ID: S202603041531
Status: school
Tags: Avans 2-2 Keuzenmodule, Cybersecurity
Groeidocument
1. Inleiding Cybersecurity
1.1. Reflectie Opdracht
Ik heb gekozen voor cybersecurity omdat ik mogelijk in de toekomst in die branche wil werken, en zo niet, dan wil ik op zijn minst op de hoogte zijn van security. Ik denk hier meer over de veiligheid en hoe ik het kan verbeteren. Ik denk dat je als een expert weet wat voor stappen je kan doorlopen om het risico te verminderen, en een verstand van wat je kan doen als je slachtoffer bent.
1.2. OSINT Opdracht
Tijdens deze opdracht kwamen we er achter dat Joey het meest googlebaar was, en daarna volgde ik. Mijn hele vriendenkring is publiek dankzij Facebook. Persoonlijk wist ik al dat ik makkelijk te googlen ben als je mijn naam tussen dubbele quotes zet. Toen ik jezelf opzocht via mijn e-mailadres op epieos.com kwam ik er achter dat je mijn gmail informatie kan vinden, informatie over google maps, mijn agenda en profielfoto.
Uit deze resultaten hebben we onderzocht en gekeken wat voor eigenschappen we precies hebben, en ik denk het volgende: Thomas is goed in research, maar is ook de nar van de groep. Joey is een groepsleider en straalt zelfverzekerdheid uit. Jasper is goed in bij het punt blijven en niet afgeleid te worden, en blijft gefocust op wat moet gebeuren.
1.3. Workshop 1: De wereld van cybercrime
Artikel 1: www.nctv.nl Artikel 2: www.enisa.europa.eu
Welke soorten organisaties worden het meest getroffen door deze dreigingen en waarom?
Overheidsinstanties en grote bedrijven worden het vaakst getroffen door cyberdreigingen. Cybercriminelen richten zich op deze organisaties omdat aanvallen op hen kunnen leiden tot maatschappelijke ontwrichting en politieke spanningen. Overheden zijn bovendien vaak technisch kwetsbaarder, wat hen tot aantrekkelijke doelwitten maakt in digitale oorlogsvoering.
Ook kleine bedrijven zijn regelmatig slachtoffer. Door de inzet van AI verlopen veel hacks volledig automatisch, waardoor aanvallers soms niet eens weten wie ze getroffen hebben. Dit leidt soms tot opmerkelijke situaties, zoals de hack bij de NOS waarbij slechts een relatief laag bedrag aan losgeld werd geƫist.
De telecomsector vormt daarnaast een belangrijk doelwit, omdat communicatie van vitaal belang is voor de samenleving. Een verstoring, bijvoorbeeld van het C2000-systeem voor hulpdiensten, kan ernstige gevolgen hebben voor de publieke veiligheid.
Wat zijn de belangrijkste motieven van cybercriminelen zoals beschreven in het rapport?
Er zijn twee hoofdredenen waarom cybercriminelen aanvallen uitvoeren. Enerzijds is er het geopolitieke motief: digitale aanvallen worden gebruikt als instrument in een moderne, digitale politieke oorlog. Door samenlevingen te polariseren en bevolkingsgroepen tegen elkaar op te zetten, wordt de aandacht afgeleid van externe ontwikkelingen en ontstaat onrust binnen landen.
Anderzijds blijft financieel gewin een belangrijke drijfveer. Veel aanvallen zijn gericht op het verkrijgen van losgeld via ransomware of andere vormen van digitale afpersing. Vaak loopt dat samen met politieke of strategische belangen, wat het onderscheid tussen cybercriminaliteit en cyber-oorlogsvoering steeds vager maakt.
Hoe kunnen deze dreigingen de operationele activiteiten van een organisatie beĆÆnvloeden?
De dreigingen kunnen een grote impact hebben op de continuĆÆteit van organisaties. Een succesvolle aanval kan leiden tot ernstige verstoringen, financiĆ«le schade of zelfs faillissement. Bedrijven en overheden worden daardoor gedwongen om fors te investeren in betere digitale beveiliging, personeel en nood processen.
