn• Deze bedrijven en

instellingen hebben namelijk aantallen gemanifesteerde bedreigingen en verstoringen opgegeven in de enquête. Voor deze groep (categorieën Jj

+

Jn) is aangegeven hoeveel

keren de maatregel een bedreiging met succes tegengehouden heeft, en hoeveel keren de bedreiging niet tegengehouden is en tot een verstoring heeft geleid. In het geval van passieve beveiligingsmaatregelen kan het aantal keren dat de maatregel al dan geen succes heeft gehad niet aangegeven worden. Maatregelen kunnen meermalen in de tabel voorkomen, indien ze werkzaam zijn tegen meer dan één bedreiging. Het in de tabel genoemde aantal implementaties van een maatregel, is het aantal keren dat de maatregel door bedrijven en instellingen genoemd is als maatregel tegen de betreffende bedreiging; daarom kan het aantal implementaties van één en dezelfde maatregel verschillend zijn bij verschillende bedreigingen.

In tabel 4.9 staan de meest geïmplementeerde preventieve (1 stelijns)

(43)

Resultaten enqu2te

Tabel 4.8: Aantal implementaties van preventieve beveiligingsmaatregelen voor geconcentreerde informatievoorziening (272 bedrijven/instellingen, waarvan 138 in de registratiecategorieën ~ + JJ. Tevens is voor de categorieën ~ + Jn vermeld hoeveel

keer de maatregel al dan niet succes heeft gehad.

Preventieve Bedreiging waartegen Aantal Aantal Aantal Aantal beveiligingsmaatregel maatregel bedoeld is '" implemen- implemen- keren keren

geconcentreerde taties taties in succes verstoring

informatievoorziening (totaal) categorie Jj + J. 19

logische voorzieningen manipulatie ... 243 124 _* _*

logische voorzieningen vemieling ... progr .... 227 116 _* _*

handblusmiddelen brand 213 108 1 13

logische haclcing 197 107 _*

_*

toegangsbeveiliging

brandwerende kluizen brand 181 99 1 11

voor media

noodvoorziening storing stroomvoorz. 178 79 375 55

logische voorzieningen privégebruik ... 174 81 _*

_*

(stil) alarm inbraak ... 163 87 (27) 38 10

virusdetectie virus 161 98 (20) 209 62'

bliksemafleiding brand 151 78 _* _*

functiescheiding manipulatie ... 150 83 _* _*

branddetectie brand 150 83 7 12

apparatuur niet in wateroverlast 134 68 (4) 5 1

laagste bouwlaag

19 tussen haakjes aantal enquêtes uit de categorieën Jj+J. waarin geen gegevens m.b.1. betreffende maatregel

* passieve beveiligingsmaatregel

# in dit aantal zijn verstoringen door hacking verdisconteerd (s3)

(44)

Tabel 4.9: Aantal implementaties van preventieve beveiligingsmaatregelen voor gespreide informatievoorziening (233 bedrijven/instellingen, waarvan 106 in de registratiecategorieën lj

+

l,J. Tevens is voor de categorieën ~

+

ln vermeld hoeveel keer de maatregel al dan niet succes heeft gehad.

Preventieve Bedreiging waartegen Aantal Aantal Aantal Aantal beveiligingsmaatregel maatregel bedoeld is '" implemen- impIemen- keren keren

gespreide taties taties in succes verstoring

informatievoorziening (totaal) categorie Jj + Jn <!I>

logische voorzieningen manipulatie ... 178 85 _* _*

handblusmiddelen brand 163 74 (2) 0 7

logische voorzieningen vernieling ... progr .... 152 73 _* _*

logische toegangs- hacking 133 68 _*

_*

beveiliging

(stil) alarm inbraak ... 130 68 (21) 49 11

logische voorzieningen privégebruik ... 128 62 _* _*

virusdetectie virus 127 73 (18) 168 26'

bliksemafleiding brand 110 54

_*

bouwkundige voorz. inbraak ... 96 43 _* _*

geen aansluiting extern hacking 88 38 _* _*

netwerk

branddetectie brand 85 43 (2) 3 II

bouwkundige voorz. diefstal apparatuur 80 40 _* _*

noodvoorziening storing stroomvoorz. 79 48 (3) 101 22

<!I> tussen haakjes aantal enquêtes uit de categorieën Jj+J_nwaarin geen gegevens m.b.1. betreffende maatregel

*

passieve beveiligingsmaatregel

'in dit aantal zijn verstoringen door hacking verdisconteerd (s3)

(45)

In tabel 4.10 staan de meest geïmplementeerde repressieve (2de_lijns) beveiligings-maatregelen voor de informatievoorziening.

Tabel 4.10: Aantal implementaties van repressieve beveiligingsmaatregelen voor

geconcentreerde resp. gespreide informatievoorziening. Tevens is voor de

registratie-categorieën Jj + Jo vermeld hoeveel keer de maatregel al dan niet succes heeft gehad.

