1 Toegang is geen open deur Risico analyse op basis van de attack tree methode in een mobiele omgeving Ir. Eric Kaasenbrood Drs. Ing. Dirk de Wit CISSP Final 9/6/2009
1
Toegang is geen open deur
Risico analyse op
basis van de attack
tree methode in
een mobiele
omgeving
Ir. Eric Kaasenbrood
Drs. Ing. Dirk de Wit CISSP
Final 9/6/2009
2
Postgraduate IT Audit opleiding VU Amsterdam
Team nummer: 921
Studenten:
Ir. Eric Kaasenbrood
Drs. Ing. Dirk de Wit CISSP
VU coach:
Drs. Bart van Staveren RE
Bedrijfscoach:
Drs. Henk Marsman CISSP CISA
Contact gegevens:
Eric Kaasenbrood
e-mail: [email protected]
tel.06 12 581 588
Dirk de Wit
e-mail : [email protected]
tel. 06 20 789 982
“If you think technology can solve your
security problems, then you don't
understand the problems and you don't
understand the technology.”
(Bruce Schneier, 2000)
3
Inhoudsopgave
Inhoudsopgave........................................................................................................................................3
Samenvatting ..........................................................................................................................................4
Onderzoeksvraag ................................................................................................................................4
Onderzoeksmethode ..........................................................................................................................4
Resultaten ...........................................................................................................................................5
Voorwoord ..............................................................................................................................................6
1 Inleiding...........................................................................................................................................7
1.1 Probleemstelling....................................................................................................................8
1.2 Onderzoeksmethodologie .....................................................................................................8
1.3 Afbakening van het onderzoek............................................................................................10
2 Definitie mobiel werken & trends.................................................................................................11
2.1 Trends mobiel werken.........................................................................................................11
2.2 Mobiliteit bij consultancy en audit bedrijven......................................................................14
2.3 Definitie mobiel werken ......................................................................................................14
3 Risico’s in een mobiele omgeving.................................................................................................17
3.1 Attack tree ...........................................................................................................................17
3.2 Vergelijking met andere risicoanalyse methodieken ..........................................................18
3.3 Omgeving.............................................................................................................................19
3.4 Ontwikkeling van het model................................................................................................20
3.5 Bedreigingen en risico’s.......................................................................................................20
4 Good practices voor beveiliging in een mobiele omgeving..........................................................22
4.1 Wat zijn beheersmaatregelen? ...........................................................................................22
4.2 Beheersmodel......................................................................................................................22
4.2.1 Richtlijnen en procedures ...............................................................................................23
4.2.2 Bewustzijn bij gebruikers ................................................................................................24
4.2.3 Organisatorische maatregelen........................................................................................24
4.2.4 Technische maatregelen .................................................................................................24
5 Praktische toepassing door de IT auditor .....................................................................................26
5.1 Case analyse ........................................................................................................................26
5.2 Toepassing in de praktijk .....................................................................................................27
5.2.1 Gebruik van de attack trees ............................................................................................27
5.2.2 Afweging bij tegengestelde belangen.............................................................................27
5.3 Rol IT-Auditor.......................................................................................................................28
4
6 Conclusie .......................................................................................................................................30
6.1 Reflectie en aanvullende onderzoeksresultaten.................................................................31
Samenvatting
Bedrijven maken in toenemende mate gebruik van mobiele technologieën waarmee werknemers
buiten de beheersbare bedrijfsomgeving hun werkzaamheden uitvoeren [NUS07]. Dit toenemende
gebruik van mobiel werken en de daarbij behorende ontsluiting van vertrouwelijke informatie buiten
de bedrijfsgrenzen leidt tot aanvullende dreigingen. Om deze dreigingen te beheersen moeten
bedrijven diverse beheersmaatregelen implementeren.
Onderzoeksvraag
Voordat mobiel werken effectief en efficiënt beheerd kan worden is het noodzakelijk om inzicht in
de risico’s en de mogelijke beheersmaatregelen te krijgen. Dit heeft geleidt tot volgende hoofdvraag:
Wat zijn de risico’s voor de digitale bedrijfs(kritische) informatie met betrekking tot mobiel
werken1 bij consultancy/audit bedrijven en met welke maatregelen kunnen deze risico’s
beheerst worden?
Bij deze vraagstelling is gekeken naar de kwaliteitsaspecten beschikbaarheid, integriteit, en
vertrouwelijkheid.
Onderzoeksmethode
De basis van het onderzoek is een literatuurstudie naar de verschillende dreigingen en mogelijke
beheersmaatregelen die mobiel werken met zich meebrengen. Deze literatuurstudie is aangevuld
met eigen analyse. Aan de hand van de attack tree methode van Bruce Schneier zijn verschillende
dreigingen in mobiel werken gestructureerd. Deze methodiek maakt het mogelijk om op
gestructureerde wijze over risico’s na te denken. De resultaten van dit onderzoek zijn in meer detail
terug te vinden in appendix I. Het opgestelde model is geverifieerd met een een drietal security
professionals. Resultaten van deze discussies zijn verwerkt in het model.
Na het opstellen van het attack tree model zijn er matrices opgesteld (zie appendix II) om een
duidelijk overzicht te krijgen van de dreigingen en beheersmaatregelen, waarmee de praktische
toepasbaarheid is getoetst bij een tweetal bedrijven. Met behulp van een interview is aan de hand
1 Onder mobiel werken verstaan wij het gebruik van middelen om met bedrijfkritische elektronische gegevens te
kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van het bedrijf.
5
van het ontwikkelde attack tree model en de matrices bekeken waar mogelijke dreigingen zich voor
doen.
Ter ondersteuning van de analyse is gekozen voor een methode welke een gestructureerde manier
van denken afdwingt. Deze methode, de attack tree, is een standaard manier om de
informatiebeveiliging van systemen in kaart te brengen door te kijken wat mogelijke ‘aanvallen’ zijn
[SCH99]. Een attack tree geeft inzicht op de wijze waarop een informatiebeveiligingsdoelstelling
(bijvoorbeeld de vertrouwelijkheid, integriteit of beschikbaarheid) teniet gedaan wordt.
Resultaten
Het onderzoek heeft een overzicht opgeleverd met daarin dreigingen en beheersmaatregelen die
het mobiel werken met zich meebrengen. Daarnaast blijkt uit de praktische toepassing dat het
ontwikkelde attack tree model in combinatie met de matrices geschikt zijn om snel inzicht te krijgen
in mogelijke dreigingen op het gebied van mobiel werken. Dit helpt de IT-Auditor bij het bepalen van
zijn audit strategie.
Daarnaast geven de matrices inzicht in welke beheersmaatregelen welke risico’s afdekken. Dit geeft
management (van bedrijven waar medewerkers mobiel werken) een tool waarmee een afweging
gemaakt kan worden tussen verschillende beheersmaatregelen.
6
Voorwoord
Deze scriptie is geschreven in het kader van de afronding van de IT-Audit opleiding aan de Vrije
Universiteit in Amsterdam.
Wij bedanken onze afstudeerbegeleiders Bart van Staveren en Henk Marsman voor hun tips en
feedback tijdens het onderzoek en schrijfproces. Daarnaast bedanken wij de geïnterviewde
professionals Frank Fransen (TNO ICT), Tom Schuurmans (Deloitte ERS) en Marinus den Breejen
(Gartner Consulting) voor de interessante discussies rondom dit onderwerp. Ook bedanken wij Henk
Walstra (Coördinator ICT Security ATOS) en Marco Rijpert (Senior Manager Deloitte ICT) wie ons de
mogelijkheid gaven om ons model in de praktijk te toetsen.
Tot slot willen wij onze vriendinnen Dominique en Marieke bedanken voor hun geduld en begrip
tijdens deze drukke periode.
Eric en Dirk
7
1 Inleiding
December 2008, McCain’s campagneteam verkoopt een Blackberry vol met vertrouwelijke gegevens.
Op de smartphone stonden vijftig telefoonnummers van mensen die bij de McCain-Palin campagne
betrokken waren, alsmede honderden e-mails van begin september [SEC08]. September 2008, de
Britse overheid zegt het contract met een adviesbureau op na het verlies van een USB-stick
[SEC081]. Januari 2009, een laptop met gegevens van 5000 patiënten wordt gestolen uit
zorginstelling in Wales [SEC09] en zo zijn er nog veel meer incidenten op te noemen [SEC091].
Bedrijven maken in toenemende mate gebruik van mobiele technologieën waarmee werknemers
buiten de beheersbare bedrijfsomgeving hun werkzaamheden uitvoeren. Hierbij hebben zij toegang
nodig tot gevoelige informatie en kritische bedrijfsapplicaties. Dit toenemende gebruik van mobiele
technologieën en de daarbij behorende ontsluiting buiten de bedrijfsgrenzen van gevoelige
informatie wordt ook onderschreven door derden. Volgens Businessweek zal 2008 het jaar van de
“Super Mobility” worden [NUS07]. Forrester voorspelt dat, ondanks de economische teruggang,
mobiele initiatieven, zoals een mobiliteitsstrategie en het bieden van hulpmiddelen om mobiel te
kunnen werken, in bedrijven prioriteit zullen hebben in 2009 [PEL081]. Een van de uitkomsten van
Deloitte’s Technology, Media & Telecommunications Security Survey [DEL07] is dat steeds meer
mensen mobiel werken en daarbij gebruik maken van public WiFi access points of UMTS.
Bedrijfsinformatie die vroeger ‘veilig’ in het bedrijfsnetwerk zat, wordt nu door o.a. werknemers
geraadpleegd via publieke netwerken. Dit wordt verder gestimuleerd door de tendens dat bedrijven
hun werknemers meer mogelijkheden geven om zelf te kiezen waar en wanneer ze werken.
Wij denken dat de stijging in mobiel werken, en alles wat daarmee samenhangt, grote gevolgen
heeft en zal hebben voor de beveiliging van de digitale bedrijfskritische informatie van een bedrijf.
Hoe kan een bedrijf zijn werknemers de mobiele flexibiliteit bieden en toch zijn beheersomgeving “in
control” krijgen en houden? Hoe kan een bedrijf voorkomen dat er kritische informatie op straat
komt te liggen?
8
1.1 Probleemstelling
Voordat mobiel werken effectief en efficiënt beheerd kan worden is het noodzakelijk om inzicht in
de risico’s en de mogelijke beheersmaatregelen te krijgen. Het bovenstaande leidt tot volgende
hoofdvraag:
Wat zijn de risico’s voor de digitale bedrijfs(kritische) informatie met betrekking tot mobiel
werken2 bij consultancy/audit bedrijven en met welke maatregelen kunnen deze risico’s beheerst
worden?
Om deze vraag te kunnen beantwoorden zijn er de volgende deelvragen opgesteld:
1. Wat zijn de huidige trends t.a.v. mobiel werken?
2. Welke informatiebeveiligingsrisico’s bestaan er bij consultancy / audit bedrijven ten aanzien
van mobiel werken?
3. Wat zijn de best practices om deze informatiebeveiligingsrisico's te beperken?
4. Op welke wijze kan een IT auditor het voorgaande gebruiken bij zijn oordeelsvorming?
1.2 Onderzoeksmethodologie
Het onderzoek heeft zich gericht op verregaande mobiliteit bij consultancy/ audit organisaties. De
onderzoeksmethode bestaat uit een literatuurstudie aangevuld met eigen analyse en expert
interviews. De gevonden resultaten zijn gemodelleerd en vervolgens getoetst in de praktijk; dit geeft
inzicht in de wijze waarop het model in praktijk door de IT auditor gebruikt kan worden. Tijdens ons
onderzoek hebben we bekeken in hoeverre frameworks voor bestaande best practices een leidraad
kunnen zijn voor het implementeren van beheersmaatregelen voor een mobiele omgeving; hierbij is
onder andere gekeken naar CoBiT [COB] en de code voor informatiebeveiliging [NEN07]. Beide
raamwerken zijn van algemene aard en geven slechts beperkt houvast ten aanzien van de specifieke
probleemstelling. Daarom is besloten deze raamwerken niet als leidraad te gebruiken.
