Het Menselijk SchildŠ 2013
(risicomanagement voor Cloud Computing)
[HET MENSLIJK SCHILD (RISICOMANAGEMENT VOOR CLOUD COMPUTING)] Het Menselijk SchildŠ is een Risico Raamwerk voor Cloud Computing en een antwoord op risicovraagstukken. Het biedt een gedetailleerd risicobeheer advies voor organisaties die van de voordelen van Cloud Computing willen profiteren. Leer hoe u pragmatisch beveiligingsprotocollen voor Cloud Computing binnen uw organisatie kunt toepassen met de Pilon voor Cloud Computing.
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Inhoudsopgave Introductie ...................................................................................... 3 Wet en regelgeving......................................................................... 4 Risicomanagement voor Cloud Computing .................................... 6 Wat is het juiste antwoord? ........................................................... 8 Het Menselijk Schild© .................................................................. 10 De veiligheid Pilon voor Cloud Computing ................................... 11
2
Jambo Consultancy©
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Introductie Naarmate meer bedrijven hun activiteiten naar de Cloud verplaatsen, het aantal Cyber aanvallen toeneemt en steeds meer mensen worstelen met de vraag wanneer en hoe een overheid toegang kan krijgen tot de gegevens van de gebruiker, wordt risicomanagement voor bedrijven een groeiende zorg. Uit een recent SearchCompliance.com enquête bleek dat bijna 40% van alle respondenten het antwoord zoekt in de techniek en verwacht dat de uitgaven voor Cloud Security producten in de eerste helft van 2013 zal stijgen. Te vaak nog wordt het risicomanagement bij Cloud Computing ervaren als een “hidden cost” (zie; ROI mechanismen voor Cloud Computing http://www.flipsnack.com/Jambo/ftn8vf5j ). Om risicomanagement voor Cloud Computing in de juiste proporties te blijven zien zullen organisaties, naast het opstellen van hun eigen Governance, Risk en Compliance processen (zie; Film De Auditors http://youtu.be/CTvzhxjv4Ns , aan de leveranciers van Cloud Computing diensten (zie; Cloud Computing; Juridische aspecten, contracten en rechten) http://www.flipsnack.com/Jambo/fu5w75fj ) maar vooral ook aan zichzelf de juiste vragen moeten gaan stellen. Het Menselijk Schild© is een “Risico Raamwerk voor Cloud Computing” en een antwoord op risicovraagstukken. Het biedt een gedetailleerd risicobeheer advies voor organisaties die van de voordelen van Cloud Computing willen profiteren.
3
Jambo Consultancy©
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Wet en regelgeving Als we heel eerlijk zijn weten we dat als we ons verbinden met het internet of met een publieke Cloud leverancier onze gegevens “ergens” in de Cloud (kunnen) zweven. Dit fundamentele feit maakt dat we nu, meer dan ooit, worstelen met de vraag wie precies onze gevoelige gegevens kunnen of mogen inzien. Is het bijv. veiliger om gegevens op te slaan bij een Cloud leverancier binnen een bepaalde geografische locatie dan in andere gebieden en is Big Brother really watching? Geeft de Amerikaanse Patriot Act de US overheid echt het recht om rond te kunnen snuffelen in uw Cloud data? Of is het alleen een Europese lobby tegen de successen van Silicon Valley? Overheidstoegang tot gegevens in de Cloud verschilt per jurisdictie (land of staat) ongeacht waar de Cloud leverancier zich heeft gevestigd. De algemene term is "Governmental Acces" en omvat de legale toegang door allerlei soorten instanties voor bijv. wetshandhaving, de politie en andere overheidsorganisaties. Deze wetten kunnen verschillen per jurisdictie en veranderen ook nog regelmatig. De twee meest recente aanpassingen zijn; 1. De hervorming van de EU-regels betreffende gegevensbescherming zoals voorgesteld in januari 2012 en het nieuwe NCSC (National Cyber Security Center) in Den Haag. 2. De nieuwe EU Cyber Security Strategy, februari 2013. Beide initiatieven lijken te verschillen maar hebben één gemeenschappelijke doelstellingen; ze weerspiegelen de gemeenschappelijke waarden waarop de unie is gebouwd en dragen bij aan de digitale interne markt van 500 miljoen EU burgers. Ook is de bescherming van persoonsgegevens een aanvulling op eerdere maatregelen ter bevordering van cyberveiligheid voor EU lidstaten en vormt de basis voor de strijd tegen cybercriminaliteit. Voor een aantal landen brengt deze nieuwe EU wetgeving over Governmental Acces en recente schandalen zoals PRISM weer nieuwe mogelijkheden. Was Zwitserland tot voor kort een geld poort, door de nieuwe privacy wet- en regelgeving inzake 4