Repressieve Bedreiging waartegen Aantal Aantal Aantal Aantal beveiligingsmaatregel bedoeld is implemen- impIemen- keren keren

maatregel taties taties in succes verstoring

(totaal) categorie

Jj + J. Qj

Geconcentreerde informatievoorziening (272 bedrijveniinstellingen, waarvan 138 in categorieën Jj+J.)

backup program./geg. storing progr.&geg: 272 138(19) 920 108

uitwijkvoorziening storing computers e.d: 149 78 (32) 21 20

logging (gebruiker) gebruikersfouten 127 64 (20) 586 83

logging (operator) operatorfouten 118 61 (13) 142 85

Gespreide informatievoorziening (233 bedrijveniinstellingen, waarvan 106 in categorieën Jj+J.)

backup program./geg. storing progr.&geg: 233 106 (35) 412 132

logging (gebruiker) gebruikersfouten 92 46 (16) 35 178

Qj tussen haakjes aantal enquêtes uit de categorieën Jj+J. waarin geen gegevens m.b.t. betreffende maatregel

+ de maatregel beveiligt, behalve tegen de genoemde bedreiging, ook tegen velerlei andere bedreigingen

Van de repressieve beveiligingsmaatregelen is backup ... verreweg de meest populaire maatregel: in dit onderzoek bleek ieder bedrijf of instelling te werken met backup.

In figuur 4.4 is per bedrijfsklasse getoond welk deel werkt met verzekeringen (3de_lijns beveiliging).

(46)

Figuur 4.4: Per bedrijfsklasse de verhouding tussen de bedrijven en

instel-lingen die wel en degene die niet werken met verzekeringen.

Bij de bedrijfsklasse overheid komt de tweedeling, tussen wel versus niet verzekeren, vrijwel volledig voor rekening voor de deling gemeentelijke overheid versus landelijke overheid. De landelijke overheid verzekert in het geheel niet, terwijl de gemeentelijke overheid over vrijwel de gehele linie wel werkt met verzekeringen. De waterschappen en de provinciale overheid zijn numeriek in de minderheid. Zij werken voor een deel met verzekeringen.

4.4 Effectiviteit van maatregelen

Van enkele bedreigingen zal bekeken worden wat in de praktijk de effectiviteit is van de daaraan gerelateerde beveiligingsmaatregelen. De effectiviteit (in %) wordt bepaald door het aantal keren dat de maatregel met succes een bedreiging heeft tegengehouden te delen

(47)

Tevens wordt onderzocht of er correlaties bestaan tussen de effectiviteit van de genoemde

beveiligingsmaatregelen en het al dan niet aanwezig zijn van een beveiligingsplan. Het is aannemelijk dat het bestaan van een beveiligingsplan in zijn algemeenheid gekoppeld is aan een stringent beveiligingsbeleid, hetgeen weer een positieve invloed zou kunnen hebben op de effectiviteit van beveiligingsmaatregelen.

Maatregelen tegen brand

In tabel 4.11 staan de meest toegepaste beveiligingsmaatregelen tegeri brand als bedreiging van de geconcentreerde informatievoorziening. Brand blijkt in paragraaf 4.2 te vallen in de frequentiecategorie zelden. Het aantal manifestaties van brand is te laag om de effectiviteit van de genoemde maatregelen te kunnen bepalen. Desalniettemin kan er wel iets gezegd worden over de maatregelen.

Tabel4.11: Gegevens m.b.t. enkele beveiligingsmaatregelen tegen brand.

Beveiligingsmaatregel Aantal Aantal Aantal Aantal

implemen- implemen- manifes- keren

taties taties in taties succes

(totaal) categorieën

Jj + Jn

branddetectie 150 83 19 7

handblusmiddelen 213 108 14 1

automatische blusmiddelen 69 40 10 0

brandwerende kluizen voor media 181 99 12 1

brandisolerende deuren, wanden, e.d. 58 44 6 0

compartimentering 40 25 3 0

Uit tabel 4.11 komt duidelijk naar voren dat de werkzaamheid van vrijwel al de genoemde maatregelen bijzonder laag is. Alleen detectie van brand blijkt een relatief goed wapen tegen brand te zijn. De situatie voor gespreide informatievoorziening geeft een vergelijk-baar beeld.

(48)

Beveiliging van informatievoorziening

Maatregelen tegen storing in de stroomvoorziening

In tabel 4.12 staan de meest voorkomende maatregelen tegen storing in de stroomvoor-ziening voor geconcentreerde informatievoorstroomvoor-ziening. Per maatregel wordt aangegeven wat de effectiviteit is.

TabeI4.12: De effectiviteit van verschillende beveiligingsmaatregelen tegen storing in de stroomvoorziening.

Beveiligingsmaatregel Aantal Aantal implemen-

manifes-taties in categorieën

Jj + Jo

detectie van stroomstoringen .. 3 noodvoorziening voor kortstondig g.ebruik 'U2 66

noodvoorziening voor langdurig gebruik ",lil 5

dubbele netaansluiting 1l

.. en geen aanvullende beveiligingsmaatregel tegen stroomstoringen

12 en geen noodstroomvoorziening voor langdurig gebruik '3 en geen noodstroomvoorziening voor kortstondig gebruik

taties

12 304 71

6

*

de effectiviteit van noodvoorziening (kortstondig enlof langdurig) is 87%

Waarvan Effecti-versto- viteit ringen (%) 12 0 50 84* 0 100* 4 33

De effectiviteit van dubbele netaansluiting is gebaseerd op slechts een klein aantal manifestaties van stroomstoringen. De gevonden waarde (33%) geeft daarom slechts een globale indicatie.