2 Onder mobiel werken verstaan wij het gebruik van middelen om met bedrijfkritische elektronische gegevens te
kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van het bedrijf.
9
Figuur 1: Onderzoeksaanpak
Bovenstaand overzicht (Figuur 1) geeft een samenvatting van de onderzoeksmethode en
scriptieopbouw. Op basis van een literatuurstudie zal wordt een beeld gevormd worden van de
huidige trends (Hoofdstuk 2), risico’s (Hoofdstuk 3) en beheersmaatregelen (Hoofdstuk 4) ten
aanzien van mobiel werken. Dit beeld zal wordt verder aangevuld worden met behulp van
informatie uit interviews gehouden met security professionals welke die consultancy/ audit
werkzaamheden uitvoeren op dit terrein. Bij deze interviews is gebruik gemaakt van een standaard
vragenlijst (Appendix II). De verzamelde informatie is gestructureerd weergegeven in een attack
tree. Een attack tree is een analyse methode welke ontwikkeld is ontwikkeld door Bruce Schneier
[SCH99].
De scriptie zal, na de theoretische onderbouwing, een casus beschouwen. Voor deze casus zijn we in
gesprek gegaan met IT managers van twee sterk gemobiliseerde bedrijven en daarbij ingaan op
risico’s die zij onderkennen en maatregelen die getroffen zijn. De resultaten zijn getoetst tegen de
ontwikkelde attack tree om te bepalen in hoeverre dit model kan bijdragen bij het beoordelen van
de mobiele veiligheid.
Er is bewust voor gekozen om de gedetailleerde resultaten van deze casus niet op te nemen in deze
scriptie. Gezien onze focus op grotere consultancy/audit organisaties zal verwerking van een
praktisch voorbeeld herleidt kunnen worden tot een specifieke organisatie. Dit heeft tot gevolg dat
de feitelijke omschrijving en daarmee ook mogelijke zwakheiden van die specifieke organisatie in
een publiek toegankelijk document beschikbaar zijn.
10
1.3 Afbakening van het onderzoek
De focus van het onderzoek ligt op informatiebeveiligingsrisico’s bij verregaande mobiliteit binnen
grotere consultancy/audit organisaties 3. In deze scriptie worden informatiebeveiligingsrisico’s
beperkt tot die risico’s die betrekking hebben op:
• Het gebruik/transport van vertrouwelijke data buiten de fysieke gebouwen van een bedrijf
(waarbij buiten als willekeurig bestempeld kan worden);
• De datamutatie vanaf een plaats buiten het bedrijfsnetwerk.
De volgende type risico’s zijn geen onderdeel zijn van het onderzoek:
• Algemene risico’s en beheersmaatregelen die gelden voor interne
platformen/applicaties/besturingssystemen en communicatie;
• Verbindingen tussen meerdere server centra/bedrijfslocaties.
Er wordt vanuit gegaan dat alle informatie die consultancy/audit bedrijven over haar klanten vast
leggen van vertrouwelijke aard is.
3 “Grotere” is hier gedefinieerd als bedrijven met meer dan 500 werknemers
11
2 Definitie mobiel werken & trends
Het begrip mobiel werken wordt gedefinieerd, waarna wordt ingegaan op de verschillende risico’s
ten aanzien van mobiel werken en de mogelijke beheersmaatregelen. Om een goede definitie van
mobiel werken te kunnen geven wordt een kort overzicht van de historie en huidige/toekomstige
trends van de mobiele werker beschreven worden. Op basis van deze beschrijvingen wordt gekomen
tot een definitie van mobiel werken.
2.1 Trends mobiel werken
Informatie- en communicatietechnologie (ICT) heeft in korte tijd een belangrijk aandeel genomen in
ons hedendaagse leven. Daar waar in 1943 de eerste elektronische computer genaamd de Colossus
in het topgeheim in productie werd genomen met het doel om het onderschepte Duitse
berichtenverkeer te ontcijferen [WIK09] zijn een halve eeuw later bedrijven in sterke mate
afhankelijk van computers. Bedrijfsprocessen worden vaak ondersteund door computerprocessen
waarbij primaire vastlegging ook geschiedt in deze systemen. Daarnaast maken medewerkers bij het
uitoefenen van hun dagelijkse werkzaamheden gebruik van computers. Dit maakt het dat het correct
functioneren van ICT van levensbelang is voor veel bedrijven.
In de “traditionele” setting van het geautomatiseerde bedrijf vonden veel processen binnen de
fysieke bedrijfsomgeving plaats. Computers waren gecentraliseerd (meestal een mainframe
oplossing) en gebruikers maakten met hun desktop/client vanaf hun werkplek verbinding met deze
computer. Het gebruik van internet op de werkplek was niet gebruikelijk. Hierdoor konden bedrijven
hun informatiesystemen naast logisch ook fysiek scheiden van de buitenwereld.
Een van de eerdere voorbeelden van “mobiel” werken zijn terug te vinden bij die van de beheerder
die vanaf thuis, vaak buiten reguliere werktijden, onderhoud en beheer biedt voor de
informatiesystemen. Het onderdeel “mobiel” wil hier eigenlijk alleen zeggen dat hij van buiten de
bedrijfsomgeving zijn werkzaamheden uitvoert. Deze situatie geeft al toegang tot systemen van
buiten het bestaande netwerk maar de beperkte schaal en beperkte toegangsmogelijkheden houden
de complexiteit beperkt.
Begin jaren tachtig deed de laptop zijn intrede [LAP00], eind jaren tachtig rusten bedrijven
werknemers in de buitendienst steeds meer uit met een laptop. Veelal betroffen het hier stand-
alone computers welke op het kantoor gesynchroniseerd werden [WIK091].
12
Figuur 2: Het geschatte percentage van mobiele werknemers ligt rond de 20%
Vandaag de dag is het mobiele en daarmee ook het thuiswerken voor een grotere groep
werknemers van toepassing. Uit een enquête van Forrester [PEL08] (zie Figuur 2) is gebleken dat een
redelijke groep werknemers op een andere locatie dan kantoor hun werktijd besteden. Het resultaat
is dat werknemers vanaf verschillende locaties (soms zelfs in beweging) verbinding met het
bedrijfsnetwerk. Zeker als men bedenkt dat naast de laptop men ook toegang kan hebben via
smartphones en webmail toepassingen. Er zullen dus maatregen getroffen moeten gaan worden om
te voorkomen dat ongeautoriseerden zich toegang verschaffen via deze nieuwe
toegangsmogelijkheden.
13
Figuur 3: Hypecycle mobiel werken
Naast de toename in het mobiele werk worden de mogelijkheden van de mobiele gebruiker steeds
groter; in een onderzoek uitgevoerd door Gartner zijn de technologieën en toepassingen die mobiel
werken mogelijk maken weergegeven in een hypecycle [GAR08] (zie Figuur 3). Hierin valt te zien dat
diverse nieuwe diensten en producten in opkomst zijn. Het is dan ook te verwachten dat naast de
adoptie door consumenten (een aantal van) deze diensten ook in het bedrijfsleven geadopteerd
zullen worden of dat medewerkers de behoefte hebben deze diensten af te nemen met door het
bedrijf verstrekte communicatieapparatuur.
Uit een onderzoek van Forrester komt naar voren dat er naast de verscheidenheid van devices die
gebruikt kunnen worden er ook een groeiende behoefte van de traditionele werknemer om ook met
hun eigen mobiele devices toegang te krijgen tot het bedrijfsnetwerk. Forrester [PEL08] voorspelt
dat dit mobiele “wannabe” segment in 2012 25% van de werknemers zal bevatten. Om succesvol
aan deze vraag te voldoen zullen service providers, fabrikanten en software bedrijven op deze
behoeften moeten inspelen. Daarnaast zal ook het bedrijfsleven aansluiting moeten vinden op deze
trends.
Vraagstuk hierin is in hoeverre bedrijven een keuze hebben al dan niet mee te gaan met de mobiele
trends en wensen vanuit de werknemer. Middels risico inschattingen en kosten/baten afwegingen
zal bepaald moeten worden welke vormen van mobiel werken binnen de bedrijfsdoelstellingen
passen. Het aspect van een aantrekkelijke werkgever blijven voor dit groeiende wannabe segment
zal een steeds grotere rol spelen in deze inschattingen en afwegingen. Sommige bedrijven zullen er
niet aan ontkomen (gedeeltelijk) toe te geven aan de wensen van de werknemer.
14
2.2 Mobiliteit bij consultancy en audit bedrijven
Het werk bij consultancy/audit bedrijven kenmerkt zicht door werkzaamheden bij verschillende
externe klanten. Hierbij bezoekt de medewerker de klant om daar de werkzaamheden op locatie uit
te voeren. Bij de uitvoering van de werkzaamheden wordt klantdata verzameld. Ook wordt daarbij
gebruik gemaakt van centrale systemen voor verschillende doelstellingen, bijvoorbeeld:
• Synchroniseren mail;
• Raadplegen kennis databases;
• Raadplegen historische klantdata;
• Uploaden van huidige klantdata.
Bij uitvoering van deze werkzaamheden wordt binnen de kantoren van verschillende ICT middelen
gebruik gemaakt, onder andere:
• Laptop;
• USB-stick (gebruikt voor opslag/transport data);
• Smartphone;
• Webmail.
Daarnaast kan er op verschillende manieren contact gemaakt worden met het bedrijfsnetwerk.
Hieronder een aantal voorbeelden:
• Via de mobiele telefoon (UMTS);
• Via een internetconnectie van de klant;
• Via publiek toegankelijke internet access points.
De trend lijkt dus te zijn dat bedrijven meer en meer initiatieven ontplooien om mobiel werken te
ondersteunen. Hierbij worden de apparaten die dit ondersteunen steeds geavanceerder en diverser.
2.3 Definitie mobiel werken
De bovenstaan analyse geeft een beeld van huidige trends in mobiel werken die bij kan dragen aan
de definitie van mobiliteit. In deze paragraaf worden tevens definities uit de literatuur beoordeeld.
De literatuur gebruikt diverse termen voor mobiel werken. Hierbij valt onder andere te denken aan:
mobiel werken, telewerken, thuiswerken. Net als de verschillende termen zijn er ook een
verscheidenheid aan definities terug te vinden; hierbij valt op dat de definitie vaak gebruik wordt om
het betreffende onderzoek beter af te bakenen [SUL03]. Naast informatiebeveiliging wordt bij
mobiel werken ook onderzoek gedaan naar sociale, economische gevolgen. Het is dan ook niet
vreemd dat voor elk van deze onderzoeken andere definities gebruikt worden.
15
De Vries onderscheid verschillende vormen van telewerken/mobiel werken waarbij de volgende
definities naar voren komen [VRI98]:
“Telewerken: een vorm van arbeid die op afstand van werk- of opdrachtgever
wordt uitgevoerd met behulp van ICT. In het algemeen worden de volgende categorieën van
telewerken onderscheiden:
1. Multi-site telewerken. Tele-thuiswerken. Iemand werkt thuis voor één werkgever. Telewerken
vindt op structurele basis plaats en is meer dan (incidenteel) werken in de avonduren (“day
extending”), weekenden of soms tijdens een werkdagdeel. Over het algemeen is hierbij
sprake van een arbeidsovereenkomst.
2. Mobiel telewerken. Een medewerker werkt op meerdere en wisselende plekken (bijvoorbeeld
bij klanten) en gebruikt mobiele telecommunicatieapparatuur voor contact met de
opdrachtgever en/of collega’s op kantoor. Hierbij zal meestal sprake zijn van een
arbeidsovereenkomst.
3. Freelance telewerken. Iemand werkt altijd vanuit huis voor meerdere opdrachtgevers. Hierbij
is sprake van opdracht/aanneming van werk.
4. Tele-uitbesteding. Een deel van het primaire arbeidsproces kan door informatie- en
communicatietechnologie (ICT) gescheiden worden van de rest en wordt op afstand van de
hoofdvestiging ondergebracht. Men kan hierbij denken aan callcenters, software-
ontwikkeling, data-entry, etc. Er kan sprake zijn van verschillende contractvormen. Bij deze
vorm van telewerken wordt ook wel gesproken van collectieve vormen van telewerken
(tegenover individuele vormen die hierboven worden genoemd).”