Daarnaast kunnen aanvallen toeleveringsketens ontregelen en cruciale diensten zoals internet, telefonie of overheidsportalen tijdelijk of permanent buiten werking stellen. Op Europees niveau bestaan nog weinig breed toegankelijke diensten om hiertegen op te treden, waardoor organisaties vaak zelf voor bescherming moeten zorgen.
Zijn er trends of patronen in de doelwitten of methoden van aanval die worden benadrukt in het rapport?
Er tekenen zich verschillende trends af in de manier waarop cybercriminelen werken. De telecomsector en overheidsinstanties blijven populaire doelwitten vanwege hun strategische en maatschappelijke belang.
Qua methoden zien we een duidelijke technologische evolutie. Cybercriminelen gebruiken steeds vaker AI, distributed ledger technology (zoals cryptovaluta) en het darkweb om detectie te ontlopen. Daarnaast winnen deepfakes aan populariteit als middel om desinformatie te verspreiden en wantrouwen te zaaien onder de bevolking.
Deze ontwikkelingen laten zien dat cyberaanvallen niet alleen gericht zijn op financiƫle schade, maar ook op maatschappelijke ontwrichting en manipulatie van publieke perceptie.
1.4. Workshop 2: Wetgeving en normen
We hebben meerdere wetten die gelden op cybersecurity, Internationaal hebben we de Cyberbeveiligingswet (Cbw) / NIS2 en de VN-Verdrag tegen Cybercriminaliteit. Nationaal hebben we de Algemene verordening gegevensbescherming (AVG), Algemene verordening gegevensbescherming (AVG) en de NEN-EN-ISO/IEC 27001. De belangrijkste dingen die in deze wetten genoemd worden komen neer op het melden van incidenten.
Welke nationale en internationale wetten zijn van toepassing op cybersecurity?
Internationaal hebben we de Cyberbeveiligingswet (Cbw) / NIS2 en de VN-Verdrag tegen Cybercriminaliteit. Nationaal hebben we de Algemene verordening gegevensbescherming (AVG), Wet beveiliging netwerk- en informatiesystemen (Wbni) en de NEN-EN-ISO/IEC 27001
Wat zijn de belangrijkste vereisten van deze wetten en regelgevingen met betrekking tot cybersecurity?
- Meldplicht als er incidenten zijn
- Zorgplicht
- Beperking van gevolgen
- Criminaliseren van cybercrime en aanvallen
- Bevoegdheden voor opsporing
Welke normen worden vaak gebruikt als referentie voor best practices in cybersecurity? Op welke sectoren zijn ze van toepassing?
De Cyberbeveiligingswet (Cbw) / NIS2 is er voor essentiƫle sectoren zoals bank, energie, transport etc. De AVG is van toepassing op bedrijven die persoonsgegevens verwerken.
Hoe worden deze normen toegepast in de praktijk binnen organisaties?
De AVG voor het in kaart brengen van de gegevens, beveiligingsmaatregelen treffen en datalekken melden terwijl de NIS2 voor het inrichten van bestuursverantwoordelijken, het uitvoeren van risicoanalyses, het nemen van maatregelen, het beveiligen van de hele keten en het melden van incidenten is.
Wat zijn de voordelen voor organisaties om te voldoen aan deze wetten, regelgevingen en normen?
- Snellere en betere response op incidenten
- Het is beter voor de opinie van het publiek, als in, een betere uitstraling
- Het voorkomen van boetes
Wat zijn de recente ontwikkelingen of updates in wet- en regelgeving die van invloed zijn op cybersecurity?
- Het invoeren / overstappen naar de NIS2.
- Er wordt momenteel gewerkt aan een uitbreiding van de Cybersecurity Act.
