BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Relevante risico’s verbonden aan clouddiensten kunnen ondergebracht worden in twee risicogroepen:
- Data
Gegevens van de burger of CSC zijn verloren geraakt of zijn misbruikt.
- IT-dienstverlening
De betrouwbare dienstverlening aan de burger en CSC is in gevaar.
Risico’s worden bepaald door dreigingen en kwetsbaarheden en de kans dat daardoor schade ontstaat. Zowel dreigingen als kwetsbaarheden zijn hieronder concreet gemaakt. De factor ‘Kans’ is niet berekenbaar voor clouddiensten, maar kan ingeschat worden op basis van onderzoek vanuit de eigen context van de CSC en de zich ontwikkelende markt van CSP's.
Dreigingen en/of kwetsbaarheden
NB Aandachtspunten voor consequenties zijn overgenomen van Weolcan (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).
De vakliteratuur noemt verschillende dreigingen/kwetsbaarheden waarmee een CSC rekening dient te houden bij het verwerven van clouddiensten. Na de verwerving kan de CSC geconfronteerd worden met issues over contracten en prestaties van de clouddienst en over ondersteuning door en de relatie met de CSP. Bij het identificeren van de objecten voor clouddiensten zijn beide hiervoor genoemde risicogroepen als invalshoek gebruikt. Onderstaande tabel en afbeelding geven een overzicht van de belangrijkste kwetsbaarheden en voorkomende consequenties. Cloudbeveiligingsobjecten binnen het beleidsdomein, Cloudbeveiligingsobjecten binnen het uitvoeringsdomein en Cloudbeveiligingsobjecten binnen het controldomein bevatten detailuitwerkingen van de dreigingen. De tabel en afbeelding zijn beperkt tot de set van CSA en Greer and Jackson.
| Nr. | Cloud Computing Vulnerabilities CSA en Greerand Jackson, 2017 | ||
|---|---|---|---|
| 1 | Data | Data breaches | Dataverstoringen |
| 2 | Data Loss or data leakage | Dataverlies of datalekken | |
| 3 | Clouddiensten | Account or service traffic hijacking | Kapen van account of serviceverkeer |
| 4 | Denial of Service | Denial of Service | |
| 5 | Malicious insiders | Kwaadwillende insiders | |
| 6 | Abuse of nefarious use of cloud computing | Misbruik of misdadig gebruik van cloudcomputing | |
| 7 | Insufficient due diligence | Onvoldoende due diligence | |
| 8 | Shared technology vulnerabilities | Gedeelde technologiekwetsbaarheden | |
| 9 | Insecure interfaces and API’s | Onveilige interfaces en API’s | |
| 10 | Unknown risk profile | Onbekend risicoprofiel | |
| 11 | Hardware failure | Hardware falen | |
| 12 | Nature disasters | Natuurlijke rampen | |
| 13 | Closure of cloud service | Afsluiten van de cloud dienst | |
| 14 | Cloud related malware | Cloud gerelateerde malware | |
| 15 | Inadequate infrastructure design and planning | Inadequateinfrastructuur ontwerp en planning | |
CSC-georiënteerde aandachtspunten
De schrijfgroep heeft over clouddiensten diverse gesprekken gevoerd met CSC’s en CSP’s. Ook heeft de schrijfgroep verschillende beleidsdocumenten ontvangen van CSC’s. Bij de besprekingen en het bestuderen van de documenten stonden twee vragen centraal:
- Welke issues voor clouddiensten spelen een rol bij de CSC’s?
- Waar maken CSC’s zich de meeste zorgen over bij het verwerven van clouddiensten?
De geïdentificeerde issues zijn globaal onderverdeeld in een aantal generieke onderwerpen: beleid en strategie, processen/functies (technische en organisatorische), interacties, infrastructuur en structuur (architectuur en organisatiestructuur). Onderstaande afbeelding geeft een overzicht van deze onderwerpen.
Beveiligingsobjecten voor clouddiensten
Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten hebben tot doel risico’s te mitigeren en zijn afgeleid van de algemene beveiligingseisen: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die vanuit optiek van deze domein hierbij spelen zijn:
- Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van de clouddiensten en wat is de consequentie van het ontbreken van een of meer van deze elementen?
- Welke elementen spelen een rol bij de inrichting van de clouddiensten en wat is de consequentie van het ontbreken van één of meer van deze elementen?
- Welke elementen spelen een rol bij de beheersing van de clouddiensten en wat is de consequentie van het ontbreken van één of meer van deze elementen?
