EEN AUDITAANPAK Cybersecurity binnen bancaire instellingen

11 juni 2014
In dit artikel:

Cybercrime is een sterk groeiend fenomeen met steeds ingrijpender (financiële) gevolgen. Malware, trojans, phishing, DDoS aanvallen, man-in-the-middle attacks, social engineering: de mogelijkheden zijn legio voor de aanvallers. Goed georganiseerd en bovendien niet gehouden aan enige vorm van restricties zoals procedures, beleidsregels en andere verplichtingen, die veelal wel gelden binnen de organisaties die het doelwit zijn.

Dit artikel is bestemd voor auditors, managers of anderen die geïnteresseerd zijn in het beoordelen, opzetten en/of verbeteren van cybersecurity.

Gezien de toename van cyberincidenten in de laatste jaren zou het interessant kunnen zijn om te beoordelen of de organisatie (nog) voldoende is opgewassen tegen cybercriminaliteit. Dit artikel geeft u de bouwstenen voor een procesbeoordeling en helpt u om gebieden te signaleren die nog niet zijn ingevuld of waar ruimte bestaat voor verbetering. Het bevat geen uiteenzetting van allerlei technische beveiligingsmaatregelen maar geeft een overzicht van de vragen die aan bod zouden kunnen komen in een dergelijk onderzoek. Een kant-en-klaar, compleet normenkader voor cybersecurity is, zoals u wellicht al verwacht, niet beschikbaar. Daarvoor verschillen de situaties van organisaties teveel van elkaar.  In dit artikel belichten we per deelactiviteit een aantal mitigerende maatregelen die men in elke situatie mag verwachten bij een goede invulling van het cybersecurityproces.

DEFINITIES

Een onderzoek naar cybersecurity heeft als doelstelling om te toetsen óf en in welke mate een organisatie in staat is of zal zijn om cyberincidenten te voorkomen, te signaleren en op te lossen. Cyberincidenten zijn gebeurtenissen die schade veroorzaken aan kritische functies en diensten in het publieke en/of private domein doordat ze de vertrouwelijkheid, integriteit, en/of beschikbaarheid aantasten van digitale informatievoorziening, systemen, diensten of netwerken. Cyberincidenten kunnen allerlei vormen hebben, bijvoorbeeld specifiek gerichte aanvallen om geld te ontvreemden, informatie te achterhalen (spionage) of om doelgericht onderbrekingen van zakelijke processen te veroorzaken (sabotage). Het optreden van cyberincidenten kan leiden tot financiële schade voor klanten of de onderneming, reputatieverlies en/of beschikbaarheidsproblemen rondom de dienstverlening aan klanten. Cyberincidenten kunnen daarmee zelfs leiden tot het ondermijnen van het publieke vertrouwen, wat leidt tot een negatief effect op het gevoel van veiligheid en op de nationale economie. De term cybercrime wordt in dit artikel gedefinieerd als: strafbare handelingen die van binnen of buiten een bedrijf plaatsvinden. Cyberincidenten kunnen leiden tot het ondermijnen van het publieke vertrouwen. Cybersecurity is het begrip dat doelt op de maatregelen die incidenten tegengaan als cyberaanvallen, spionage en sabotage. Met Cyber resilience doelt men op de mate waarin organisaties in staat zijn om weerstand te bieden aan cyberincidenten (voorkomen) en deze zo snel mogelijk op te lossen in het geval ze toch plaatsvinden.