- Digital Omnibus Package die meerdere wetsvoorstellen op elkaar laat aansluiten.
| Wet/Norm | Type | Sector | Belangrijkste vereisten | Toepassing | Handhaving |
|---|---|---|---|---|---|
| AVG (GDPR) | Europees / Nationaal | Alle organisaties die persoonsgegevens verwerken | Beveiliging persoonsgegevens, meldplicht datalekken (72u), rechtmatigheid, privacy by design | DPIAās uitvoeren, encryptie, rechten van betrokkenen waarborgen | Autoriteit Persoonsgegevens |
| NIS2 / Wbni | Europees / Nationaal | Essentiƫle en belangrijke sectoren (energie, vervoer, zorg, bankwezen, overheid, IT-diensten) | Risicobeheer, ketenbeveiliging, incidentmeldplicht, bestuursverantwoordelijkheid | Inrichten ISMS, melden incidenten bij CSIRT/NCSC, uitvoeren audits | Agentschap Telecom, NCSC |
| ISO/IEC 27001 (NEN-EN-ISO) | Internationaal | Alle organisaties (vrijwillige certificering, vooral IT, overheid, zorg, financiƫle sector) | Opzetten en onderhouden ISMS, risicomanagement, continue verbetering | Certificering via audits, intern beleid en procedures | Certificerende instanties |
| Wet Computercriminaliteit III | Nationaal | Rechtshandhaving, overheid, burgers | Strafbaarstelling van hacken, identiteitsfraude, phishing enz., opsporingsbevoegdheid voor digitaal onderzoek | Politie en OM kunnen digitaal onderzoek doen, bewijs verzamelen bij cybercrime | Politie, Openbaar Ministerie |
| VN-Verdrag tegen Cybercriminaliteit (Boedapestverdrag) | Internationaal | Lidstaten van de Raad van Europa en partnerlanden | Strafbaarstelling van cybercriminaliteit, samenwerking bij opsporing | Juridische samenwerking en uitlevering bij internationale cyberzaken | Nationale opsporingsdiensten |
| Cybersecurity Act (EU 2019/881) | Europees | Fabrikanten van ICT-producten en clouddiensten | Europese certificering van beveiligde ICT-producten en -diensten | Fabrikanten tonen cybersecurity-conformiteit door certificering | ENISA (EU-agentschap) |
| DORA (Digital Operational Resilience Act) | Europees | FinanciĆ«le sector en IT-leveranciers | ICT-risicobeheer, test van digitale veerkracht, rapportageplicht incidenten | Banken voeren resilience-tests uit, leveranciersrisicoās in kaart brengen | Europese toezichthouders (EBA, ESMA, EIOPA) |
1.5. Workshop 3: Weerbaar tegen cybercrime
Als student ben ik niet echt betrokken bij de cyberveiligheid. Nu als een Informatica student zit het wel in mijn studie, maar als algemene student niet echt. Nu gebruikt avans wel Soft Controls die ik merk:
- Voorbeeldgedrag
- Transparantie
Maar alleen echt wanneer je er zelf naar op zoek gaat, als student kan ik wel vinden wat Avans doet aan cyberveiligheid, maar ik moet er dan actief naar zoeken. Als student mis ik betrokkenheid en bespreekbaarheid.
En nu doe ik er zelf wel onderzoek naar omdat ik er geĆÆnteresseerd in ben, zo kijk ik videoās over cybersecurity en doe ik er onderzoek naar. Maar ideaal zou zijn als school hier meer een hand in heeft.
Als student heb ik advies voor de CISO van avans, en het gaat vooral over de volgende soft skills:
- Betrokkenheid
- Helderheid
- Bespreekbaarheid
- Aanspreekbaarheid
Als student zou ik adviseren om meer aan deze Soft Controls te werken. En ik zie het voor me als volgt:
Betrokkenheid
Als Student zou ik aanraden om aan de studenten voorlichtingen te geven over cyberveiligheid. Er zijn veel dingen die ik als ICTāer logisch vind, maar mijn peers niet. Dingen zoals:
- Het gebruiken van USB-sticks die je vind
- Wat is 2FA en hoe gebruik je het?