16
Vooral met het oog op mogelijke risico’s en maatregelen die getroffen worden is het van belang een
aansluitende definitie van telewerken te hanteren. Zo zullen mensen die aan “tele-uitbesteding”
doen aan andere risico’s blootgesteld worden en andere maatregelen voor handen hebben dan
gebruikers die “mobiel werken”. Er kunnen bij tele-uitbesteding bijvoorbeeld ook een aantal fysieke
maatregelen getroffen worden omdat medewerkers vanaf eenzelfde werkplek werken.
Van de gepresenteerde definities sluit de definitie van “mobiel telewerken” het beste aan bij de
werkwijze op grotere consultancy/audit bedrijven. Er is gekozen om deze definitie toe te spitsen op
de voor ons van toepassing zijnde situatie. Tevens is het element ‘informatie’ toegevoegd om de
data die blootgesteld wordt aan de risico’s met mobiel werken expliciete aandacht te geven.
Wij hanteren de volgende definitie voor mobiel werken:
Mobiel werken is het gebruik van middelen om met bedrijfkritische elektronische gegevens te
kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van
het bedrijf.
17
3 Risico’s in een mobiele omgeving
Om bij de beschrijving van de risico’s tot een bruikbaar model te komen, is de attack tree methode
gebruikt. De attack tree methode is een methodiek ontwikkeld in de hackers-, beveilgingswereld,
geschikt om dreigingen te modelleren. Bij mobiel werken heb je te maken met dreigingen buiten de
fysieke grenzen van het bedrijf, daarom is ervoor gekozen de attack tree methode in te zetten voor
een analyse in de IT-audit wereld. Dit hoofdstuk gaat in op de attack tree in de mobiele omgeving.
Hierbij wordt eerst de attack tree methode uitgelegd, gevolgd door een vergelijking met andere
risicoanalyse methodieken. Hierna wordt de omgeving en de ontwikkeling van het attack tree mode
beschreven. Het hoofdstuk wordt afgesloten met de bedreigingen ten aanzien van mobiel werken.
3.1 Attack tree
Een attack tree is een standaard manier om de informatiebeveiliging van systemen in kaart te
brengen door te kijken wat mogelijke ‘aanvallen’ zijn [SCH99]. Een attack tree geeft inzicht op de
wijze waarop een informatiebeveiligingsdoelstelling (bijvoorbeeld de confidentialiteit, integriteit of
beschikbaarheid) teniet gedaan wordt. De doelstelling (ook vaak wortel genoemd) van de attack tree
is de negatie van de informatiebeveiligings-doelstelling. Oftewel, als de doelstelling vanuit
informatiebeveiliging is om het systeem beschikbaar te houden, dan is de doelstelling van de attack
tree om te onderzoeken hoe de beschikbaarheid aangevallen en geschaad kan worden. Onder deze
wortel komen subdoelstellingen waaraan voldaan moet worden om de doelstelling in de wortel te
halen. Elke subdoelstelling, ookwel knoop genoemd, kan op zijn beurt ook weer meerdere
subdoelstellingen hebben (subdoelstellingen worden de kinderen van een knoop genoemd). Een
knoop met kinderen heet de ouder. De relatie tussen een ouder en zijn kinderen kan een AND of een
OR relatie zijn. In een AND relatie moeten de doelen van alle kinderen vervuld worden om het doel
van de ouder te vervullen. In een OR relatie is het voldoende dat een van de doelen van de kinderen
vervuld wordt om de ouderdoel te vervullen. Knopen zonder kinderen worden bladeren genoemd.
De doelen in de bladeren worden direct beoordeeld en zijn een gedetailleerde beschrijving van de
dreiging/risico. Een verzameling van bladeren welke het hoofddoel (wortel) vervult wordt een
aanvalsscenario genoemd.
Om bovenstaande te verduidelijken geven we een voorbeeld van het stelen van een auto(de wortel)
(zie Figuur 4). Er zijn (tenminste) twee manieren om een auto te stelen, “inbreken in auto” of
“sleutels stelen”. Zowel inbreken als sleutels stelen is een subdoel, waarbij er een OR relatie is met
de wortel ‘auto stelen’. Een van beide (inbreken of stelen) is voldoende om het hoofddoel te
18
verwezenlijken. Sleutels stelen kun je verder opsplitsen in het vinden van de eigenaar en het
afhandig maken van de sleutels. Dit heeft een AND relatie met de bovenliggende subdoelstelling (de
ouder). Voor ons onderzoek is ervoor gekozen de attack tree te aan te vullen met
beheersmaatregelen. Een beheersmaatregel maakt de kans of de impact dat een bepaalde aanval
zich kan voordoen kleiner. Er is voor gekozen de beheersmaatregelen aan de betreffende bladeren
te koppelen. Zie Figuur 4 voor een voorbeeld hiervan.
Figuur 4: Voorbeeld attack tree
3.2 Vergelijking met andere risicoanalyse methodieken
In de literatuur zijn verschillende risicoanalyse methodieken terug te vinden. Deze methoden zijn in
verschillende onderzoeken vergeleken en geïnventariseerd. Zo vergelijken Vidalis [VID04], ENISA
[ENI06] en Bornman[BOR03] methoden als SPRINT, A&K, CRAMM, ARiES en COBRA. Deze
methodieken zijn geschikt om toe te passen op een concreet bedrijf; het doel van ons onderzoek
was een meer generiek toepasbare lijst van risico’s te identificeren welke van toepassing zijn op
mobiel werken binnen de verzameling van consultancy/audit bedrijven. De genoemde methoden
omvatten het daadwerkelijk inschatten en monitoren van risico’s. Dit is in een algemeen raamwerk
19
minder van toepassing omdat dit afhankelijk is van de bedrijfsspecifieke implementatie. Waar
bovengenoemde methoden beperkt aandacht aan besteden is hoe de lijst met mogelijke
risico’s/dreigingen op een gestructureerde en volledige manier tot stand kan komen. Hierin
onderscheid de attack tree methode zich van de bovengenoemde methoden. De attack tree
methode dwingt de onderzoeker om gestructureerd te zijn bij het identificeren van dreigingen
[SCH99].
Het gestructureerd identificeren van dreigingen is wat ons betreft niet alleen voor belang voor de
hackers- en beveilgingswereld. Wij zijn van mening dat de attack tree methode met zijn
gestructureerde analyse aanpak een bijdrage kan leveren in de IT audit wereld.
3.3 Omgeving
Ten aanzien van mobiele werkomgeving onderscheiden wij drie risicogebieden (onderschreven door
Hoogenboom [HOG06]. Dat zijn (zie Figuur 5):
(1) het mobiele apparaat zelf; inclusief gebruik ervan en de omgevingsrisico’s;
(2) de communicatiekanaal met het toegangspunt van het bedrijf;
(3) het toegangspunt van het bedrijf.
Netwerk Connectie
Desktop
(home)
Laptop
USB
Stick
PDA
Smart-
phone
Mobiele apparaat (1) Communicatiekanaal (2)
Kantoor
Toegangspunt Bedrijf (3)
Webmail
Figuur 5: Gebieden mobiele beveiliging
In deze scriptie worden de bovenstaande drie gebieden onderkend waarop dreigingen zich kunnen
manifesteren; het plaatsvinden van een dreiging heeft effect op een van de
informatiebeveiligingsaspecten (integriteit, beschikbaarheid, vertrouwelijkheid).
20
3.4 Ontwikkeling van het model
Voor de ontwikkeling van het model is voor elk van de informatiebeveiligingsaspecten een aparte
attack tree gemaakt, waarin per attack tree de omgevingen zoals gedefinieerd in paragraaf 3.2
terugkomen. In deze attack trees is eenvoudig te zien welke verzameling van aanvallen het doel
vervullen (zie appendix I).
Het opgebouwde model is bij een drietal expert middels een interview geverifieerd, met name om
de compleetheid van de attack tree te toetsen.
Hierbij zijn de interviews in drietal fasen opgedeeld:
• Discussie over trends in een mobiele omgeving
• Discussie over de dreigingen en mogelijke beheersmaatregelen
• Beoordeling van het huidige model.
Bij deze driedeling is gekozen om bij de eerste twee punten open vragen te stellen, op deze wijze zal
de geïnterviewde meer vanuit zijn eigen ervaringen spreken en daarmee mogelijke aanvullingen op
ons onderzoek niet te beperken. Bij het laatste punt is het model voorgelegd aan de geïnterviewden
en is hen gevraagd dit te beoordelen op volledigheid, overzichtelijkheid, consistentie en kwaliteit.
(Zie Appendix II). De input van de experts is meegenomen in de verdere verfijning van het model.
3.5 Bedreigingen en risico’s
Bij mobiel werken wordt de digitale bedrijfskritische informatie in vergelijking met niet-mobiel
werken blootgesteld aan verschillende nieuwe en specifieke bedreigingen in. Een dreiging definieren
we naar Overbeek [OVE05] als een proces of een gebeurtenis die in potentie een verstorende
invloed heeft op de betrouwbaarheid van een object. In het kader van informatiebeveiliging betreft
het objecten van informatievoorziening: apparatuur, programmatuur, procedures en mensen. Door
een verstoring van één of meerdere van deze objecten onstaat een directe dreiging op de data
welke beschermd wordt door deze objecten.
Een dreiging heeft effect op een van de informatiebeveiligingsaspecten [NEN07]:
• Beschikbaarheid
Waarborgen dat geautoriseerde gebruikers op het juiste moment en plaats tijdig
toegang hebben tot informatie en aanverwante bedrijfsmiddelen.
• Integriteit:
Waarborgen van de correctheid en volledigheid van informatie en verwerking.
• Vertrouwelijkheid:
Waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn
geautoriseerd.
21
Daarin kan een extra onderscheid gemaakt worden tussen menselijke (foutief handelen, criminaliteit
& misbruik) en niet-menselijk bedreigingen (storm, bliksem, brand).
Een risico drukken we uit in termen van de gemiddelde schade als gevolg van een bedreiging. De
dreiging dat iemand inbreekt in mijn auto geeft mij het risico dat ik mijn auto kwijtraak (verlies uit te
drukken in geld) waardoor ik ook een maatstaf heb om maatregelen tegen af te wegen om het risico
te beperken. De schade van het risico wordt genomen over een gegeven tijdsperiode waarin (één of
meer) bedreigingen leidt tot een verstoring van (één of meer) objecten van de
informatievoorziening. Dit betekent dat er sprake is van een risico wat zich voordoet als één of meer
objecten van de informatievoorziening door één of meer bedreigingen getroffen worden, met
schade als gevolg.
Binnen een mobiele omgeving zijn er dreigingen voor alle drie deelgebieden. In Figuur 6 zijn de
dreigingen schematisch weergegeven.
Netwerk connectie
Mobiele
apparaat
Aanvaller
Kantoor
Mobiele
Apparaat
Communicatie
Kanaal
Toegangspunt
Bedrijf
Figuur 6: Dreigingen mobiele beveiliging
Op basis van diverse bronnen uit de literatuur ([JAN08], [SAN01], [HOG06]) en interviews met
informatiebeveiligingsexperts (zie Appendix II) zijn er per informatiebeveiligingaspect dreigingen in
meer detail gedefinieerd. Deze dreigingen zijn geplaatst per omgevingsonderdeel (zoals aangegeven
in figuur 6). Het overzicht van de risico’s is terug te vinden in de attack trees (Appendix I) en in de
matrices (zie Appendix III).
22
4 Good practices voor beveiliging in een mobiele omgeving
In dit hoofdstuk worden de verschillende beheersmaatregelen uitgeschreven op basis van de eerder
gedefinieerde dreigingen. De in dit hoofdstuk beschreven beheersmaatregelen zijn een
samenvatting van de maatregelen gedefinieerd in de attack trees. Hier is per dreiging een mogelijke
beheersmaatregel opgenomen. Deze beheersmaatregelen zijn in grijs onder de betreffende dreiging
in het model opgenomen (zie Appendix I). Ook komen de beheersmaatregelen terug in de matrix
welke te vinden is in Appendix III, hierin komt duidelijk naar voren welke beheersmaatregel de
impact en kans van welk risico kan mitigeren.