Cyberincidenten kunnen leiden tot het ondermijnen van het publieke vertrouwen

 

ONTWERP VAN HET ONDERZOEK

Er zijn verschillende benaderingswijzen om een onderzoek naar cybersecurity op te zetten. Bijvoorbeeld een puur technische benadering om te onderzoeken of en op welke wijze de organisatie in staat is om alle bekende vormen van cybercriminaliteit te weerstaan. Deze aanpak volgt een risicobenadering om te evalueren welke risico’s er op dit vlak zijn en wat de impact daarvan is. Een andere aanpak is een compliance-benadering om te controleren of de organisatie voldoet aan de geldende wet- en regelgeving op dit vlak. Nog een andere aanpak zou een psychologische benadering kunnen zijn, die het onderwerp vanuit de hacker bekijkt: waarom doet een hacker wat hij/zij doet en hoe kan dit worden gebruikt om de cybersecurity te verbeteren? Dit artikel gaat echter uit van een procesbenadering om te onderzoeken of de organisatie het proces van Cybersecurity goed beheerst. Een handreiking die u van waardevolle input kan voorzien in het bepalen van de meest passende benadering, is te vinden bij het Nationaal Cyber Security Centrum [NCSC12]. Het NCSC draagt bij aan het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein door samenwerking tussen het bedrijfsleven, de overheid en de wetenschap. De handreiking belicht verschillende aspecten die van belang zijn bij het voorkomen en bestrijden van cybercriminaliteit en kan dienen voor een verdere verdieping in de materie. Zo gaat deze handreiking onder andere dieper in op relevante wet- en regelgeving, en juridische en strafrechtelijke bepalingen en de interpretatie daarvan.

HET CYBERSECURITYPROCES

Dit artikel gaat uit van een door ons ontworpen model dat is weergegeven in figuur 1. Het model onderkent de volgende deelactiviteiten in het proces van cybersecurity: verkennen en herkennen, mitigeren, communiceren, opvolgen, formele aangifte en rapporteren, forensisch onderzoek, het opbouwen van een juridische casus en gerechtelijke vervolging.


Norea-Figuur1Figuur 1: Het cybersecurity proces


Verkennen en herkennen

Een ‘radarfunctie’ is van essentieel belang en omvat het volgen van nieuwe ontwikkelingen op het gebied van cybercrime. Het gaat daarbij om bestaande en nieuwe kwetsbaarheden in systemen en applicaties en het verkennen van geavanceerde methoden en technieken die in gebruik zijn bij cybercriminelen. Het niet tijdig onderkennen en mitigeren van kwetsbaarheden in systemen en applicaties brengt het risico met zich mee dat deze zwakheden mogelijk (onopgemerkt) kunnen worden misbruikt. En wie niet op de hoogte is van de meest recente, bekende cybercrime-technieken, loopt het risico dat criminele handelingen niet worden herkend en uiteindelijk kunnen leiden tot schade. Hoe rijker het beeld is dat de organisatie zich op dit vlak vormt, hoe beter deze in staat is cyberincidenten te herkennen en tegen te houden. In een wereld van razendsnelle wijzigingen in processen en systemen is het dus van belang om op de hoogte te blijven van de meest recente kwetsbaarheden en aanvalsmethoden. Om een goede invulling te geven aan deze radarfunctie dient men een tweetal processen in te richten: transactiemonitoring en vulnerability management, waarop hierna verder in zal worden gegaan.


Norea-Figuur2Figuur 2: Drie varianten van transaction monitoring


 

Transactiemonitoring

Een risico is dat frauduleuze transacties worden uitgevoerd zonder dat deze (tijdig) zijn herkend. Om frauduleuze transacties goed te kunnen detecteren en herkennen kan het zinvol zijn om transactiemonitoring toe te passen. Hiervoor onderscheiden we drie fases in het transactieproces: de opdracht-initiatie, de opdrachtsamenstelling en de opdrachtuitvoering. In figuur 2  zijn deze drie fases weergegeven. In de eerste en tweede fases zijn verschillende vormen van transactiemonitoring mogelijk. Tijdens de opdrachtinitiatiefase zijn de monitoringstechnieken gericht op contextanalyse. Men analyseert vanaf welke bron de transactie is gestart (source analysis). Als een klant normaal gesproken vanuit Nederland inlogt maar dat opeens vanuit Zambia doet, dan kan dit een indicatie zijn voor een mogelijk frauduleuze transactie,  zeker als deze logins een half uur na elkaar plaatsvinden. De banken gaan dit soort criminaliteit onder meer tegen door pastransacties in het buitenland standaard niet toe te laten en alleen mogelijk te maken als een klant zijn pas voor specifieke landen zelf heeft geactiveerd. Een ander voorbeeld binnen de contextanalyse is om de manier te analyseren waarop een transactie is samengesteld. Een voorbeeld hiervan is dat kwaadaardige software bij het samenstellen van een transactie de schermen van internetbankieren op een andere manier zou doorlopen dan het menselijk handelen.