Jambo Consultancy©
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
gegevensbescherming verandert dit nu in een Cloud Computing oase met als resultaat groeicijfers voor dataopslag van bijna 50%. In tegenstelling tot de US en de EU biedt Zwitserland vele voordelen voor de beveiliging van gegevens. Het is geen lid van de EU en de enige manier om toegang te krijgen tot gegevens gehost in een Zwitsers datacenter is, wanneer het bedrijf een officieel gerechtelijk bevel ontvangt dat schuld of aansprakelijkheid bewijst. Zwitserland als basis kiezen voor alle Cloud Computing diensten is niet voor elke organisatie dè manier om onzekerheid te managen. Vooral bedrijven die ervan overtuigd zijn dat zorg dragen voor data veiligheid, privacy en compliance niet alleen een tactische activiteit is maar eerder een strategisch proces (zie; In 10 stappen naar de Cloud http://www.flipsnack.com/Jambo/fxpi4mju ) kiezen voor deze oplossing. Ook in de US zijn er wetten en regels. Met Amerikaanse leveranciers van Clouddiensten onderworpen aan de Amerikaanse wetten, kan de US overheid, onder de Foreign Intelligence Surveillance Act (FISA) en National Security Letters (NSL), tijdens bepaalde contraterroristische activiteiten of in een onderzoek naar buitenlandse inlichtingendiensten zakelijke informatie opvragen zonder dat het bedrijf in kwestie dit ooit te weten komt. In de meeste gevallen echter is gouvernementele toegang tot gegevens door een Clouddienstverlener geregeld in de Electronic Communications Privacy Act (ECPA). Indien een overheidsinstantie zoekt naar openbaarmaking van klantgegevens van een Cloud Computing leverancierkan zij dit alleen doen als een rechter een bevel tot huiszoeking of speciale ECPA gerechtelijk bevel uitvaardigt of als de overheid een geldige dagvaarding aan de aanbieder uitvaardigt. De vuistregel; hoe gevoeliger de gegevens die worden uitbesteed naar de Cloud, des te meer zorg moeten worden besteed aan risicomanagement. Naast goede contractuele afspraken met de Cloud leverancier volstaat een goed begrip van wat zekerheid precies inhoud (zie; Een beter begrip van veiligheid in de Cloud http://www.flipsnack.com/Jambo/fzcmy35p ).
5
Jambo ConsultancyŠ
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Risicomanagement voor Cloud Computing Met Het Menselijk Schild© als risico raamwerk voor Cloud Computing biedt Jambo Consultancy niets nieuws; bedrijven kunnen wel de technologie uitbesteden, maar het risico niet. Uiteindelijk geldt altijd; ongeacht waar je je ook op deze planeet bevindt, als je niet wilt dat iemand je gegevens kan inzien dan is zelf versleutelen de beste optie samen met het besef dat niets zekerheid biedt tegen nieuwsgierige ogen. De eigen werknemers en gebruikers zullen ervoor moeten waken dat er geen oneigenlijk gebruik van de data kan plaatsvinden; zij zijn als het ware een menselijk schild. Meer bekende raamwerken voor organisaties zijn ISO 27000x,Cobit, ITIL FedRAMP, CSA en PCI-DSS. Cobit, het Control Objectives voor Informatie en daaraan gerelateerde technologie is de traditionele gouden standaard voor IT governance. Het is het meest gebruikte raamwerk voor risicomanagement en kan eenvoudig worden geïntegreerd met zowel COSO en ISO 27000x. ITIL, de IT Infrastructure Library biedt een kader voor het beheer en dienst aspecten van een ICT omgeving. Het is echter geen basis voor Governance en gaat niet in op de enterprise architectuur. ITIL processen richten zich op de "beschikbaarheid" van ICT diensten afgestemd tussen partijen in de vorm van Service Level Agreements (SLA’s) en kunnen betrekking hebben op Cloud omgevingen. ITIL kent een certificeringsproces en past goed bij Cobit. ISO 27000x is dè internationale standaard voor informatiebeveiliging. Het bevat praktische regelstrategieën voor gegevens en prioriteiten. Deze standaard omhelst niet alleen de vertrouwelijkheidsaspecten van data maar het beslaat ook de beschikbaarheid en integriteit ervan. Beheerders en dienstverleners van Cloud Computing moeten ISO 27000x compliant zijn. Daarnaast zijn er een aantal consortia of bijv. de US overheid die zelf een risicobeheer raamwerk voor Cloud Computing oplegt.