4.1 Wat zijn beheersmaatregelen?
Door het treffen van beheersmaatregelen is het mogelijk om de kans en impact van risico’s (de
schade) te beperken. Dit kan enerzijds gedaan worden door de kans te verlagen dat het risico
plaatsvindt en anderzijds door dat de kwetsbaarheid van de betreffende objecten verkleind wordt,
oftewel het verkleinen van de impact. Een risicoanalyse leert voor welke bedreigingen
beheersmaatregelen getroffen moeten worden.
4.2 Beheersmodel
Vanuit de geïdentificeerde dreigingen zijn bijbehorende beheersmaatregelen gedefinieerd. Deze
beheersmaatregelen zijn in de attack tree opgenomen (Appendix I). In het voorgaande hoofdstuk is
te zien dat er en driedeling is: mobiele apparaten, communicatielijn, toegangspunt bedrijf. De
attacktree houdt ook deze driedeling aan. Er is ervoor gekozen om de geidentificeerde maatregelen
ook in deze driedeling te zetten. Daarnaast is opgevallen dat een aantal maatregelen overkoepelend
voor alle drie de gebieden zijn: Richtlijnen en procedures, Bewustzijn bij gebruikers. Dit komt dus
neer op de volgende vijf categorieën van beheersmaatregelen:
1. Richtlijnen en procedures (overkoepelend)
2. Bewustzijn bij gebruikers (overkoepelend)
3. Beveiliging mobiele apparaat
4. Beveiliging connectie
5. Beveiliging toegangspunt
Dit is schematisch weergeven in Figuur 7. Daarin is te zien dat richtlijnen en procedures en
bewustzijn van gebruikers de twee overkoepelende onderdelen zijn van een beheersbare mobiele
omgeving. Daar binnen zijn de pilaren gedefinieerd die ook in hoofdstuk 3 worden genoemd als de
gebieden waar bedreigingen plaats vinden. Voor deze pilaren geldt dat technische en
organisatorische beheersmaatregelen benodigd zijn om de omgeving te beheersen. Als ondergrond
23
in de tekening staat de mobiele infrastructuur, welke het object is wat beheerst wordt door de
maatregelen die worden ingericht voor de eerder genoemde vijf categorieën.
Hieronder worden per soort beheersmaatregel een aantal voorbeelden genoemd. Deze zijn
uitgewerkt in Fout! Verwijzingsbron niet gevonden., waarbij per beheersmaatregel wordt
aangegeven of het een richtlijn of procedure (R) is, bewustzijn bij gebruikers (G), een technische
beheersmaatregel (T) of een organisatorische maatregel (O) is. Sommige beheersmaatregelen vallen
in meerdere categorieën (technisch, organisatorisch en procedureel).
Figuur 7: Schematische weergave van de beheersmaatregelen
De volgende paragrafen beschrijven de categorieën van beheersmaatregelen in meer detail.
4.2.1 Richtlijnen en procedures
Voor richtlijnen en procedures is het belang dat ze onderdeel zijn van het
informatiebeveiligingsbeleid en de business ondersteunen. Ze dienen regelmatig geïnspecteerd te
worden door de business om te bepalen of de richtlijnen en procedures nog steeds effectief zijn.
Change management, probleem management, business continuïteit en beveiligingsinstellingen zijn
normaliter onderdeel van de richtlijnen en procedures. Om dreigingen en risico’s te beheersen
hebben wij binnen ons model de volgende typen procedures en richtlijnen geïdentificeerd:
• Richtlijnen voor gebruikers ten aanzien van gebruik apparaat (geen malware installeren,
apparaat locken, omgeving, etc);
• Richtlijnen voor gebruikers ten aanzien het omgaan met credentials;
• Richtlijnen voor helpdesk ten aanzien van het doorgeven van credentials (wachtwoord
reset);
• Procedure voor het verwijderen van logische toegang van werknemer die niet meer dienst is.
• Procedure voor verwijderen van data op oude apparaten.
24
• Procedure om apparaat te wipen op afstand.
4.2.2 Bewustzijn bij gebruikers
Gebruikersbewustzijn is een van de belangrijkste onderdelen in het palet van maatregelen waarmee
de beheersbaarheid van een mobiele omgeving wordt gerealiseerd. Hierbij is het cruciaal dat de
richtlijnen en procedures bekend zijn bij de gebruiker, zodat de gebruiker zich hieraan kan
conformeren om zo diefstal, verlies of vernietiging van het mobiele apparaat te voorkomen. Ook is
het van belang dat de gebruiker getraind wordt in de procedures en richtlijnen en een gedragscode
tekent bij het verkrijgen van toegang tot het bedrijfsnetwerk of mobiele apparaat.
4.2.3 Organisatorische maatregelen
De organisatorische maatregelen hebben als doel de werkwijzen en acties van medewerkers te
richten op de beperking van risico’s en dreigingen, bijvoorbeeld door een goed gebruik en beheer
van de technische maatregelen (RID98). Organisatorische maatregelen alleen zijn niet toereikend ter
realisatie van het noodzakelijke beveiligingsniveau. Slechts in combinatie met technische
maatregelen kunnen dreigingen op een doeltreffende manier worden beheerst. Organisatorische
maatregelen moeten door het bedrijf genomen worden. Wij hebben binnen ons model de volgende
typen organisatorische maatregelen geïdentificeerd:
• Organiseer mogelijkheden om accounts snel te blokkeren;
• Inrichten procedure die apparaat voorziet van laatste patches;
• Inrichten procedure voor het tijdig vervangen van hardware.
• Zorg voor een privacy screen;
4.2.4 Technische maatregelen
Tussen technische en organisatorische maatregelen bestaat een duidelijke afhankelijkheid. De
effectiviteit van technische maatregelen schiet tekort als deze onvoldoende zijn ingebed in
organisatorische maatregelen [RID98]. Technische maatregelen zijn van toepassing voor het
apparaat zelf, het communicatiekanaal en het toegangspunt bij het bedrijf. Wij hebben binnen ons
model de volgende typen technische maatregelen geïdentificeerd:
Mobiel apparaat
• Beperkt de rechten van de gebruiker op het apparaat;
• Schakel onnodige services uit;
• “Harden” het apparaat;
25
• Zorg voor een up-to-date virus scanner/security patches;
• Stel wachtwoord complexiteit in;
• Kies voor voldoende sterke encryptiemethoden voor bescherming credentials;
• Gebruik meervoudige authenticatie;
• Sta geen geheugenkaarten toe;
• Adequate fysieke bescherming apparaat;
• Zorg voor backup en vervanging bij verlies/diefstal;
• Zorg dat gebruikers alleen door de werkgever goedgekeurde software kunnen installeren;
• Gebruik encryptie zowel voor apparaat als geheugenkaart(en);
• Maak gebruik van een firewall client;
• Blokkeer de user interface van het apparaat automatisch na bepaalde timeout;
• Implementeer phishing detectie;
• Biedt alternatieve verbinding aan (Umts/Satelliet);
• Implementeer technische maatregelen die het onmogelijk maken met andere apparaten
verbinding te maken met het netwerk.
Communicatiekanaal
• Zorg dat server zich ook moet authenticeren bij het apparaat;
• Implementeer een voldoende sterke encryptie methode voor de verbinding;
• Fysieke beveiliging communicatiekanaal;
• Leg user credentials niet vast in communicatie.
Toegangspunt bedrijf
• Rust het toegangspunt uit met een firewall;
• Zorg voor een up-to-date virus scanner/security patches;
• Zorg voor fysiek beveiliging van het pand waar het toegangspunt zich bevindt;
• Gebruik whitelists/blacklists/ filtering voor internettoegang.
26
5 Praktische toepassing door de IT auditor
Dit hoofdstuk gebruikt een case analyse om de toepasbaarheid van het model in de praktijk te
toetsen, en welke rol de IT auditor hierbij vervult. Bij de praktische toepassing zijn twee
verschillende bedrijven onderzocht. Aan de hand van het ontwikkelde attack tree model (Appendix I)
zijn de beheersmaatregelen binnen het bedrijf in kaart gebracht en is beoordeeld of mogelijke
kwetsbaarheden aanwezig waren.
5.1 Case analyse
Voor de case analyse is het model bij twee consultancy/audit bedrijven getoetst. Omdat de attack
tree redelijk uitgebreid is voor een praktische toepassing is een checklist ontwikkeld. Deze checklijst
is beschreven in een matrix vorm (zie Appendix III) en is opgesteld op basis van de eerder
beschreven attack tree (hoofdstuk 3) en de good practices (hoofdstuk 4).
Er is gestart met een inventarisatie welke middelen (smartphone, laptop, usb, etc) worden gebruikt
door het betreffende bedrijf, waarna systematisch door de matrix is gegaan om te inventariseren
welke good practices aanwezig zijn. Hieronder wordt beschreven wat de ervaringen waren tijdens
deze twee stappen. De inhoudelijke resultaten van deze toetsing zijn niet opgenomen om zo te
voorkomen dat getroffen security maatregelen en van toepassing zijnde procedures openbaar
bekend worden. Wat wel beschreven wordt, is de ervaring die is opgedaan bij het hanteren van het
model. Bij beide toetsingen kwamen dezelfde ervaringen naar voren:
• De attack trees zijn erg uitgebreid en zijn daardoor minder geschikt als directe checklist
tijdens het toetsen. Daarom zijn, zoals al eerder beschreven, de trees “plat geslagen” tot een
matrix, wat een beter bruikbare checklist opleverde (zie Appendix III). Na het toetsen zijn de
resultaten aan de hand van de trees eenvoudig kunnen verwerken.
• De attack trees zijn bruikbaar voor alle middelen van mobiel werken die besproken zijn in de
interviews. Bij sommige vormen van mobiele werken is slechts een gedeelte van de boom
van toepassing zijn (bijvoorbeeld USB sticks of Webmail). Het model blijft ook dan van
toepassing. Een USB stick onderhoudt bijvoorbeeld geen communicatiekanaal met het
bedrijfstoegangspunt waardoor de hele tak ‘communicatie’ en ‘toegangspunt bedrijf’ komen
te vervallen, maar andere takken blijven relevant.
• Het model geeft snel een overzicht van risico’s/maatregelen die in mindere mate
geadresseerd zijn. Deze risico’s/maatregelen kunnen in een vroeg stadium al nader
onderzocht worden.
27
• De attack tree voor integriteit en vertrouwelijkheid komen in grote mate overeen. Daardoor
bood de toets op vertouwlijkheid ook inzicht in de meeste risico’s en good practices van
integriteit.
• De attack tree geeft inzicht in mogelijke dreigingen, het eigenlijke risico (de kans dat een
geschetste dreiging ook werkelijk voor zal komen) komt niet als dusdanig uit het model.
Hiervoor zal nog aanvullend onderzoek moeten plaatsvinden.
5.2 Toepassing in de praktijk
Op basis van bovenbeschreven ervaringen worden in deze paragraaf handreikingen gegeven voor
het praktisch toepassen van het model. Hierbij wordt eerst ingegaan worden op het gebruik van de
attack trees binnen een IT-Audit organisatie en hoe omgegaan dient te worden bij toepassing op
apparaten met een verschillend risico profiel. Daarna wordt ingegaan worden op het afwegen van
dilemma’s bij het gebruik van het model.
5.2.1 Gebruik van de attack trees
Hoofdstuk 2 beschrijft dat consultancy/audit bedrijven hun medewerkers voorzien van verschillende
apparaten. Aangezien elk van de apparten aparte karakteristieken hebben, zullen elk van deze
apparaten ook aan aparte dreigingen blootstaan.
Daarnaast is het denkbaar dat naast het gebruik van de reguliere werkstations ook werkstations
worden gebruik die controletechnisch andere karakteristieken hebben. Hierbij valt onder andere te
denken aan:
• Thuiscomputers waarmee verbinding gemaakt wordt met de bedrijfsomgeving
• Computers van externen die toegang hebben tot de bedrijfsomgeving
• Thin clients die toegang hebben tot het bedrijfsnetwerk
In bovenstaande scenario’s is sprake van verschillende risico modellen. Zo zal de beheersorganisatie
geen/beperkt invloed hebben op de thuiscomputer van de medewerker met betrekking tot patching
en hardening. Bij de computers in het eigen netwerk kan hier wel monitoring over plaatsvinden.