De trend die in tabel 4.12 zichtbaar is voor de waarden van effectiviteit, is, met behulp van de literatuur [LSS94], als volgt te interpreteren: Het grootste deel van de stroomstoringen is kortdurend, hetgeen de relatief hoge effectiviteit verklaart van noodvoorziening voor kortstondig gebruik. Noodvoorzieningen voor langdurig gebruik worden over het algemeen gevormd door een UPS-systeem met een interne of externe diesel-energiebron. Dergelijke systemen hebben een zeer hoge betrouwbaarheid. Dubbele netaansluitingen zijn weinig of niet effectief in geval van netstoringen in de hoog- of middenspanningsnetten. Het merendeel van de storingen in het elektriciteitsnet blijkt echter juist in deze netten op te

(49)

Er is onderzocht of er een correlatie bestaat tussen de effectiviteit van de maatregelen uit tabel 4.12 en het al dan niet aanwezig zijn van een beveiligingsplan. Uit enquêtegegevens blijkt dat het al dan niet bestaan van een beveiligingsplan de volgende variaties oplevert ten opzichte van de in de tabel genoemde waarden: detectie ±O%, noodvoorziening voor kortstondig gebruik ±2% en noodvoorziening voor langdurig gebruik ±O%. Hieruit volgt dat de effectiviteit van detectie (0), noodvoorziening voor kortstondig gebruik (84%) en van een noodvoorziening voor langdurig gebruik (100%) niet significant beïnvloed worden door het al dan niet aanwezig zijn van een beveiligingsplan. Een eventuele correlatie tussen de effectiviteit van een dubbele netaansluiting en het bestaan van een beveiligingsplan kon niet worden vastgesteld.

De situatie voor gespreide informatievoorziening geeft eenzelfde beeld: 'alleen detectie' heeft een effectiviteit van 0 en 'noodvoorziening' heeft een effectiviteit van 82%. Ook deze waarden worden niet beïnvloed door het al dan niet bestaan van een beveiligingsplan.

(Stil) alarm

De implementatie van een alarm (al dan niet stil) is de meest populaire maatregel tegen inbraak en insluiping. Uit de tabellen 4.8 en 4.9 blijkt dat de effectiviteit van deze maatregel circa 80% bedraagt.

Hoewel het aantal manifestaties van inbraken/insluipingen (frequentiecategorie is soms) te klein is om significante correlaties te bepalen, blijkt uit de enquêtegegevens toch een relatie naar voren te komen tussen de effectiviteit van alarm en het al dan niet hebben van een beveiligingsplan. Met name in het geval van geconcentreerde informatievoorziening is, bij de bedrijven met een beveiligingsplan, de effectiviteit van de maatregel alarm gemiddeld meer dan 90%.

Virusdetectie

Uit de tabellen 4.8 en 4.9 blijkt dat de maatregel virusdetectie tegen de bedreiging virus een effectiviteit heeft van circa 80%. De spreiding in de gegevens over manifestaties van virus en de resultaten van virusdetectie is relatief groot, zodat correlaties niet betrouwbaar (significant) te bepalen zijn. Desalniettemin blijkt uit de enquêtegegevens dat de effectiviteit van virusdetectie een relatie vertoont met het al dan niet hebben van een beveiligingsplan: De effectiviteit blijkt bij aanwezigheid van een beveiligingsplan toe te nemen tot circa 90%.

Beveiliging van informatievoorziening: Onderzoek op basis van landelijke enquête '93-'94

BEVEILIGING VAN INFORMATIEVOORZIENING

Onderzoek op basis van een landelijke enquête '93-'94

door de sectie Beheer van Informatiesystemen

van de Technische Universiteit Delft

libliotheek TU Delft

~~IIIIIW~~!m~

BEVEILIGING VAN INFORMATIEVOORZIENING

Onderzoek op basis van een landelijke enquête '93-'94

door de sectie Beheer van Informatiesystemen

van de Technische Universiteit Delft

dr. M.E.M. Spruit en prof.dr.ir. M. Looijen

.tftti

TU Delft

CIP-GEGEVENS KONINKLIJKE BIBLIOTHEEK, DEN HAAG

Inhoudsopgave

7

Woord vooraf

Samenvatting

1. Inleiding

2.

Onderzoekbeschrijving

3. Opzet en uitvoering enquête

-

-

4. Resultaten enquête

~

=

-5"

e

~

~

-<

-

-

-

-

-

-

+

-

-

+

+

+

+

·

·

·

·

·

·

·

·

·

·

·

·

·

·

·

·

-

•

·

·

·

·

·

•

·

.

·

·

·

·

·

·

·

·

IIIIIW!m~

₌