6
Jambo Consultancy©
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
FedRAMP biedt bijv. een gestandaardiseerde aanpak, het 3PO certificaat voor Cloud Security Assessments, autorisaties en controlemechanismen die als leverancier aan de US overheid gelden. Het heeft als doel zichzelf de tijd van overtollige risico evaluaties te besparen en de kosten (hidden costs) om nieuwe cloud ICT mogelijkheden te benutten te reduceren (zie Jambo’s Methode). CSA. Cloud Security Alliance (CSA) is misschien de laatste nieuwkomer in het risk governance universum en het Cloud Computing Ecosysteem (zie XX). Het is een stichting zonder winstoogmerk en heeft als missie om de beste praktijken te bevorderen voor het leveren van Cloud Computing Security Assurance. De CSA brengt instrumenten en andere normen en raamwerken(inclusief ISO, COBIT, PCI, etc.) overzichtelijk in kaart en introduceert een "Cloud Control Matrix,". Dit is een relatief nieuw middel maar wel eentje die al thuis hoort in de risicobeoordelingstoolbox van elke CIO in het Nieuwe Informatietijdperk. PCI-DSS. Payment Card Industry Data Security Standard is alleen van toepassing op bedrijven en winkels die gevoelige credit card gegevens verwerken (zie XX). Enkele andere consortia of overheden met een eigen risico management kader of lobby voor Cloud Computing zijn; ENISA (EU) TM Forum (telecom + Brits) NCSE (Nederland) Open Group (hardware + US) OASIS (hardware en software)
7
Jambo ConsultancyŠ
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Wat is het juiste antwoord? Wat is het juiste antwoord op de gevaren van Cloud Computing? Biedt auditing of het verzekeren tegen data verlies of uitval de juiste oplossing? Is de aanschaf van (nog) meer of andere Cloud Security producten de juiste reactie? Als CIO zich al zorgen maakt over de groeiende Cloud Computing trend, dan moet hij wel hysterisch worden over de onvermijdelijke datalekken die zullen optreden als gevolg van het meenemen en gebruiken van eigen Cloud Computing software door werknemers naar de werkplek;Bring Your Own Device (BYOD). Natuurlijk geldt ook hier; hoe eerder ICT professionals te maken krijgen met nieuwe dreigingen, hoe kleiner de kans dat ze in de toekomst door inbraak pijnlijke data zullen verliezen. Enerzijds richten Informatiebeveiligingsprofessionals zich op het risicobeheer. Dat wil zoveel zeggen als de aan de technologie gerelateerde risico's binnen aanvaardbare grenzen houden zodat ze zich vooral kunnen concentreren op de implementatie van ICT controles met als doel de algehele technische risico’s aanzienlijk te verlagen. De uitvoerders van risico management, de compliance medewerkers of auditors, moeten daarentegen kunnen controleren of deze techniek volledig in lijn is met de opgelegde regelgeving. Vanuit het oogpunt van compliance professional of auditor is het niet kunnen uitvoeren van een controle al een risico op zich! Het toepassen van Cloud Computing, vooral Multi-Tenant, vereist coÜrdinatie op hoog niveau tussen compliance en technische beveiligings teams. Waarom? Een belangrijk deel van de Cloud Security controles wordt bij Cloud Computing door de leverancier geleverd. Om deze reden vereisen veiligheidscontroles en risicomanagement input van beide disciplines. Niet alleen zijn informatiebeveiliging teams meestal meer technisch gericht dan hun complience tegenhangers maar ook zijn ze vertrouwd met de interne organisatie van technische beveiligingscontroles. Deze professionals begrijpen integratievraagstukken, inclusief eventuele lacunes in de veiligheidsdekking die kunnen optreden wanneer interne processen, applicaties en systemen rechtstreeks communiceren met Cloud Computing diensten, beter. Het is het compliance team dat de processen, methodieken en materiedeskundigheid heeft om de werkelijke toereikendheid, reikwijdte en dekkingsmaat te controleren. 8