Onze suggestie is om voor bovenbeschreven situaties aparte atack tree analyses uit te voeren. In
Appendix II is een sjabloon opgenomen welke kan ondersteunen in deze analyse.
5.2.2 Afweging bij tegengestelde belangen
Bij de toepassing van de attack trees kan men uitmonden op tegengestelde belangen. Zo is een
situatie in te denken waarbij een medewerker voor langere tijd geen toegang heeft tot het
bedrijfsnetwerk. Om verlies van data te voorkomen zal op regelmatige basis een backup gemaakt
28
moeten worden. Dit zou via het gebruik van een USB device kunnen zijn. Hierbij komt het volgende
dillemma naar voren:
• Beschikbaarheid: om bij een systeemcrash minimaal verlies van data te hebben kan een
backup gemaakt worden op een USB device.
• Vertrouwelijkheid: Bij het verlies/diefstal van dit USB device komen vertrouwelijke gegevens
op straat.
Het model biedt mogelijkheden om deze risico’s te identificeren, de IT-Auditor kan op basis van het
gegeven dilemma en de bedrijfsspecifieke situatie verschillende alternatieven tegen elkaar afwegen
met het doel het restrisico te minimaliseren. Als voorbeeld:
• Situatie 1: Een medewerker werkt voor langere tijd offsite en kan met de huidig beschikbare
communicatie technologieën geen (goede) verbinding maken met het bedrijf waarvoor hij
werkt.
Optimalisatie: Doordat verbinding met het bedrijfsnetwerk lastig is zal gebruik gemaakt
kunnen worden van een lokale backup up een USB-device. Om deze gegevens te
beschermen kan gebruik gemaakt worden van encryptiemethoden.
• Situatie 2: Een medewerker werkt voor langere tijd offsite en kan met de beschikbare
communicatie technologieën een goede verbinding maken met het bedrijf waarvoor hij
werkt. Hij zal op regelmatige basis verbonden zijn met het bedrijfsnetwerk.
Optimalisatie: Bij verbinding met het bedrijfsnetwerk wordt hem de mogelijkheid geboden
om een backup te starten. De backup zal op de achtergrond en incrementeel (alleen de
verschillen worden gebackuped) uitgevoerd worden.
Naast bovenbeschreven dilemma zullen bij de toepassing van de maxtrix meerdere dilemma’s aan
bod kunnen komen. Het is aan management om op basis van de bedrijfsspecifieke situatie te
beslissen over de verschillende alternatieven.
5.3 Rol IT-Auditor
Het ontwikkelde attack tree model (Appendix I) kan gebruikt worden om snel inzicht te krijgen in de
maatregelen die aanwezig zijn binnen een consultancy/audit bedrijf en laat vervolgens zien waar
maatregelen niet genomen zijn. De IT-Auditor kan door management gevraagd worden een opinie te
geven over de inrichting van het mobiel werken gerelateerd aan de kwaliteitsaspecten
(beschikbaarheid, integriteit, vertrouwelijkheid). Het ontwikkelde model kan de auditor
29
ondersteunen bij het doen van een quickscan naar de aanwezige beheersmaatregelen. Hierbij kan
de auditor in korte tijd een oordeel geven over de opzet en het ontwerp van de aanwezige
maatregelen. Indien een oordeel van redelijke mate van zekerheid verlangd wordt zal de IT-Auditor
ook de werking van de controls moeten testen.
30
6 Conclusie
Dit hoofdstuk beantwoord de onderzoeksvraag. Daarnaast zal in de reflectie aandacht besteed
worden aan de aandachtspunten van het onderzoek.
De onderzoeksvraag luidt:
Wat zijn de risico’s voor de digitale bedrijfs(kritische) informatie met betrekking tot mobiel
werken bij consultancy/audit bedrijven en met welke maatregelen kunnen deze risico’s beheerst
worden?
Na ons onderzoek kunnen we antwoorden dat er een toenemende trend is in mobiel werken en dat
er vele dreigingen voorkomen t.a.v. het apparaat, de communicatie en het eindpunt. Het risico van
deze dreigingen valt te beperken door gebruik te maken van beheersmaatregelen op vijf gebieden:
richtlijnen en procedures, bewustzijn bij gebruikers, beveiliging mobiele apparaat, beveiliging
connectie, en beveiliging toegangspunt.
Uit ons onderzoek blijkt dat het gebruik van mobiele apparaten binnen bedrijven toeneemt en de
technologische trend is dat apparaten steeds kleiner en krachtiger worden. Er is gebleken dat
beveiligingissues rondom mobiel werken tegenwoordig meer aandacht krijgen binnen bedrijven
[PEL081].
Op basis van literatuurstudie, interviews en eigen analyse is een overzicht van mogelijke risico’s
geïdentificeerd. Deze risico’s manifesteren zich vooral op het moment dat gebruikers hun middelen
onbeheerd achterlaten of verliezen. Op technisch vlak zijn diverse risico’s onderkend zoals: virussen,
malware, spyware en misbruik van zwakheden.
Om zich te wapenen tegen deze risico’s dient een combinatie van technische, procedurele, en
organisatorische maatregelen getroffen te worden. Voorbeelden hiervan zijn: data encryptie,
hardening, en voorlichting van de gebruiker.
De risico’s en mogelijke beheersmaatregelen zijn opgenomen in het ontwikkelde attack tree model.
In Appendix I is het attack tree model beschreven. Tevens zijn per dreiging de risico’s opgenomen.
Daarnaast is deze attack tree omgeschreven naar een matrix structuur om toetsing tijdens
interviews te vereenvoudigen Fout! Verwijzingsbron niet gevonden.. Tevens is in de matrices te zien
dat een aantal beheersmaatregelen meerdere dreigingen afdekken. Dit maakt het voor management
mogelijk om een optimale mix in beheersmaatregelen te kiezen.
31
Uit deze toetsing van het model bij twee bedrijven is gebleken dat het model gebruikt kan worden
bij de beoordeling van de opzet van aanwezige beheersmaatregelen.
6.1 Reflectie en aanvullende onderzoeksresultaten
Naast de bruikbaarheid van het model in de praktijk zijn er ook een aantal kritische kanttekeningen
te plaatsen bij het huidige onderzoek:
• De ontwikkelde attack trees zijn minder handzaam (voor de integriteitsboom zijn er 72
knopen/bladeren) waardoor de auditor eerst inzicht moet verwerven over de opbouw van
ons model voordat de trees eenvoudig tijdens een interview gebruikt kunnen worden.
• De attack tree methode is vooral geënt op het identificeren van mogelijke aanvallen door
een externe aanvaller. Tijdens de modellering kwamen wij erachter dat het definiëren van
inherente risico’s niet goed in het model te brengen was. Bijvoorbeeld het crashen van een
harddisk wordt niet noodzakelijkerwijs veroorzaak door het handelen van een natuurlijk
persoon, maar het risico is inherent aan het gebruik van deze technologie.
• Tijdens de uitwerking van de attack trees werd duidelijk dat de integriteitboom en de
vertrouwelijkheidboom grote gelijkenis hadden. Er is gekeken of deze bomen samengevoegd
konden worden. Dit bleek lastig te zijn omdat ze in een aantal scenario’s verschillen.
Bijvoorbeeld wanneer een aanvaller meeleest op het beeldscherm van zijn slachtoffer komt
wel de vertrouwelijkheid maar niet de integriteit in het geding. Deze grote overlap tussen de
bomen kwam ook aan het licht bij de toetsing van het model in de praktijk. Hier bleek dat bij
het controleren van één van de bomen de ander al grotendeels ingevuld kon worden met de
reeds verkregen informatie.
32
Appendix I Attack Trees
Hieronder zijn de attack trees te vinden, per informatiebeveiligingsdoelstelling (vertrouwelijkheid,
beschikbaarheid en integriteit) is één attack tree opgesteld. De attack tree bevatten de verschillende
aanvalsscenario’s waaruit dreigingen komen. De attack trees zijn aangevuld met
beheersmaatregelen per soort dreiging (in grijs). Voor de vertrouwelijkheids en integriteitsboom
geldt dat deze niet op één pagina paste, waardoor ingaande en uitgaande lijnen van labels zijn
voorzien. Daarnaast zijn er een aantal gedeelten van de attack tree welke meerdere malen
voorkomen. Er is ervoor gekozen deze niet meerdere malen op te nemen maar de betreffende
knoop van een kleur te voorzien. Hierdoor is de knoop “Verkrijg autenticatiemetoden” in deel 1
groen gekleurd; de uitwerking van deze knoop is te zien in deel 4.
33
Vertrouwelijkheid deel 1
Achterhalen
vertrouwelijke
informatie
Onge-
autoriseerde
toegang tot de
communicatie
Toegang tot
communicatielijn
Lezen van
communicatie
Onderschep
communicatie
over de lijn
Communicatie
flow gerouteerd
via apparaat
aanvaller
Fysieke toegang
tot communicatie
lijn
Toegang tot de
lijn krijgen m.b.v.
“afluister
apparaat”
Aanvaller past
routing tables
aan om verkeer
te rerouten
Installeer Rogue
access point
Kraak
Communicatie
Interpreteer
communicatie
Decrypt
communicatie
Verkrijg encryptie
sleutel
Doe jezelf voor
als een legitieme
server (Man in
the middle)
Manipuleer de
setup fase van
de communicatie
Zet een
verbinding op
met de client en
doe je voor als
server
Gebruik
verkregen info
om een
verbinding op te
zetten met de
server
OR
AND
OR
AND OR
AND
AND
ANDRichtlijnen
gebruikers
(apparaat,
transport,
omgeving)
Voorlichting
Gebuikers
Richtlijnen
gebruikers
(apparaat,
transport,
omgeving)
Zorg ervoor dat de server zich ook moet
authenticeren
Kies sterke
encryptie
methode
Communicatie
flow gerouteerd
via apparaat
aanvaller
AND
Fysieke
maatregelen
1.B.01 1.B.02 1.B.03 1.B.04
1.B.05 1.B.06
1.B.07
1.B.08
Voorlichting
Gebruikers
Fysieke
Maatregelen
A C
Kies sterke
encryptie
methode
34
Vertrouwelijkheid deel 2
Toegang tot data
op het mobiele
apparaat
Misbruik van
Zwakke security
instellingen
Diefstal/
ongeauthori-
seerde toegang
apparaat
Misbruiken
Vulnerabilities
Software niet
voorzien van de
laatste versie’s
Exploit
beschikbaar die
toegang geeft
Malware/Trojan
Gebruiker laat
apparaat in
onbewaakte
ruimte liggen
Verkrijgen
credentials
OR
AND
Aanvaller kan
gebruiker
Malware/Trojan
laten installeren
(Via programma/
ActiveX)
Malware/Trojan
wordt niet tijdig
gedetecteerd
door
scanapparatuur.
AND
Toegang tot
vertrouwelijke
informatie op een
afgeschreven
apparaat.
Aanvaller kan
weggegooide
fysieke apparaat
onderscheppen
Data is niet
afdoende
verwijderd
Aanvaller breekt
in en neemt
apparaat mee.
Gebruiker wordt
overvallen
OR
Malware/Trojan
laten installeren
via medium (usb,
disk, cd enz)
Malware/Trojan
laten installeren
via een netwerk
(mail, internet
enz)
Ongeautoriseerde
toegang tot het
(mobile) apparaat
Toegang tot DataToegang tot Mobile
apparaat
AND
OR
Toegang tot open
poorten mobiele
apparaat
(Netwerk)
OR
AND
Verlies Apparaat
Misbruiken
zwakke security
policy
Breken slechte
Data encryptie
(disk/
communicatie)
OR
Adequate
procedure voor
verwijderen data
op oude
apparaten
Adequate
procedure voor
verwijderen data
op oude
apparaten
Richtlijnen over
gebruik apparaat
in bepaalde
omgeving
Richtlijnen over
gebruik/transport
apparaat
Hardening
apparaat (open
poorten
bepereken).