- Dat je je laptop moet locken als je wegloopt
- Hoe maak je een goed wachtwoord
- Wat is een wachtwoordkluis
- Herkennen van AI-gegenereerde pictographie
- Awareness over verspreiden van privacy gevoelige gegevens over apps zoals Whatsapp en wat het verschil is met Signal
Dit is informatie die ik als ICTāer logisch vind, maar waarvan ik af weet dat andere studenten hier geen verstand van hebben en snel de fout in gaan.
Helderheid
Op dit moment is er geen plek waar je een melding kan doen bij verdenking van cybercriminaliteit. Als er een plek / persoon is waar studenten dingen kunnen melden, kan er sneller en effectiever geacteerd worden op eventuele dreigingen en veiligheidsrisicoās
Bespreekbaarheid
Als student zou ik aanraden om een algemeen informatiepunt op te richten waar studenten heen kunnen met hun vragen over cybercriminaliteit of andere cyber gerelateerde vragen, op die manier is het duidelijk aan studenten dat ze dingen vragen, en zien ze dat het een belangrijk issue is.
Aanspreekbaarheid
Als student zou ik aanraden om de sfeer zo te maken dat een student ook leraren kan aanspreken op mogelijke cyber fouten die de student en leraar maken. Op die manier leert iedereen van de fouten en wordt er een nadruk gelegd op verbetering. Dit kan het makkelijker maken voor een student om ook weer dingen durven te vragen en zorgt uiteindelijk voor een positieve feedbackloop.
1.6. Workshop 4: Risicoanalyse en assessment
1.6.1. Opdracht A
1.6.1.1. Recente Security Incidenten
Allereerst analyseerden we een aantal recente, real-life cybersecurity-incidenten. Het doel van deze analyse was om inzicht te krijgen in de diversiteit aan cyberdreigingen en de verschillende motivaties van kwaadwillende actoren. Voor deze verkenning zijn openbare en gespecialiseerde nieuwsbronnen geraadpleegd, waaronder Ars Technica, BleepingComputer, en CyberCrimeInfo, die frequent rapporteren over actuele beveiligingsincidenten.
De geselecteerde incidenten zijn samengevat in tabel 1. Uit deze analyse blijkt dat cybersecurity-incidenten niet door ƩƩn type dreigingsactor worden veroorzaakt, maar voortkomen uit uiteenlopende motieven en contexten. Zo zijn sommige aanvallen duidelijk geopolitiek gemotiveerd en uitgevoerd door statelijke actoren, terwijl andere incidenten gericht zijn op financiƫle winst door georganiseerde cybercriminaliteit. Daarnaast laten de voorbeelden zien dat ideologisch gemotiveerde aanvallen (hacktivisme) en interne dreigingen, zoals misbruik van toegangsrechten door derden of insiders, ook een significante rol spelen.
| Incident | Beschrijving | Kwaadwillende | Bron |
|---|---|---|---|
| 1 | Kritieke infrastructuur aangevallen in 37 landen, gedreven door geopolitieke ontwikkelingen | State actor | BleepingComputer |
| 2 | Database Servers van een basisschool getroffen door ransomware; dreigbrief gestuurd naar ouders voor individuele afpersing | Organized crime | vrt.be |
| 3 | Manipulatie van waterzuiveringsinstallatie, olie- en gasbedrijf, en een agrarische faciliteit | Hacktivism | BleepingComputer |
| 4 | Onrechtmatig ingeziene klantgegevens gedeeld en gelekt door een derde partij | Insider threat | BleepingComputer |
Effectieve cyber security maatregelen kunnen dus niet uitsluitend gericht zijn op Ć©Ć©n type aanval, maar moeten rekening houden met zowel externe als interne risicoās en met uiteenlopende aanvalsmethoden. Ook blijkt dat de aanvallen in meerdere sectoren en contexten voorkomen, maar sterk verschillen in impact. Het voorbeeld van de ransomware-aanval op de basisschool laat bijvoorbeeld zien dat een relatief kleine organisatie alsnog te maken kan krijgen met ernstige impact op het individu (privacyschending en mogelijk gegevensverlies van kinderen en ouders) en juridische gevolgen (meldplicht en reputatieschade), terwijl de financiĆ«le schade relatief beperkt blijft ten opzichte van grootschalige aanvallen op vitale infrastructuur.