Jambo ConsultancyŠ
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Zij hebben de juiste expertise voor actuele wetgeving, controle en gegevensverzameling en zijn de ogen en oren van het risicobeheer. De statistieken van een recent onderzoek van KPMG onder de FTSE 350 geven weer dat bij elk bedrijf gemiddeld 41 gebruikersnamen, 44 email adressen en vijf gevoelige interne file locaties benaderbaar waren door anderen. Uit deze audit bleek ook dat van 53% van de FTSE 350 de beveiligingspatches niet up-to-date zijn of werken met software voor de oude servers waardoor ze potentieel kwetsbaar zijn voor Cyberaanvallen. Welke route organisaties ook kiezen om informatiebeveiliging te garanderen het is essentieel voor het succes van Cloud Computing dat deze twee functies veel meer samenwerken als het gaat om risicomanagement voor Cloud Computing. Om een succesvolle Cloud Computing implementatie te garanderen is eendracht tussen deze twee soms controversiĂŤle groepen en een grote veiligheidsdiscipline essentieel.
9
Jambo ConsultancyŠ
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Het Menselijk Schild© Het menselijk schild zorgt voor een harmonische aanpak tussen de informatieveiligheid en complience professionals en maakt tegelijkertijd veiligheidsaspecten in de Cloud begrijpelijk en grijpbaar. Het berust op het beste uit het traditionele risicomanagement raamwerken van nieuwe en oude federaties en op die van onpartijdige instanties als CSA en OWASP. Het menselijk schild is een risico Raamwerk voor Cloud Computing en samen met de Zwarte Zwaan een antwoord op Cloud Computing risicovraagstukken. Het biedt een praktisch risicobeheer advies voor organisaties die van de voordelen van Cloud Computing willen profiteren. Het heeft als doel een pragmatisch en eenvoudig weerwoord te bieden op wat door velen wordt ervaren als ongrijpbare materie van gevaren in het algemeen en de risico’s van Cloud Computing in het bijzonder. Het Menselijk Schild is een onderdeel van de Jambo Methode© (zie http://www.flipsnack.com/Jambo/f7uf43l3 ). De Jambo Methode maakt gebruik van verandermanagement met behulp van metaforen en stripfiguren als archetypes van actoren in de Cloud Community en het Cloud Ecosysteem. De Zwarte Zwaan als metafoor helpt bij het omgaan met op de loer liggende gevaren van Cloud Computing en de impact van het hoogst onwaarschijnlijke (de onbekende onbekenden) en dient als repliek op de klassieke risico benadering waarin verliezen altijd achteraf voorspelbaar en gerationaliseerd worden. Naast de Governance tools zoals De Verklaring Gedragsregels (zie http://www.flipsnack.com/Jambo/fujeh4gq ) en de Mens & Dynamiek methode van Jambo , is het belangrijkste onderdeel van Het Menselijk Schild het stimuleren van de verandering van een reactieve naar een proactieve risicomanagement houding bijv. door de introductie van de Cloud Computing Pilon.