Maak gebruik
van firewalls
Richtlijnen over
gebruik/transport
apparaat.
Remote Wipe
procedure
Patchprocedure
Voldoende sterke
encryptie
protocolen
gebruiken. Disk
encryptie/
encryptie
communicatie
Hardening van
het Apparaat
Up to date
detectie
programmatuur
geinstalleerd
Voorlichting Gebruikers
Richtlijnen gebruikers (apparaat, transport,
omgeving)
Beperken rechten van de eindgebruiker
Disabelen van onnodige services.
Gebruik van
whitelists/
blacklists/ filtering
Voorlichting
Gebruikers
OR
Fysieke
maatregelen
Verwijderen
geheugen uit
apparaat
Aanvaller heeft
fysieke toegang
tot het apparaat
De rechtmatige
gebruiker is niet
in de buurt
AND
Voorlichting
Gebruikers
Richtlijnen
gebruikers
(apparaat,
transport,
omgeving)
Geheugen kan
verwijderd (en
teruggeplaatst)
worden
Geen
geheugenkaart
toestaan
Fysieke
Maatregelen
1.A.01 1.A.02
1.A.031.A.22
1.C.19
1.A.26 1.A.27
1.A.28
1.A.29 1.A.30 1.A.31
1.A.32
1.A.33 1.A.34 1.A.35
1.A.23
1.C.20
1.A.24
1.C.21
1.A.25
1.C.22
A
B
35
Vertrouwelijkheid deel 3
36
Vertrouwelijkheid deel 4
Misbruik van niet
gelocked
apparaat
Slachtoffer maakt
gebruik van
apparaat
aanvaller
Apparaat
aanvaller
voorzien van
Spyware
Aanvaller heeft
fysieke toegang
tot het appraraat
AND
Spyware kan
betrouwbare
informatie
uitlezen
Lezen van
vertrouwelijke
informatie op scherm/
toetstenbord
Scherm
toetsenbord in
zicht aanvaller/
camera van de
aanvaller
Radiatie kan
opgevangen
worden
Apparaat om
radiatie op te
vangen op
voldoende
afstand
OR
Radiatie kan
geïnterpreteerd
worden
AND
Informatie kan
geïnterpreteerd
worden
Gevoellige info is
getoond/
ingetoetst op het
moment van
afkijken
Gevoellige info is
getoond/
ingetoetst op het
moment van
afluisteren
AND
De rechtmatige
gebruiker is niet
in de buurt
Gevoelige data
kan benaderd
worden
AND
Gebruiker maakt
gebruik van
apparaat
Technische
maatregelen die
gebruik andere
apparaten
onmogelijk
maken.
Voorlichting
Gebruikers
Richtlijnen
gebruikers
(apparaat,
transport,
omgeving)
Automatische
blokkering
apparaat
Richtlijnen
gebruikers
(apparaat,
transport,
omgeving),
Meervoudige
Authenticatie
Privacy Screen
Richtlijnen over
gebruik apparaat
in bepaalde
omgeving
Gebruikers trainen/voorlichten over gebruik van andere pc’s
Fysieke
Maatregelen
1.A.17
1.B.22
1.C.14
1.A.18
1.B.23
1.C.15
1.A.19
1.B.24
1.C.16
1.A.20
1.B.25
1.C.17
1.A.21
1.B.26
1.C.18
1.A.36 1.A.37 1.A.38
1.A.39 1.A.40 1.A.41
B
Adequate
Logische
Toegangs
procedures
37
Beschikbaarheid
Data wordt niet
beschikbaar
Communicatie-
kanaal niet
beschikbaar
OR
Data op lokale
computer niet
beschikbaar
storing van het
appraraat
Communicatie-
kanaal tussen
Werk en mobiele
locatie verstoren
Geen toegang tot
netwerk in de
omgeving
Apparaat
Verloren/gestolen
Fysieke toegang
tot het
communicatie-
kanaal
Datatransmissie
onmogelijk
maken
Fysieke lijn
beschadigen
Communciatie
Jammen
OR
AND
OR
Software Storing
middels virus/
malware
Technische
hardware storing
OR
Gebruikers
Interferentie
Externe Dreiging
(Weer, Brand,
etc)
Fysieke
Maatregelen
Voorlichting
Gebruikers
Backup/Restore
procedures
Goede
voorlichting/
training
gebuikers en
Beheerders
Backup/Restore
Procedures
Up-to-date virus
definities en
security patches
Backup/Restore
Procedures
Hardware tijdig
vervangen
Backup/Restore
Procedures
Alternatieve
verbinding
bieden
Fysieke lijn goed
afschermen
Fysieke lijn
afschermen /
Wireless bereik
beperken
(schielding)
Geen
spanningsbron,
stroom uitval
Brand Wateroverlast
Backup / Vervangen hardware
Voorlichting gebruikers
OR
OR
Alternatieve
verbinding
bieden (umts,
satelliet)
2.A.01 2.A.02 2.A.03
2.A.04
2.A.05
2.C.01
2.A.06
2.C.02
2.A.07
2.C.03
2.B.01
2.B.02 2.B.03
2.B.04
Brute force
lockout uitvoeren
Beschikbaarheid
van
toegangspunt
bedrijf
Storing aan
Toegangspunt
Apparaat
Verloren /
gestolen
Aanval op
Toegangspunt
van buiten/
binnen
Logische schade
toebrengen
Fysieke schade
toebrengen
OR
OR Adequate
Fysieke
bescherming
apparaten
Adequate
Fysieke
bescherming
apparaten
Servers afschermen via Firewall
Patch status up-to-date houden
Backup/Restore Procedures
2 factor
authenticatie
implementeren
voor webmail &
remote access
Capaciteit
Toegangspunt
verbruiken
Hack
OR
2.C.04 2.C.05
2.C.06 2.C.07
2.C.08
38
Integriteit deel 1
Onge-
autoriseerde
toegang tot het
(mobile) apparaat
Misbruik
Apparaat niet
gelocked
apparaat
Malware/Trojan
Aanvaller heeft
fysieke toegang
tot het appraraat
OR
Aanvaller kan
gebruiker
Malware/Trojan
laten installeren
(Via programma/
ActiveX)
Malware/Trojan
wordt niet tijdig
gedetecteerd
door
scanapparatuur.
AND
De rechtmatige
gebruiker is niet
in de buurt
Gevoelige data
kan aangepast
worden
AND
Malware/Trojan
laten installeren
via medium (usb,
disk, cd enz)
Malware/Trojan
horse laten
installeren via
een netwerk
(mail, internet
enz)
Ongeautoriseerd
e toegang tot het
(mobile) apparaat
Toegang tot Data
Misbruik van
Zwakke security
instellingen
Misbruik van
Vulnerability
Software niet
voorzien van de
laatste versie’s
Exploit
beschikbaar die
toegang geeft
AND
OR
AND
Zwakke security
policy
Slechte Data
encryptie
OR
Voorlichting
Gebruikers
Automatische
blokkering
apparaat
Up to date
detectie
programmatuur
geinstalleerd
Richtlijnen over
gebruik apparaat.
Beperken
rechten van de
eindgebruiker
Disabelen van
onnodige
services.
Richtlijnen over
gebruik apparaat.
Beperken
rechten van de
eindgebruiker.
Disabelen van
onnodige
services. Gebruik
van whitelists/
blacklists/ filtering
PatchprocedureKies sterke
encryptie
methode
Hardening van
het apparaat
Fysieke
Maatregelen
3.A.28 3.A.29 3.A.30
3.A.01 3.A.02
3.A.033.A.22
3.C.19
3.A.23
3.C.20
3.A.24
3.C.21
3.A.25
3.C.22
Verkrijgen
credentials
Toegang tot
Mobile Apparaat
Toegang tot open
poorten Mobile
apparaat
(Netwerk)
Fysieke toegang
tot apparaat
OR
Fysieke
Maatregelen
Hardening
Apparaat
Gebruik Firewalls
3.A.26 3.A.27
Data wordt niet
meer integer
ORA
39
Integriteit deel 2
Onge-
autoriseerde
toegang tot de
communicatie
Ongeautoriseerde
toegang tot
Toegangspunt Bedrijf
Verkrijgen
credentials
Misbruiken
vulnerabilities
OR
Kraak zwakke
security
instellingen
Toegang tot
communicatielijn
Lezen/
aanpassen van
communicatie
Onderschep
communicatie
over de lijn
Communicatie
flow gerouteerd
via apparaat
aanvaller
Fysieke toegang
tot communicatie
lijn
Toegang tot de
lijn krijgen m.b.v.
“afluister
apparaat”
Aanvaller past
routing tables
aan om verkeer
te rerouten
Installeer Rogue
access point
Kraak
Communicatie
Interpreteer
communicatie
Decrypt
communicatie
Verkrijgen
Credentials
Doe jezelf voor
als een legitieme
server (Man in
the middle)
Manipuleer de
setup fase van
de communicatie
Zet een
verbinding op
met de client en
doe je voor als
server
Gebruik
verkregen info
om een
verbinding op te
zetten met de
server
AND
OR
AND OR
AND
AND
AND
Fysieke
maatregelen
Voorlichting
Gebruikers
Richtlijnen
gebruikers
(apparaat,
transport,
omgeving)
Zorg ervoor dat de server zich ook moet
authenticeren
Kies Sterke
Encryptie
methode
Communicatie
flow gerouteerd
via apparaat
aanvaller
AND
Fysieke
maatregelen
3.B.01 3.B.02 3.B.03 3.B.04
3.B.05 3.B.06
3.B.07
3.B.08
A
Kies Sterke
Encryptie
methode
Fysieke
maatregelen
40
Integriteit deel 3
Verkrijgen
credentials
Steel user
credentials
Omkopen van de
gebruiker
Gevonden
Verkrijg notitie of
sleutel
Probeer te raden
(Brute Force
aanval)
Verkrijg
versleutelde
credentials
Toegang tot
versleutelde
wachtwoord
Kraak
versleuteling
Oude gebruikers
hebben nog
toegang
Oude gebruiker
misbruikt
credentials
OR
Bedreigen
OR
AND
OR
Gebruik oude
usercredetials
AND
Via Social
engineeringVia phishing
Maak Phishing
pagina
Dwing de
gebruiker user
credentials in te
vullen
AND
Verkrijg user
credentials via de
gebruiker
Verkrijg user
credentials via
het bedrijf (bv
helpdesk)
OR
Lezen van
vertrouwelijke
informatie op scherm/
toetstenbord
Voorlichting
Gebruikers
Stel password
complexiteit in
Sla
wachtwoorden in
een beveiligde
omgeving op.
Kies voor
voldoende sterke
encryptiemethod
en voor
bescherming
credentials
Voorlichting
Gebruikers
Richtlijnen
gebruikers
(apparaat,
transport,
omgeving)
Voorlichting
Gebruikers
Richtlijnen
gebruikers
(apparaat,
transport,
omgeving)
Leg user
credentials niet
vast in
communicatie.
Sla
wachtwoorden in
een beveiligde
omgeving op.
User crentials
tastbaar/
vastgelegd/
opgeslagen
Mogelijkheid
accounts snel te
blokkeren
Meervoudige
authenticatie (bv
biometrie)
Adequate logische toegangs procedures
Voorlichting voor
gebruikers
Gebruik
meervoudige
authenticatie
Introduceer
kenmerken op de
site die Phishing
lastiger maken.
Zorg dat
schermen niet
gevoelig zijn voor
XSS.
Gebruik phishing
detectie in
brouwser.
Adequate
procedures voor
password resets.