Tijdens de fase van opdrachtsamenstelling zijn de monitoringstechnieken gericht op de inhoud van de opdrachten (contentanalyse). Transacties die afwijken van gebruikelijke patronen die specifiek zijn voor een klant, kan men aanmerken voor nader onderzoek. Hiervoor zijn verschillende technieken mogelijk. Zo kunnen huidige patronen van klantgedrag in relatie worden gebracht met het gedrag uit het verleden van diezelfde klant of met bepaalde referentiegroepen waartoe deze klant behoort, door gebruik te maken van statistische modelleringstechnieken (profiling). Een andere meer voor de hand liggende techniek is het vergelijken van klantgedrag met vaste drempelwaarden of patronen om uitzonderlijk gedrag te kunnen identificeren (rule based). Een voorbeeld hiervan zou zijn het detecteren van transacties met waarden die boven een bepaald bedrag liggen of die naar rekeningnummers gaan die nooit eerder zijn gebruikt.

De doelstelling van transactiemonitoring is om transacties die buiten gebruikelijke patronen vallen, te detecteren en verhoogde aandacht te geven. Transacties die om bepaalde redenen verdacht zijn, onderzoekt men verder om vast te stellen of deze daadwerkelijk frauduleus zijn.


Norea-Figuur3Figuur 3: Vulnerability management cycle


 

Vulnerability management

De tweede activiteit binnen de radarfunctie omvat vulnerability management. De eerste stap hierin is het onderkennen van kwetsbaarheden in de systemen en processen. Een reëel risico is dat er geen helder, actueel overzicht bestaat van de aanwezige systemen en de daarmee gepaarde kwetsbaarheden. Het risico bestaat hier dat men zich niet richt op de kwetsbaarheden die het hoogste risico vormen voor de organisatie. Om onderscheid te kunnen maken welke daarvan essentieel en welke ‘nice to have’ zijn, zal men prioriteiten moeten aanbrengen. Dit omvat de deelprocessen Risk assessment (3) en Vulnerability assessment (4) in de vulnerability management cycle, die is weergegeven in figuur 3 [SANS03]. Maar daarvoor dient allereerst duidelijk te zijn welke systemen en applicaties het hoogste belang hebben vanuit business oogpunt (2. Information management). Hiervoor zijn verschillende benaderingen mogelijk: als een systeem er uit ligt, hoeveel last heeft de klant, of hebben de medewerkers daar van? Of voor welke systemen gelden de hoogste risico’s? Daarnaast is het noodzakelijk om over actuele informatie over de systemen te beschikken en over de applicaties die daarop aanwezig zijn (1. Asset inventory). In een organisatie van enige omvang met een diversiteit aan systemen en applicaties kan de lijst van mogelijke updates omvangrijk zijn. Welke hardware staat er en welke software draait daarop? Welke versies van die software zijn actief? Welke service packs, updates of fixes zijn geïnstalleerd? Pas als dit beeld juist en volledig is, kan de juiste prioriteit worden gegeven aan elk van de beschikbare updates, kan men deze implementeren en rapporteren (5. Remediation and reporting).

