Dreigingen en kwetsbaarheden; daderprofiel
Ratiocinator Echte kwaliteit verloochent zich niet
IRM & Cloud Computing
© F.H.B. Kersten 2014-2024
De•Cloud Security Alliance (CSA) onderkent bijvoorbeeld de volgende CC-specifieke dreigingen: Abuse and nefarious use of CC Insecure interfaces and API’s Malicious insiders Shared technology issues Data loss or leakage Account or service hijacking Unknown risk profile  

Risicoanalyse – dreigingen en kwetsbaarheden

In beginsel kan voor de analyse van dreigingen en kwetsbaarheden gebruik worden gemaakt van de lijstjes die in de bekende methoden en technieken zijn opgenomen. Afhankelijk van de situatie, het service model en het deployment model, kunnen bepaalde dreigingen en kwetsbaarheden niet langer relevant zijn. Zij houden dan verband met assets van de CC service provider. Voor andere dreigingen geldt dat de kans van optreden kan wijzigingen. In dat geval zal bezien moeten worden wat de veranderingen betekenen qua impact en wat dat dan weer betekent voor de maatregelen. Zo staat CC synoniem voor het gebruik van internet. Toename in het gebruik daarvan betekent ook een toenemende kans dat dreigingen zich voordoen, zoals het niet beschikbaar zijn van internetverbinding. Om dan toch aan de gewenste beschikbaarheid – zoals 99,7% uit het eerdere voorbeeld te komen – is het dan noodzakelijk om connectiviteit van een tweede internet service provider af te nemen. Los van dat hiervoor gesteld is dat de dreigingen- en kwetsbaarhedenanalyse met bestaande methoden en de daarin opgenomen overzichten uitgevoerd kunnen worden, zijn er toch diverse bronnen die met eigen lijstjes van CC-specifieke dreigingen. Enkele voorbeelden zijn hier en in het kader hiernaast opgenomen.

Risicoanalyse – daderprofiel

In beginsel is ook bij CC de universele set aan daderprofielen van toepassing. De literatuur inzake CC wijst veelal op de dreiging van ongeautoriseerd handelen door personeel van de CC service provider. Dit betekent dat in de maatregelensfeer aandacht nodig is voor de wijze waarop de CC service provider omgaat met zijn personeel en bijvoorbeeld invulling geeft aan het desbetreffende hoofdstuk van ISO- 27001/2. Het is inmiddels niet ongebruikelijk dat grote klanten zoals banken, verzekeringsmaatschappijen en departementen eisen stellen aan het personeel van leveranciers dat voor hen, op hun contract werkt. Denk hierbij aan het bekend zijn welke personen dit betreft en eisen dat deze personen beschikken over een VOG of een veiligheidsonderzoek met goed gevolg hebben doorstaan. Gebruikelijke indelingen van daders met hun motieven: - crimininelen: geld, macht - terroristen:geld, macht, toebrengen van schade - ethical hackers: uitdaging, ‘fun’, verhogen beveiliging - hacktivisten: toebrengen van schade, - scriptkiddies:uitdaging, kijken hoe ver ze kunnen komen - eigen personeel: frustratie, afreageren, toebrengen van schade - landen/staten: spionage, toebrengen van schade, beïnvloeden opinies - klanten/leverancier: spionage, toebrengen van schade .