1.6.1.2. Risicomatrix
Na de analyse van cybersecurity-incidenten is een risicomatrix opgesteld om risicoās gestructureerd en vergelijkbaar te kunnen beoordelen. Deze risicomatrix is weergegeven in tabel 2 en combineert impact scores met kans scores om tot een gewogen risicoscore te komen.
De impact scores zijn afgestemd op drie invalshoeken: Mens (gegevensverlies/ privacy schade), Financieel (financiĆ«le schade voor het bedrijf), en Juridisch (rechtszaken en reputatieschade). Per invalshoek zijn vijf impactniveaus gedefinieerd, variĆ«rend van minimaal tot catastrofaal, waarbij concrete en herkenbare scenarioās zijn gebruikt om subjectiviteit zo veel mogelijk te beperken. De kans scores zijn geordend op basis van zowel waarschijnlijkheid als blootstelling en lopen van 1 (zeer onwaarschijnlijk) tot 5 (zeer waarschijnlijk). Hierbij is gekeken naar hoe vaak een risico zich voordoet binnen de branche (kans), en hoe frequent de bijbehorende activiteit plaatsvindt (blootstelling).
De combinatie van impact en kans resulteert in een risicoscore, waarmee risicoās onderling vergeleken en geprioriteerd kunnen worden. De bijbehorende drempelwaarden en definities zijn opgenomen in tabel 3, zodat duidelijk is welke risicoās acceptabel zijn en welke aanvullende maatregelen nodig zijn.
[MISSING IMAGE - Risk Matrix Table]
| Kans | Zeer onwaarschijnlijk 1 | Onwaarschijnlijk 2 | Mogelijk 3 | Waarschijnlijk 4 | Zeer Waarschijnlijk 5 |
|---|---|---|---|---|---|
| Het risico heeft zich (zover bekend) nog niet voorgedaan in de branche | Het risico heeft zich voorgedaan in de branche | Het risico heeft zich voorgedaan in vergelijkbare omstandigheden | Het risico doet zich meermaals per jaar voor | Het risico zal zich voordoen | |
| De activiteit vindt zelden plaats | De activiteit vindt af en toe plaats | De activiteit vindt regelmatig plaats | De activiteit vindt vaak plaats | De activiteit wordt continu uitgevoerd |
| Effect | Mens | Financieel | Juridisch | 1 | 2 | 3 | 4 | 5 | |
|---|---|---|---|---|---|---|---|---|---|
| Minimaal | 1 | Geen dataverlies, geen privacy impact | Schade < ā¬500 | Geen meldplicht, geen externe zichtbaarheid | 1 | 2 | 3 | 4 | 5 |
| Matig | 2 | Kleine hoeveelheid niet-gevoelige data, direct verholpen | Schade < ā¬5000 | Interne afhandeling, geen externe communicatie | 2 | 4 | 6 | 8 | 10 |
| Ernstig | 3 | Persoonsgegevens beperkt gelekt, herstel nodig | Schade < ā¬5000 | Melding bij toezichthouder, beperkte reputatieschade | 3 | 6 | 9 | 12 | 15 |
| Groot | 4 | Gevoelige persoonsgegevens of meerdere gebruikers getroffen | Schade < ā¬100.000 | Onderzoek, negatieve media, of klantvertrouwen geschaad | 4 | 8 | 12 | 16 | 20 |
| Catastrofaal | 5 | Massaal datalek, identiteitsmisbruik of blijvende schade | Schade > ā¬100.000 | Boetes, rechtszaken, structureel vertrouwen-verlies | 5 | 10 | 15 | 20 | 25 |
Tabel 3: Risicoscores: drempelwaarden en definities
| Kleur | Range | Risico | Definitie |
|---|---|---|---|
| Groen | 1 ā 3 | Laag | Voor dit risico hoeven geen extra maatregelen getroffen te worden |
| Geel | 4 ā 7 | Acceptabel | Risico is alleen acceptabel als er reeds maatregelen voor zijn getroffen; bij initieel geel risico mitigeren |
| Oranje | 8 ā 14 | Hoog | Risico is onacceptabel en moet gemitigeerd worden ter reductie |
| Rood | 15 ā 25 | Onaanvaardbaar | Risico dient in alle gevallen gemitigeerd/vermeden te worden |
1.6.1.3. Kansen & Blootstelling
De kans van bedreigingen kan op verschillende manieren worden beoordeeld. Hierbij ligt de focus niet op exacte voorspellingen, maar op het onderbouwd inschatten van risicoās op basis van beschikbare informatie. Er zijn 3 factoren die voornamelijk van invloed zijn:
Historische incidentdata
- Heeft dit type incident zich eerder voorgedaan?