10
Jambo Consultancy©
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
De veiligheid Pilon voor Cloud Computing De Pilon is het resultaat van een gemeenschappelijk team van informatieveiligheid professionals en complience medewerkers en leidt gebruikers en werknemers effectief langs de gevaren van Cloud Computing met een actueel overzicht van de meest gevaarlijke webtoepassing, gebaseerd op OWASP (Open Web Application Security Project). De introductie van de Cloud Computing Pilon in organisaties draagt daarnaast ook bij aan het besef dat ICT professionals en werknemers in organisaties vaak maar het topje van de ijsberg aan kwetsbaarheden, bedreigingen en aanvallen zien. Het promoot veiligheid in de Cloud in organisaties. De Pilon kan een onderdeel zijn van het BYOD beleid.
11
Jambo ConsultancyŠ
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
Pilon
Controle
(RISICOMANAGEMENT VOOR
Gevaar/Resultaat
Niet gecontroleerde toegang
1 Ingevoerde informatie van een webaanvraag wordt niet gevalideerd voor het gebruikt wordt door een webapplicatie.
Aanvallers kunnen dit gebruiken om Back-End componenten aan te vallen via de webapplicatie.
Afgebroken toegangscontrole
2 Opgelegde beperkingen van geverifieerde gebruikers worden niet goed gehandhaafd.
12
Aanvallers kunnen deze gebreken misbruiken om accounts van andere gebruikers en gevoelige bestanden te openen of gebruik te maken van ongeoorloofde functies Jambo ConsultancyŠ
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Slechte identificatie¹ en sessiebeheer² ¹Identificatie of authenticiteit is het proces van het bepalen of iemand of iets in werkelijkheid ook is wie of wat hij verklaard te zijn. ²Sessiebeheer is de verplichte stap die de gebruiker moet doorlopen
3 Aanvallers die beschikken over wachtwoorden, sleutels, cookies of andere kentekens kunnen de authenticiteitsbeperkingen omzeilen om zo de identiteiten van andere gebruikers aan te nemen.
Authenticiteitsprocessen en sessiebeheer zijn niet voldoende beschermd.
Gebreken in Cross Site Scripting (XSS)³ ³ Fout in de beveiliging van website naar website transacties
4
De webapplicatie kan gebruikt worden als een mechanisme om een aanval uit te voeren naar de browser van de eindgebruiker. 13
Een succesvolle aanval legt de eindgebruiker sessie kenmerken open om zo de lokale server/computer aan te vallen of de gebruiker met foute informatie te misleiden.
Jambo Consultancy©
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Slechte input validatie. (de opslagbuffer loopt over).
5 Onderdelen die kunnen overlopen zijn CGI’s, bibliotheken, drivers en webapplicatie server componenten.
Webapplicatieonderdelen in extra talen die input niet goed valideren kunnen crashen en zo gebruikt worden om de controle van een proces over te nemen.
Corrupte injecties
6 Webapplicaties passeren een aantal parameters als zij toegang willen verkrijgen tot externe systemen of het lokale besturingssysteem. Aanvallers kunnen in deze parameters kwaadaardige commando’s insluiten. 14
Een extern systeem kan opdrachten laten uitvoeren voor rekening van de webapplicatie
Jambo Consultancy©
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Onjuiste foutafhandeling
7 Een aanvaller kan zelf een aantal errors genereren en zo gedetailleerde informatie over het systeem te verkrijgen bijv. om beveiligingsmechanismen uit te schakelen en servers te laten crashen.
Geen of slechte foutafhandeling.
Onveilige opslag
8 Webapplicaties gebruiken vaak cryptografische functies om informatie en referenties af te schermen.
15
Deze code goed integreren is moeizaam en resulteert vaak in een zwakke bescherming
Jambo ConsultancyŠ
[HET MENSLIJK SCHILD 24 juli 2013 CLOUD COMPUTING)]
(RISICOMANAGEMENT VOOR
Denial of Service (DOS)
9 Aanvallers kunnen internetmiddelen gebruiken op die manier dat andere, legitieme gebruikers, niet langer toegang krijgen tot een webapp.
Vergrendelen of uitsluiten van gebruikers of zelfs de hele applicatie corrumperen.
Onveilig (server)configuratie management
10 Het hebben van een hoge serverconfiguratie standaard is cruciaal voor veilige webapplicaties
16
Servers kennen veel configuratie-opties die de veiligheid beĂŻnvloeden enzijn niet plug and play.
Jambo ConsultancyŠ