Gebruik
meervoudige
authenticatie
Voorlichting
Gebruikers
Richtlijnen
gebruikers
(apparaat,
transport,
omgeving)
Gebruik
meervoudige
authenticatie
Scherm toetsenbord
in zicht aanvaller/
camera van de
aanvaller
Radiatie kan
opgevangen
worden
Apparaat om
radiatie op te
vangen op
voldoende
afstand
OR
Radiatie kan
geïnterpreteerd
worden
AND
Informatie kan
geïnterpreteerd
worden
Gevoellige info is
getoond/
ingetoetst op het
moment van
afkijken
Gevoellige info is
getoond/
ingetoetst op het
moment van
afluisteren
AND
Voorlichting
Gebruikers
Richtlijnen
gebruikers
(apparaat,
transport,
omgeving)
Privacy screen.
meervoudige
authenticatie
Richtlijnen over
gebruik apparaat
in bepaalde
omgeving
3.A.04
3.B.09
3.C.01
3.A.05
3.B.10
3.C.02
3.A.06
3.B.11
3.C.03
3.A.07
3.B.12
3.C.04
3.A.08
3.B.13
3.C.05
3.A.09
3.B.14
3.C.06
3.A.10
3.B.15
3.C.07
3.A.11
3.B.16
3.C.08
3.A.12
3.B.17
3.C.09
3.A.13
3.B.18
3.C.10
3.A.14
3.B.19
3.C.11
3.A.15
3.B.20
3.C.12
3.A.16
3.B.21
3.C.13
3.A.17
3.B.22
3.C.14
3.A.18
3.B.23
3.C.15
3.A.19
3.B.24
3.C.16
3.A.20
3.B.25
3.C.17
3.A.21
3.B.26
3.C.18
Adequate
logische
toegangs
procedures
41
Appendix II Vragenlijsten
Vragenlijst Informatiebeveiligingprofessionals
Introductie:
Tijdens de introductie van het interview zal kort toegelicht worden wat we onderzoeken en welke
onderzoeksmethodologie gehanteerd wordt. Er wordt een inleiding gegeven worden op de scope,
hoofdvraag en de definitie gebruikt voor mobiel werken.
Hoofdvraag:
Wat zijn de risico’s m.b.t. de digitale bedrijfskritische informatie en mogelijke
beheersmaatregelen bij verregaande mobiliteit bij consultancy/audit bedrijven?
Definitie voor mobiel werken:
Mobiel werken is het gebruik van middelen om met bedrijfkritische elektronische gegevens te
kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van
het bedrijf.
Doelen van het interview:
• Doel 1 Trends ten aanzien van mobiel werken en Beveiliging naar de toekomst toe
identificeren
• Doel 2 Vaststellen van informatiebeveiligingsrisico’s bij verregaande mobiliteit
• Doel 3 Best practices om deze informatiebeveiligingsrisico’s in te perken identificeren
Om deze doelstellingen te behalen worden de volgende interviewvragen gesteld:
Voor doel 1
Welke trends in verregaande mobiliteit ziet u?
• Welke trends ziet u ten aanzien van het gebruik van eigen
communicatiemiddelen/apparaten voor mobiel werken?
• Welke trends ziet u in privégebruik van apparatuur naast gebruik voor werkdoeleinden?
• Welke trends ziet u in nieuwe apparaten/technologieën?
• Welke trends ziet u in de soort toegang die wordt toegestaan van buitenaf?
42
• Welke trends ziet u op het gebied van informatiebeveiliging?
• Welke soorten werkwijzen onderkent u?
• Welke trends ziet u ten aanzien van het aantal mobiele werkers naar de toekomst?
• Welke trends ziet u ten aanzien van de lokatie van telewerken?
Voor doel 2
Waar liggen volgens u de risico's in een mobiele omgeving?
• Welke risico’s onderkent u op het gebied van beveiliging van informatie?
• Welke risico’s onderkent u op het gebied van integriteit van informatie?
• Welke risico’s onderkent u op het gebied van beschikbaarheid van informatie?
Wij hebben de volgende risico’s vastgesteld en gegroepeerd in een attack tree, wat is u kijk hierop?
(voor de 3 opgestelde bomen)
• Ziet u mogelijke aanvullingen, toevoegingen?
• Ziet u onjuistheden?
Voor doel 3
• Welke best practices onderkent u om de risico’s ten aanzien van verregaande mobiliteit in te
perken?
• Welke rol is hierbij voor het bedrijf weggelegd en welke rol voor de mobiele werknemer?
• In hoeverre zullen deze best practises toekomstige werkwijze kunnen beveiligen?
43
Vragenlijst Toetsing
Auditaanpak ter beoordeling van mobiele security
Inleiding:
Korte inleiding ten aanzien van het onderzoek en het doel van het interview; aandacht voor
verwerking van resultaten in de scriptie.
Audit aanpak:
Mobiele omgeving
• Inventarisatie van middelen
o Welke middelen hebben gebruikers tot hun beschikking voor mobiel werken.
Bijvoorbeeld: Webmail, USB sticks, Telefoon, Laptop
• Inventarisatie van gebruikers
o Welke gebruikersgroepen hebben remote toegang?
• Inventarisatie van soorten toegang
o Welke soorten toegang hebben gebruikers tot de bedrijfsomgeving met de geboden
middelen. Zijn er restricties aan deze toegang?
• Inventariseren van het onderhoud
o Zijn apparaten in onderhoud van het bedrijf of door de gebruiker zelf. Hebben
gebruikers administrator rechten?
Risico inventarisatie:
• Is er een risico inventarisatie gedaan ten aanzien van mobiele toegang?
o Welke risico’s zijn onderkend.
Maatregelen: zie appendix III
Gebruikersgroepen
Gebruikersgroepen Procedurele maatregelen
Mobiele apparaten
Middel Soort toegang Onderhoud Onderkende
risico’s
Getroffen
maatregelen
44
Appendix III Matrices
De opgestelde attack trees (Appendix I) dwingen de Auditor om in een gestructureerde manier over
dreigingen te denken. Deze attack trees bevatten echter redelijk veel informatie waardoor het
overzicht van de auditor vertroebeld kan worden. Er is er daarom voor gekozen om een checklist te
maken welke gebruikt kan worden tijdens een Audit. De checklist is weergegeven in een matrix
welke direct is voorgekomen uit de attack trees. Op basis van de attack trees zijn onderstaande
matrices samengesteld. Hierbij zijn de dreigingen op de verticale lijn geplaatst (deze dreigingen zijn
overgenomen van de bladeren van de bomen. Op de horizontale as staan de verschillende
beheersmaatregelen (welke uit de boom zijn overgenomen; doublures zijn verwijderd). Daarnaast is
de link tussen de dreiging en de beheersmaatregel aangegeven door de grijs gekleurde hokjes,
waarbij per beheersmaatregel wordt aangegeven of het een richtlijn of procedure ( R) is, bewustzijn
bij gebruikers (G), een technische beheersmaatregel (T) of een organisatorische maatregel (O) is.
Vertrouwelijkheid
G1 T1 T2 T3 T4 T5 T6 T7 R1 T8 R2 Vo
orlich
ting
ge
bru
ike
rs
Be
pe
rke
n re
chte
n
ge
bru
ike
rs
Uitsch
ake
len
on
no
dig
e
serv
ices
Ge
bru
ik
wh
itelists/b
lack
lists/
filterin
g
Ge
bru
ik U
p to
da
te
de
tectie
pro
gra
mm
atu
ur
Sla
cred
en
tials in
be
ve
iligd
e o
mg
evin
g o
p
Ste
l wa
chtw
oo
rd
com
ple
xiteit in
Kie
s sterk
e
en
cryp
tiem
eth
od
e
Rich
tlijne
n g
eb
ruik
ers
(ap
pa
raa
t, tran
spo
rt,
om
ge
vin
g)
Me
erv
ou
dig
e
au
the
ntica
tie
Ad
eq
ua
te p
roce
du
res
vo
or w
ach
two
ord
rese
t
Nr Risico G T T T T T T T R T R
1.A.01 Malware/Trojan laten installeren via
een netwerk (mail, internet enz)
x x x x x
1.A.02 Malware/Trojan laten installeren via
medium (usb, disk, cd enz)
x x x x
1.A.03 Malware/Trojan wordt niet tijdig
gedetecteerd door scanapparatuur.
x
1.A.04
1.B.09
1.C.01
Probeer te raden (Brute Force
aanval)
x x
1.A.05
1.B.10
1.C.02
Toegang tot versleutelde
wachtwoord
x
1.A.06
1.B.11
1.C.03
Kraak versleuteling
x
1.A.07
1.B.12
1.C.04
Verkrijg gebruikers credentials via
de gebruiker
x x x
1.A.08
1.B.13
1.C.05
Verkrijg gebruikers credentials via
het bedrijf (bv helpdesk)
x x
1.A.09
1.B.14
1.C.06
Omkopen van de gebruiker
x x
45
G1 T5 R1 T8 T9 T10 T11 T12 O4 R3 O1 T7 T17
Vo
orlich
ting
ge
bru
ike
rs
Sla
cred
en
tials in
be
ve
iligd
e o
mg
evin
g o
p
Rich
tlijne
n g
eb
ruik
ers
(ap
pa
raa
t, tran
spo
rt,
om
ge
vin
g)
Me
erv
ou
dig
e
au
the
ntica
tie
To
evo
eg
en
site
ke
nm
erk
en
die
Ph
ishin
g
latig
ma
ke
n
Zo
rg site
nie
t ge
vo
elig
is
vo
or X
SS
.
Ph
ishin
g d
ete
ctie in
bro
wse
r
leg
use
r cred
en
tials n
iet
va
st in co
mm
un
icatie
Mo
ge
lijkh
eid
acco
un
ts
sne
l te b
lok
ke
ren
Ad
eq
ua
te lo
gisch
e
toe
ga
ng
s pro
ced
ure
s
Priv
acy
scree
n
Kie
s sterk
e
en
cryp
tiem
eth
od
e
Ge
en
ge
he
ug
en
ka
art
toe
staa
n
Nr Risico G T R T T T T T O, T R O T T
1.A.10
1.B.15
1.C.07
Maak Phishing pagina
x x x
1.A.11
1.B.16
1.C.08
Dwing de gebruiker user
credentials in te vullen
x x
1.A.12
1.B.17
1.C.09
User credentials tastbaar/
vastgelegd/opgeslagen
x x x
1.A.13
1.B.18
1.C.10
Verkrijg notitie of sleutel
x
1.A.14
1.B.19
1.C.11
Bedreigen
x x
1.A.15
1.B.20
1.C.12
Oude gebruikers hebben
nog toegang
x
1.A.16
1.B.21
1.C.13
Oude gebruiker misbruikt
credentials
1.A.17
1.B.22
1.C.14
Gevoellige info is
getoond/ingetoetst op het
moment van afkijken x x x
1.A.18
1.B.23
1.C.15
Informatie kan
geïnterpreteerd worden
x
1.A.35 Gebruiker wordt
overvallen
x
1.A.36 De rechtmatige gebruiker
is niet in de buurt
x x
1.A.19
1.B.24
1.C.16
Apparaat om radiatie op te
vangen op voldoende
afstand
1.A.20
1.B.25
1.C.17
Radiatie kan
geïnterpreteerd worden
1.A.21
1.B.26
1.C.18
Gevoellige info is
getoond/ingetoetst op het
moment van afluisteren x
1.A.33 Gebruiker laat apparaat in
onbewaakte ruimte liggen
x
1.A.29
De rechtmatige gebruiker
is niet in de buurt
x x
1.A.24
1.C.21
Breken slechte Data
encryptie
(disk/communicatie) x
1.B.07 Interpreteer communicatie
x
1.B.08 Decrypt communicatie
x
1.A.31 Geheugen kan verwijderd
(en teruggeplaatst) worden
x
46
G1 R1 O2 T15 R4 T16 R5 T18 T19 G2 T20 T21
Vo
orlich
ting
ge
bru
ike
rs
Rich
tlijne
n g
eb
ruik
ers
(ap
pa
raa
t, tran
spo
rt,
om
ge
vin
g)
Pa
tchp
roce
du
re
Ha
rde
nin
g a
pp
ara
at
Ad
eq
ua
te p
roce
du
re v
oo
r
ve
rwijd
ere
n d
ata
op
ou
de
ap
pa
rate
n
Ge
bru
ik F
irew
alls
Re
mo
te w
ipe
pro
ced
ure
Fysie
ke
ma
atre
ge
len
Au
tom
atisch
e b
lokke
ring
ap
pa
raa
t
Ge
bru
ike
rs vo
orlich
ten
ge
bru
ik a
nd
ere
pc’s
Se
rve
r au
the
ntica
tie
Te
chn
ische
ma
atre
ge
len
die
ge
bru
ik a
nd
ere
ap
pa
rate
n o
nm
og
elijk
ma
ke
n.