- Binnen de sector? Binnen vergelijkbare organisaties?
- Referentie: dreigingsbeeld rapporten (zoals eerder benoemde rapportages van BleepingComputer).
Blootstelling
- Hoe vaak draaien de beoogde systemen?
- Hoeveel systemen/componenten/gebruikers zijn betrokken?
- Is het systeem publiek toegankelijk (denk ook aan indirecte blootstelling, zoals via leveranciers, VPN-access, monitoring interfaces, misconfiguraties)?
Dreigingsactor & motivatie
- Wie zou dit risico willen misbruiken? (state actor, cyber crime, insider)
- Is er een financieel, ideologisch of geopolitiek motief?
Als simpele voorbeeldsituatie kan een phishingaanval op een basisschool genomen:
- Historie: dit type aanval komt regelmatig voor in de sector, en de aanleiding (meestal financiƫle afpersing) blijft;
- Blootstelling: het aantal betrokken gebruikers ligt vaak in de honderden, en vooral kleine instanties hebben niet altijd sterke veiligheidsmaatregelen (bijv. onbeveiligde printers in een anderszins gesloten netwerk);
- Motivatie: de acteur is meestal een eenvoudige cybercrimineel met financieel motief.
Deze factoren wijzen allemaal op een hoge waarschijnlijkheid, en dit risico zou dus kansscore 4 toegekend worden.
1.6.1.4. Meest voorkomende dreigingen en kwetsbaarheden
Het doel van dit onderdeel is het opstellen van een praktisch toepasbare lijst van veel voorkomende kwetsbaarheden en dreigingen die gebruikt kunnen worden als input voor een risico assessment. Deze kunnen opgedeeld worden in 4 hoofdcategorieƫn: technische kwetsbaarheden, menselijke kwetsbaarheden, organisatorische kwetsbaarheden, en veel voorkomende bedreigingen:
Technische kwetsbaarheden (NIST, ENISA, CIS Controls)
- Ongepatchte software
- Verouderde systemen
- Onvoldoende logging en monitoring
Menselijke kwetsbaarheden (ENISA Threat Landscape, Verizon DBIR)
- Phishing en social engineering
- Zwakke wachtwoord praktijken
- Zwakke security awareness
- Misconfiguraties door menselijke fouten
Organisatorische kwetsbaarheden (ISO 27001/27005, NIS2-context)
- Gebrek aan incident response plannen
- Onduidelijke verantwoordelijkheden
- Onvoldoende leveranciersbeheer
Veelvoorkomende bedreigingen (ENISA, NCTV, MITRE ATT&CK)
- Ransomware
- (Spear) phishing
- DDoS-aanvallen
- Supply chain attacks
- Insider threats
- Hacktivisme
- Statelijke aanvallen
Niet ieder risico is overal relevant (context, zoals sector en grootte, is relevant), maar een lijst als deze kan gebruikt worden als checklist bij risico-identificatie omdat hij gebaseerd is op erkende standaarden.