Mitigerende maatregelen

Enkele voorbeelden van mitigerende maatregelen binnen het verkennen en herkennen zijn:

  • processen voor het periodiek reviewen van nieuwe technologische ontwikkelingen en cybercrimemethodieken en het inschatten van de impact daarvan;
  • het beschrijven van essentiële processen, medewerkers, applicaties, besturingssystemen en hardwarecomponenten;
  • het prioriteren en verhelpen van kwetsbaarheden in (de meest essentiële) systemen en applicaties;
  • het regelmatig actualiseren van virusdefinitie-files en detectiefilters;
  • het beschikbaar hebben van analytische middelen en voldoende personele capaciteit en kennis om verdachte transacties te detecteren, te onderzoeken en te onderscheppen.

Mitigeren

Deze deelactiviteit richt zich op het oplossen van cyberincidenten die men niet heeft kunnen voorkomen of het repareren van kwetsbaarheden die wellicht nog niet zijn benut. Om cyberincidenten zo snel mogelijk na ontdekking op te kunnen lossen dient duidelijk te zijn op welke plekken de kwetsbaarheid zich voordoet (systemen, applicaties, gebruikers of beheerders van de relevante applicaties) en hoe deze het snelst kunnen worden hersteld (herstelplannen, benodigde mandaten). Nadien dient men inzichtelijk te maken, welke gevolgen dit heeft gehad (beschikbaarheid, vertrouwelijkheid, integriteit, directe kosten) als input voor het deelproces Opvolgen. Het voornaamste risico in het deelproces Mitigeren is dat de organisatie niet in staat is om een cybercrimebedreiging of -aanval binnen de daarvoor overeengekomen tijdslijn te herstellen. Voorbeelden van mitigerende maatregelen die men hier kan verwachten zijn:

  •   firewalls en network intrusion detection systemen om onderscheid te kunnen maken tussen vertrouwde en verdachte dataverkeersstromen;
  • het versleutelen van sessies voor financiële diensten en het opnieuw authentiseren van gebruikers wanneer deze sessies voor langere tijd niet zijn gebruikt;
  •   een actuele classificatie van systemen, applicaties en data, en een gedegen patchmanagement-proces;
  •   voorgedefinieerde mitigatiecategorieën en -handelingen;
  •   de beschikbaarheid van incident response teams van voldoende omvang met de juiste skills en bevoegdheden om effectief te kunnen handelen en een duidelijke ‘chain of command’ in de crisisorganisatie;
  •   het regelmatig oefenen op gesimuleerde cyberincidenten.

 

Een ‘radarfunctie’ is van essentieel belang en omvat het volgen van nieuwe ontwikkelingen op het gebied van cybercrime

 

Communiceren

De voornaamste risico’s in het communicatieproces zijn: niet of te laat communiceren over cybercrimegebeurtenissen, onjuiste of onvolledige berichtgeving, berichtgeving die niet gericht is aan de juiste ontvangers, en het niet vooraf aanwijzen en mandateren van de juiste partijen voor het delen van informatie. Aangezien cyberincidenten direct merkbare gevolgen kunnen hebben voor medewerkers en/of cliënten, is het belangrijk om een duidelijk communicatieplan gereed te hebben. In dit plan staan de verschillende boodschappen die men afgeeft aan diverse ontvangers afhankelijk van verschillende onderscheiden scenario’s. Het kan zijn dat bepaalde voorvallen zodanig vertrouwelijk van aard zijn, dat de manier waarop hierover wordt gecommuniceerd verschilt van minder vertrouwelijke voorvallen. Een keuze kan zijn om gedetailleerde informatie over een incident te verstrekken, maar ook om dit bewust niet te doen. Per gebruikersgroep zal ook de inhoud van de boodschap verschillen. De berichtgeving aan cliënten zal bijvoorbeeld afwijken van de boodschap aan interne medewerkers. Ook is de keuze van het kanaal van belang. Voor een direct, snel kanaal met een groot bereik kan men social-mediamiddelen inzetten als Twitter of de website. Voor een meer nauwkeurig bereik e-mail of wellicht smsberichten. Per kanaal kan ook de boodschap variëren. Enkele voorbeelden van mitigerende maatregelen die men in dit proces kan verwachten zijn:

  •   overzichten van verschillende groepen belanghebbenden en te gebruiken media;
  •   strekking van mediaboodschappen per belangengroep voor verschillende scenario’s en prioriteiten-niveaus;
  •   communicatie-tijdslijnen en -verantwoordelijkheden;
  •   woordvoerders voor mogelijk perscontact;
  •   uitwisseling van informatie met business partners;
  •   klantcampagnes om het veiligheidsbewustzijn te vergroten en gedrag te beïnvloeden.

 

Opvolgen

Norea-Figuur5Het opvolgen, dat wil zeggen vervolgacties uitvoeren nadat een incident is afgehandeld, kan helpen om vergelijkbare problemen in de toekomst te voorkomen. De incidenten die hebben plaatsgevonden zijn een waardevolle bron om de bestaande preventieve en correctieve beveiligingsmaatregelen verder aan te scherpen en/of aan te vullen. Hiervoor zullen incidenten en transacties verder worden onderzocht, waarbij de gebeurtenissen en gegevens worden geanalyseerd op mogelijke correlaties. Bekende cybercrimemethoden of -patronen kunnen worden opgenomen in scanning en monitoring tools zodat ze in de toekomst beter worden herkend en eventueel geblokkeerd. Verouderde beveiligingstechnieken worden geactualiseerd of vervangen. Dit stelt hoge eisen aan de organisatie op het vlak van kennis. Hiervoor is namelijk zowel technische kennis van systemen en applicaties vereist, als kennis van de processen waar de systemen deel van uitmaken. Eveneens is actuele kennis vereist van de meest recent gebruikte methodieken die worden ingezet om slachtoffers om de tuin te leiden, bijvoorbeeld in de vorm van social engineering. Om incidenten goed te kunnen analyseren is daarom een nauwe samenwerking vereist tussen ICT-sleutelpersonen en medewerkers met diepgaande business-kennis. Deze samenwerking kan de vorm krijgen van een onderzoeksteam van specialisten dat incidenten verder onderzoekt, niet alleen technisch en procedureel maar bijvoorbeeld ook vanuit het oogpunt van de hacker. Andere mitigerende maatregelen in dit deelproces kunnen zijn:

  •   geautomatiseerde hulpmiddelen die het netwerk scannen op bestaande kwetsbaarheden;
  •   geautomatiseerde controles om te verzekeren dat vereiste patches/fixes/updates zijn geïnstalleerd op de gewenste doelsystemen.

 

Om incidenten te kunnen analyseren, is een nauwe samenwerking vereist tussen ICT-sleutelpersonen en medewerkers met diepgaande kennis

Formele aangifte en
rapporteren

Het vervolg en de diepgang van verder onderzoek hangt af van de beslissing om wel of niet aangifte te doen van het incident. Voordeel van formele aangifte is dat de onderneming eventuele gevolgschade later zou kunnen verhalen op de dader(s) in het (uitzonderlijke) geval dat die bekend zouden worden. Een belangrijk nadeel is dat gegevens over het incident openbaar kunnen worden in de loop van een gerechtelijk proces. In het licht van de vertrouwelijkheid van sommige gegevens is dit niet wenselijk en kan dit een argument zijn om geen aangifte te doen. Een ander nadeel van aangifte is dat het voor de bewijsvoering noodzakelijk veiligstellen van bewijsmateriaal, negatieve consequenties kan hebben voor de toegankelijkheid en continuïteit van de systemen die dit betreft. Hierbij kunnen systemen tijdelijk worden stilgelegd (denk aan in beslagname) om de stand van de gegevensverwerking op een specifiek moment vast te kunnen houden. Vanuit het oogpunt van continuïteit van de bedrijfsvoering is dit misschien niet wenselijk en kan men er voor kiezen om alleen een melding te doen van het incident bij de politie of het Openbaar Ministerie. Er wordt dan geen proces-verbaal opgemaakt, maar de gegevens over de gebeurtenissen dragen wel bij aan de bestrijding van cybercriminaliteit door de overheid. In het geval dat er aanzienlijke, aantoonbare schade is of zal optreden, is aangifte vereist in verband met verzekeringen en mogelijke strafvervolging in een later stadium. Over het incident en de opvolging daarvan zal de organisatie eveneens moeten rapporteren aan toezichthouders. Mitigerende maatregelen die men hier kan verwachten zijn:

  •   het periodiek bijhouden van wet- en regelgeving voor inzicht in verplichtingen die gelden voor het rapporteren over incidenten;
  •   periodieke rapportage aan belanghebbenden binnen de organisatie over de opgetreden cyberincidenten waarin een gedetailleerde beschrijving van de gebeurtenissen is opgenomen evenals mogelijke oorzaken en oplossingen;
  •   inzicht gevende rapportages aan het management over de huidige bedreigingen (status en schaderapporten van opgetreden incidenten) en trendanalyses waaruit de ontwikkeling van cyberincidenten en het verwachte toekomstbeeld blijken.

Forensisch onderzoek en een juridische casus opbouwen

Norea-Figuur4In het geval van forensisch onderzoek zullen verdachte transacties en incidenten nog dieper worden onderzocht, waarbij men afzonderlijke gebeurtenissen en gegevens analyseert op mogelijke verbanden. Gezien de complexiteit van cyberincidenten is het opbouwen van een strafcasus niet eenvoudig. Een belangrijke vraag betreft de jurisdictie ofwel de rechtsmacht: of een Nederlands rechter bevoegd is om te oordelen over de strafzaak. De stelregel op dit punt is dat er een duidelijk verband dient te zijn tussen het strafbare feit en de staat die stelt over de rechtsmacht te beschikken. Een voorbeeld: een hacker in Thailand kan met behulp van infrastructurele componenten in Nederland, inbreken op een computersysteem in Luxemburg waardoor schade wordt veroorzaakt in België. Het bewijzen van de fysieke aanwezigheid van de hacker in Luxemburg, Nederland of België is niet vereist, maar op basis van de gebruikte infrastructuur in Nederland kan rechtsmacht in dit geval wel worden geclaimd.
Een tweede complicerende factor is de vraag of een staat rechtsmacht mag uitoefenen over personen op basis van hun nationaliteit. In een aantal internationale verdragen zijn de grondslagen voor jurisdictie uitgewerkt, waar dit artikel verder niet op in zal gaan. Mocht het OM de beslissing nemen tot vervolging, dan dient de organisatie het bewijs zorgvuldig op te bouwen en te bewaren zodat dit uiteindelijk bruikbaar is voor een eventuele rechtszaak. Hieraan worden uitgebreide eisen gesteld die al vanaf het begin in acht moeten worden genomen. Voorbeelden van mitigerende maatregelen die in deze fase van belang zijn, zijn onder andere:

  •   de aanwezigheid van een team van deskundigen om verdere analyses uit te kunnen voeren met behulp van daarvoor geschikte tools en beschikbaar gestelde data;
  •   procedures voor het verzamelen en bewaren van forensisch bewijs;
  •   maatregelen waarmee men de integriteit van bewijs gedurende de gehele periode van het onderzoek kan waarborgen (gebruikte kopieën dienen bijvoorbeeld aantoonbaar gelijk te zijn aan originelen);
  •   specifieke maatregelen waarmee de continuïteit en performance  van de systemen en de integriteit van de gegevens op het gewenste niveau blijven tijdens het verzamelen van bewijs.