Nr Risico G R T, R, O T R,O T T, R, O T T G T T
1.A.22
1.C.19
Exploit beschikbaar die
toegang geeft
x
1.A.23
1.C.20
Software niet voorzien van
de laatste versie’s
x
1.A.25
1.C.22
Misbruiken zwakke security
policy
x
1.A.26 Aanvaller kan weggegooide
fysieke apparaat
onderscheppen x x
1.A.27 Data is niet afdoende
verwijderd
x
1.A.28 Toegang tot open poorten
mobiele apparaat (Netwerk)
x x
1.A.30 Aanvaller heeft fysieke
toegang tot het apparaat
x
1.A.32 Verlies Apparaat
x x
1.A.34 Aanvaller breekt in en
neemt apparaat mee.
x
1.A.37 Aanvaller heeft fysieke
toegang tot het appraraat
x
1.A.38 Gevoelige data kan
benaderd worden
x
1.A.39 Apparaat aanvaller voorzien
van Spyware
x
1.A.40 Spyware kan betrouwbare
informatie uitlezen
x
1.A.41 Gebruiker maakt gebruik
van apparaat
x x x
1.B.01 Fysieke toegang tot
communicatie lijn
1.B.02 Toegang tot de lijn krijgen
m.b.v. “afluister apparaat”
x
1.B.03 Aanvaller past routing tables
aan om verkeer te rerouten
x x
1.B.04 Installeer Rogue access
point
x x
1.B.05 Zet een verbinding op met
de client en doe je voor als
server x
1.B.06 Gebruik verkregen info om
een verbinding op te zetten
met de server x
47
Beschikbaarheid
G1 T8 T16 T18 T21 O3 T23 T24
Vo
orlich
ting
Ge
bru
ike
rs
Me
erv
ou
dig
e
au
the
ntica
tie
Ge
bru
ik F
irew
alls
Fysie
ke
Ma
atre
ge
len
Ba
cku
p/R
esto
re
pro
ced
ure
s
Ha
rdw
are
tijdig
ve
rva
ng
en
Up
-to-d
ate
viru
s
de
finitie
s en
secu
rity
pa
tche
s
Alte
rna
tieve
ve
rbin
din
g
bie
de
n (u
mts, sa
tellie
t)
Nr Risico P,G T T T T O T T
2.A.01 Geen spanningsbron, stroom
uitval
x x x
2.A.02 Brand
x x x
2.A.03 Wateroverlast
x x x
2.A.04
2.C.08
Apparaat Verloren/gestolen
x x x
2.A.05
2.C.01
Technische hardware storing
x x
2.A.06
2.C.02
Software Storing middels
virus/malware
x x
2.A.07
2.C.03
Gebruikers Interferentie
x
2.B.01 Fysieke toegang tot het
communicatie-kanaal
x
2.B.02 Fysieke lijn beschadigen
x
2.B.03 Communciatie Jammen
x
2.B.04 Geen toegang tot netwerk in
de omgeving
x
2.C.04 Hack
x x x
2.C.05 Capaciteit Toegangspunt
verbruiken
x x x
2.C.06 Fysieke schade toebrengen
x
2.C.07 Brute force lockout
uitvoeren
x
48
Integriteit
G1 T1 T2 T3 T4 T5 T6 T7 R1 T8 R2 T12 O4
Vo
orlich
ting
ge
bru
ike
rs
Be
pe
rke
n re
chte
n
ge
bru
ike
rs
Uitsch
ake
len
on
no
dig
e
serv
ices.
Ge
bru
ik
wh
itelists/b
lack
lists/
filterin
g
Ge
bru
ik U
p to
da
te
de
tectie
pro
gra
mm
atu
ur
Sla
cred
en
tials in
be
ve
iligd
e o
mg
evin
g o
p
Ste
l wa
chtw
oo
rd
com
ple
xiteit in
Kie
s sterk
e
en
cryp
tiem
eth
od
e
Rich
tlijne
n g
eb
ruik
ers
(ap
pa
raa
t, tran
spo
rt,
om
ge
vin
g)
Me
erv
ou
dig
e
au
the
ntica
tie
Ad
eq
ua
te p
roce
du
res
vo
or w
ach
two
ord
rese
t
leg
use
r cred
en
tials n
iet
va
st in co
mm
un
icatie
Mo
ge
lijkh
eid
acco
un
ts
sne
l te b
lok
ke
ren
Nr Risico G T T T T T T T R T R T O, T
3.A.01 Malware/Trojan laten
installeren via een
netwerk (mail, internet
enz) x x x x x
3.A.02 Malware/Trojan laten
installeren via medium
(usb, disk, cd enz) x x x x
3.A.03 Malware/Trojan wordt
niet tijdig gedetecteerd
door scanapparatuur. x
3.A.04
3.B.09
3.C.01
Probeer te raden (Brute
Force aanval)
x x x
3.A.05
3.B.10
3.C.02
Toegang tot versleutelde
wachtwoord
x
3.A.06
3.B.11
3.C.03
Kraak versleuteling
x
3.A.07
3.B.12
3.C.04
Verkrijg user credentials
via de gebruiker
x x x
3.A.08
3.B.13
3.C.05
Verkrijg user credentials
via het bedrijf (bv
helpdesk) x x
3.A.09
3.B.14
3.C.06
Omkopen van de
gebruiker
x x
3.A.11
3.B.16
3.C.08
Dwing de gebruiker user
credentials in te vullen
x x
3.A.12
3.B.17
3.C.09
User credentials tastbaar/
vastgelegd/opgeslagen
x x x
3.A.13
3.B.18
3.C.10
Verkrijg notitie of sleutel
x
3.A.14
3.B.19
3.C.11
Bedreigen
x x
3.A.21
3.B.26
3.C.18
Gevoellige info is
getoond/ingetoetst op
het moment van
afluisteren x
3.A.24
3.C.21
Breken slechte Data
encryptie
(disk/communicatie) x
3.A.28 De rechtmatige gebruiker
is niet in de buurt
x x
3.B.07 Interpreteer
communicatie
x
3.B.08 Decrypt communicatie
49
G1 R1 T8 T9 T10 T11 R3 O1 O2 T15 T16 T18 T19 T20
Vo
orlich
ting
ge
bru
ike
rs
Rich
tlijne
n g
eb
ruik
ers
(ap
pa
raa
t, tran
spo
rt,
om
ge
vin
g)
Me
erv
ou
dig
e
au
the
ntica
tie
To
evo
eg
en
site
ke
nm
erk
en
die
Ph
ishin
g
latig
ma
ke
n
Zo
rg site
nie
t ge
vo
elig
is
vo
or X
SS
.
Ph
ishin
g d
ete
ctie in
bro
wse
r
Ad
eq
ua
te lo
gisch
e
toe
ga
ng
s pro
ced
ure
s
Priv
acy
scree
n
Pa
tchp
roce
du
re
Ha
rde
nin
g a
pp
ara
at
Ge
bru
ik F
irew
alls
Fysie
ke
ma
atre
ge
len
Au
tom
atisch
e b
lokke
ring
ap
pa
raa
t
Se
rve
r au
the
ntica
tie
Nr Risico G R T T T T R O T, P, O T P,O T T T
3.A.15
3.B.20
3.C.12
Oude gebruikers hebben
nog toegang
x
3.A.10
3.B.15
3.C.07
Maak Phishing pagina
x x x
3.A.16
3.B.21
3.C.13
Oude gebruiker misbruikt
credentials
x
3.A.17
3.B.22
3.C.14
Gevoellige info is
getoond/ingetoetst op
het moment van afkijken x x x
3.A.18
3.B.23
3.C.15
Informatie kan
geïnterpreteerd worden
x
3.A.22
3.C.19
Exploit beschikbaar die
toegang geeft
x
3.A.23
3.C.20
Software niet voorzien
van de laatste versie’s
x
3.A.25
3.C.22
Misbruiken zwakke
security policy
x
3.A.26 Toegang tot open poorten
mobiele apparaat
(Netwerk) x x
3.A.27 Fysieke toegang tot
apparaat
x
3.A.29 Aanvaller heeft fysieke
toegang tot het appraraat
x
3.A.30 Gevoelige data kan
benaderd worden
x
3.B.01 Fysieke toegang tot
communicatie lijn
x
3.B.02 Toegang tot de lijn krijgen
m.b.v. “afluister
apparaat” x
3.B.03 Aanvaller past routing
tables aan om verkeer te
rerouten x x
3.B.04 Installeer Rogue access
point
x
3.B.05 Zet een verbinding op met
de client en doe je voor
als server x
3.B.06 Gebruik verkregen info
om een verbinding op te
zetten met de server x
3.A.19
3.B.24
3.C.16
Apparaat om radiatie op
te vangen op voldoende
afstand
3.A.20
3.B.25
3.C.17
Radiatie kan
geïnterpreteerd worden
50
Appendix IV Bibliography
[BOR03] Bornman, W.G., Labuschagne, L. (2003), A Comparative Framework for Evaluating
Information Security Risk Management Methods
[COB] ISACA (2007), CoBiT 4.1
[DEL07] Deloitte (2007). Treading Water: The 2007 Technology, Media & Telecommunications
Security Survey
[ENI06] ENISA (2006). Inventory of risk assessment and risk management methods
[GAR08] http://blogs.msdn.com/architectsrule/archive/2008/08/19/gartners-mobility-hype-cycle.aspx
[HOG06] Hogendijk, L. (2006). A Risk Analysis Methodology for Securing Teleworking. A survey within
the Dutch national government
[JAN08] Jansen, W., Scarfone, K. (2008). Guidelines on Cell Phone and PDA Security, NIST
[LAP00] http://www.laptop-info.nl/laptops/geschiedenis
[NEN07] NEN-ISO/iEC (2007), ISO/IEC 27002:2005 code voor informatiebeveiliging
[NUS07 ]Nussbaum, B (December 14, 2007). Innovation Predictions 2008.
http://images.businessweek.com/ss/07/12/1214_innovations08/source/10.htm
[OVE05] Overbeek, P. Lindgree, E.R. Spruit M. (2005). Informatiebeveiliging onder controle 2e editie,
[PEL08] Pelino M. (Forrester, 9 oktober 2008). Enterprise Mobile User Forecast: Mobile “Wannabes”
Are The Fastest-Growing Segment.
[PEL081] Pelino M. (Forrester, 12 december 2008). Predictions 2009: What’s In Store For Enterprise
Mobility
[RID98] Ridderbeekx E.J.M., Berg van den J. (Maandblad voor de Informatievoorziening, 1998).
Internetbeveiliging: een beheerperspectief
[SAN01] SANS (2001). Mitigating Teleworking Risks
[SEC08] http://www.security.nl/artikel/25538/1/McCain_verkoopt_Blackberry_met_campagne
gegevens.html
[SEC081] http://www.security.nl/artikel/23034/1/Britse_overheid_dumpt_adviesbureau_na_verlies
USB-stick.html
[SEC09] http://www.security.nl/artikel/26521/1/Laptop_met_gegevens_5000_pati%C3%ABnten
gestolen.html
[SEC091] http://www.security.nl/tag/dataverlies
[SCH99] Schneier, B (Dec. 1999). Attack trees: Modeling security threats. Dr. Dobb’s Journal.
[SUL03] Sullivan, C. (2003). What’s in a name? Definitions and conceptualizations of teleworking and
homeworking,
51
[VRI98] Vries, H de, Weijers T (november 1998). Zicht op Telewerken, een studie naar de stand van
zaken in de kennis over telewerken en de impact op het beleidsterrein van SZW Ministerie van Sociale
Zaken en Werkgelegenheid. Pearson Education
[VID04] Vidalis, S (2004). A Critical Discussion of Risk and Threat Analysis Methods and
Methodologies
[WIK09] http://nl.wikipedia.org/wiki/Colossus_(computer)
[WIK091] http://en.wikipedia.org/wiki/History_of_laptops