1.6.2. Opdracht B
Voor deze opdracht moesten we een presentatie maken, en hebben we de volgende slide gemaakt:
1.6.2.1. IT & OT
Information Technology (IT) is een term die gebruikt wordt als er gepraat wordt over de studie of gebruik van computers of andere telecommunicatieapparaten wat informatie opslaat, creƫert of uitwisselt. Deze informatie kan iets zijn zoals foto- , tekst-, video- of spraakbestanden. De term wordt ook vaak gebruikt als er over een datanetwerk wordt gepraat.
Operation Technology (OT) is de term die gebruikt wordt voor het software- of hardwarematig monitoren of besturen van industriƫle apparatuur. OT is vitaal op lekken zoals energiecentrales of fabrieken en zelfs kassasystemen.
Terwijl IT meer data-operaties gericht is, is OT meer gericht op echte hardware en het correct beheren van. Wat het verbindt is dat het beide over dezelfde infrastructuur communiceert, zoals routers, switches of wireless access points. Hier heeft OT toch weer een verschil mee met hoe moduleer- en weerbaar de hardware moet zijn. Een router moet bijvoorbeeld op de rails worden gezet of een hardere case hebben om tegen een stootje te kunnen.
Voorbeelden van IT systemen zijn meer āinterneā systemen zoals servers, communicatieprotocollen, e-mail of data centers. Voorbeelden van OT systemen zijn meestal meer āout and aboutā, zoals systemen in warenhuizen, buiten op parkeerplekken zoals parkeer- en pinautomaten of sensoren op olieplatformen en mijnbouw operaties.
Waar het dus bij IT meer draait om het veilig en in stand houden van de data en communicatie zelf, draait het bij OT meer om het in tact houden van en de monitoring van de uitrusting. Hoewel fysieke en digitale factoren beide erg belangrijk zijn, hebben fysieke problemen een visueel aspect, wat makkelijker gespot kan worden.
Als het gaat om IT is alles digitaal, wat zonder een goed monitorsysteem lastig wordt om in de gaten te houden. Nog steeds is IT makkelijker te hanteren dan OT omdat het minder invloed heeft op fysieke aspecten. Fysieke veranderingen of invloeden zijn soms lastig te voorspellen. Een aardbeving, waterlek, of gewoon slijtage kan grote gevolgen hebben op een OT systeem. Hierom is een OT systeem moeilijker te hanteren dan een IT systeem.
Alhoewel IT en OT grotendeels 2 losse werkgebieden zijn, begint het tegenwoordig richting elkaar te groeien. De āIT/OT convergenceā. Dit zou de downtime kunnen verminderen met OT, maar het komt ook met de security risicoās van IT.
1.6.2.2. Standaarden
NIST SP-800-30 is een standaard die zich vooral richt op risicoanalyses van informatiesystemen. Het beschrijft hoe dreigingen, kwetsbaarheden en de impact hiervan geĆÆdentificeerd moeten worden. Het doel hiervan is om risicoās overzichtelijk te maken zodat een organisatie makkelijk beslissingen kan maken over beveiligingsmaatregelen.
ISO 27001 gaat over hoe ieder bedrijf een niveau aan informatiebeveiliging kan opzetten, implementeren, onderhouden en verbeteren. Het maakt niet uit hoe groot het bedrijf is of in welke sector het zich bevindt, ieder bedrijf kan deze ISO gebruiken om iets werkbaars te maken. Deze manier van aanpak om een āInformation Security Management Systemā, of ISMS genoemd.
ISO 27005 zelf beschrijf geen methode van over hoe je de beveiliging van een informatiesysteem aan kan pakken, maar het richt zich meer op de eisen hoe een organisatie informatiebeveiliging moet oprichten.