Rechtsgang en strafvervolging

Rechtsgang en strafvervolging zijn processen in het juridisch vakgebied, die voor cybercrimegevallen nog maar relatief weinig voorkomen. Feit is dat de pakkans erg laag is en het persoonlijk gewin groot kan zijn. Bovendien is de huidige strafmaat nog niet in verhouding met de opbrengsten die deze vorm van criminaliteit genereert. Een aantrekkelijke optie dus voor criminelen. Voor de getroffen organisaties is het lastig om de daders te achterhalen als zij handelingen in het digitale domein uitvoeren vanaf een andere fysieke locatie dan waar ze zich bevinden. Bij cybercrime dient opzet of schuld altijd te worden bewezen, wat de rechtsgang en strafvervolging tevens moeilijk maakt. Aangezien er bovendien reputatierisico’s zijn verbonden aan rechtsgang, is strafvervolging in het algemeen niet de meest gekozen optie en heeft ‘voorkomen’ nog altijd de voorkeur boven ‘genezen’. Mitigerende maatregelen die men kan verwachten voor dit proces, zijn:

  •   goede operationele contacten met handhavende instanties om arrestaties en vervolging te realiseren;
  •   beschikbaarheid van resources in het juridische domein met diepgaande kennis van wetgeving op het vlak van computercriminaliteit en/of aanvullende afspraken met gelieerde advocatenkantoren.

 

De noodzaak voor financiële dienstverleners is hoog om voorbereid te zijn op het toenemend aantal verschijningsvormen en het continu aantal gevallen van cybercriminaliteit

TOT SLOT

De noodzaak is groot voor financiële dienstverleners om voorbereid te zijn op het toenemend aantal verschijningsvormen en het continu groeiend aantal gevallen van cybercriminaliteit. In dit artikel zijn de deelprocessen weergegeven van het cybersecurityproces, met de risico’s waar deze processen op gericht zijn en voorbeelden van mitigerende maatregelen die men in die deelgebieden mag verwachten. Deze deelprocessen vormen de bouwstenen voor een procesbeoordeling en het model stelt u in staat om in te schatten of een organisatie voldoende in staat is om cyberincidenten te pareren. Het is van belang dat alle deelprocessen zijn ingericht en dat de verantwoordelijkheden voor alle deelactiviteiten goed zijn belegd binnen de organisatie. De beschreven deelactiviteiten en mitigerende maatregelen vormen een goede basis voor de preventie en de bestrijding van cyberincidenten en bij een goede invulling zullen ze de cyber resilience van de organisatie verbeteren.

Ondanks alle modellen blijft de werkelijkheid echter weerbarstig en komt de praktijk van cyberincidenten veelal neer op specifieke gevallen en uitzonderingen. Een effectieve bestrijding van het fenomeen cybercrime binnen financiële instellingen zal dan ook het nodige speur- en analyse werk vereisen waarin de samenwerking tussen financiële instellingen, overheid en opsporingsdeskundigen noodzakelijk is.

 

Noot

1Tijdens het schrijven van dit artikel heeft het National Institute of Standards and Technology een ‘voorontwerp’ van een cybersecurity raamwerk gepubliceerd. Dit raamwerk is gericht op bedrijven die kritische infrastructuur beheren en zal naar verwachting in februari 2014 formeel worden uitgebracht. Het raamwerk heeft een vergelijkbare opbouw als het proces geschetst in dit artikel [NIST13a, NIST13b].

 

Literatuur

[NIST13a] Improving critical infrastructure cybersecurity
executive order 13636, Preliminary Cybersecurity Framework – National Institute of Standards and Technology, oktober 2013.

[NIST13b] ‘NIST Releases Preliminary Cybersecurity Framework, Will Seek Comments’. Press release. http://www.nist.gov/itl/cybersecurity-102213.cfm.

[NCSC12] ‘Cybercrime; Van herkenning tot aangifte’. Handreiking van het Nationaal Cyber Security Centrum/Ministerie van Veiligheid en Justitie.

[SANS03] ‘Vulnerability Management: Tools, Challenges and Best Practices’. InfoSec Reading Room – SANS Institute, oktober 2003.

 

Reynold ten Hoor