Onderstaande tabel geeft een overzicht van relevante beveiligingsobjecten voor de clouddiensten, afkomstig uit ISO 27017, NIST etc. Uit de contextuele analyse blijkt, dat verschillende onderwerpen niet in de BIO voorkomen. Voor de onderwerpen, waarvoor de ISO/BIO (Baseline Informatiebeveiliging Overheid) geen control heeft geformuleerd, zijn criteria uit andere baselines geadopteerd.
| ID | IFGS | Cloud Beleidsobjecten | Referenties |
|---|---|---|---|
| B.01 | I | Wet- en regelgeving | ISO27002: 18.1 |
| B.02 | I | Cloud beveiligingsstrategie | SoGP: Information Security Strategy SG2.1 |
| B.03 | I | Exit strategie | BSI C5: PI-02 |
| B.04 | I | Clouddiensten beleid | ISO27017: 5.1;ISA62443-2-1: 4.3.2; CSA: GRM, C5 OIS-06 |
| B.05 | I | Transparantie | BSI C5: 4 enpag. 19-20 |
| B.06 | I | Risicomanagement | ISO27005; CSA : GRM; BSI C5: OIS-06;SoGP: IR |
| B.07 | F | IT functionaliteiten | ISO27002 |
| B.08 | F | Business Continuïty Management | ISO27002: H17; ISA62443-2-1: 4.3.2.5;CSA: BRC; BSI C5: 5.1; SoGP |
| B.09 | G | Data en privacy | ITU-T: FG CloudTR 8.5 |
| B.10 | S | Beveiligingsorganisatie | ISO27002: 6.1,6.2; ISA62443-2-1: 4.3.2.3 |
| B.11 | S | Clouddiensten architectuur | Werkgroep/Schrijfgroep (WGR/SGR) |
| Nr. | IFGS | Cloud Uitvoeringsobjecten | Referenties |
| U.01 | I | Standaarden voor clouddiensten | ISO27017: 2.1, 18.2.2; ISO17788; ISO17789;ISO27036 |
| U.02 | I | Risico Assessment | ISA62443-2-1: 4.2.3; BSI C5: OIS-07 |
| U.03 | F | BusinessContinuity services | ISO 27002-12.3.1; ISO27017: 12.3.1,17.1, 17.2; CSA BCR; BSI C5: 5.1 BCM |
| U.04 | F | Herstelfunctie voor data en clouddiensten | ISO27002: 12.3 |
| U.05 | F | Data protectie | ISO27040; ISO17826 |
| U.06 | F | Dataretentie en vernietiging vangegevens | ISO27040: 7.4 |
| U.07 | F | Scheiding van data | ISO27040: 7.6.2;ISA62443-2-1: 4.3.3.4; BSI C5: 5.9 KOS-05 |
| U.08 | F | Scheiding van dienstverlening | ISO27017: 13.1.1; ISO17789: 8.3.2.17 |
| U.09 | F | Malware protectie | ISO27002: 12.2.1 |
| U.10 | G | Toegang tot IT-diensten en data | ISO27002: 9.4; CSA: IAM |
| U.11 | G | Crypto services | ISO27002: 10.1; ISO27040: 7.7.1; BSI C5:5.8 KRY |
| U.12 | G | Koppelvlakken | ISO27002: 13.1, 13.2; ISO17789: 8.3.2.20 |
| U.13 | G | Service orkestratie | ISO17789: 9.2.3.4 |
| U.14 | G | Interoperabiliteit en portabiliteit | ISO19941; BSI C5: 5.10; CSC IPY; CSAIPY |
| U.15 | G | Logging en monitoring | ISO27002: 12.4;BSI C5: 5.6 RB-10, RB-11 |
| U.16 | S | Clouddiensten architectuur | ISO17789- 6; BSI C5: KOS-06, SA-01, DM13 |
| U.17 | S | Multi-tenant architectuur | ITU-T: FG Cloud Requirements S12 |
| Nr. | IFGS | Cloud Control objecten | Referenties |
| C.01 | I | ServiceManagement beleid en evaluatie richtlijnen | ISO27002: 14.1; ISO19096: part 3; BSI C5: SA02 |
| C.02 | I | Risk Control | ISO27005 (2008E): 12.2, 12.1 |
| C.03 | I | Compliance en Assurance | ISO27002:18.1; BSI C5: 5.16 |
| C.04 | F | Technischekwetsbaarhedenbeheer | ISO27002: 12.6; CSA TVM; BSI C5 |
| C.05 | G | SecurityMonitoring | ISO27002:12.4 |
| C.06 | S | Clouddiensten beheerorganisatie | ISO27002:11.4 |
.
.
.