Dus kort samengevat, ISO 27001 beschrijft hoe je informatiebeveiliging uitvoert, ISO 27005 beschrijft wat je moet doen voor een goede informatiebeveiliging en NIST SP-800-30 laat zien hoe je het kan aanpakken.
Verdere verdieping over deze standaarden is niet mogelijk, aangezien die achter een paywall zitten.
1.6.2.3. Hoe pak je dit aan bij een bedrijf?
De aanpak van een risicoanalyse opstellen bij een bedrijf zal als volgt gaan:
Allereerst wordt er bepaald wat een bedrijf wil beschermen. Dit verschilt van bedrijf tot bedrijf. Voor een webshop kan dit bijvoorbeeld de webapplicatie zijn die op een server staat. Voor een bank of verzekeringsfirma zal dit een database met persoons- of transactiegegevens zijn die in een database staat. Ten slotte kunnen er op offshore boorplatformen generatoren, noodaggregaten of het controlesysteem van de gasleidingen zijn die niet zomaar toegankelijk moeten zijn.
Hierna worden de risicoās van deze asset geĆÆdentificeerd. Voor dit voorbeeld wordt er een database met persoonsgegevens gepakt. Deze database kan:
- Gehackt worden door middel van:
- Ransomware
- Een phising aanval
- Stoppen door een stroomuitval
- Waterschade oplopen
- Fysiek gestolen worden
- Stoppen doordat de server oververhit
- Per ongeluk gewiped worden
Naast de risicoās moeten er kwetsbaarheden ondervonden worden. Als voorbeeld kan dit het volgende zijn:
- Out of date software
- Slecht afgestelde rechten
- Slecht beveiligde omgeving (fysiek)
- Slecht of ongetrainde mensen
Al deze risicoās en kwetsbaarheden moeten rekening mee gehouden worden en gedocumenteerd, zodat hiervoor plannen opgezet kunnen worden om deze dan goed af te handelen.
De afhandeling hangt af van de aard en eigenschappen van het risico, zoals hoe groot de impact is op de BIV: Beschikbaarheid, Integriteit, Validiteit. Des te groter de impact op deze 3 aspecten, des te meer er afgewogen moet worden.
Dus of je nu het risico gaat stoppen, accepteren en leert omgaan met de consequenties, mitigeert of overdraagt aan een andere partij, hangt af van wat het beste werkt voor dat risico. Om al deze risicoās op een overzichtelijke manier te visualiseren (en zodat je cliĆ«nt het ook makkelijk kan overzien) worden deze in een zogeheten ābow-tieā diagram gezet.
1.6.2.3. BOW-TIE diagram
Hieronder hebben we de bow tie gemaakt voor het top event āLoss of system controlā.
Ik kan nu de hele bow tie gaan vertellen in tekst, maar dat lijkt me niet heel nuttig. De linkerkant zijn de āThreatsā, dit zijn de gevaren die kunnen zorgen voor de Loss of system control. De rechterkant zijn de consequenties van wat er gebeurt als er loss of system control is, wat er dan kan gebeuren. Nou, nu kunt u natuurlijk zelf lezen wat er allemaal in staat. Maar voor het geval dat er een corruptie is in het plaatje zet ik ze hier even op een rijtje.
[MISSING IMAGE - BOW-TIE diagram]
Threats:
- Phising attack
- Onbevoegde systeemtoegang
- Serverbrand
- Database crash
- Stroomuitval bij de servers
Consequences:
- Patiƫntgegevens zijn niet beschikbaar
- Verkeerde medicijnen worden toegewezen
- Datalek
- Reputatieschade
- Database Verloren
1.6.3. Opdracht C
1.6.3.1. Risicomatrix en tabel
Zoals eerder vermeld hebben we voor deze opdracht gekozen voor casus B (huisartsenpraktijk). Hiervoor hebben we al een BOW-tie gemaakt, maar nu gaan we er nog wat dieper op in. We hebben gebrainstormd over dreigingen waar deze organisatie tegenaan loopt. Aan de hand van alle mogelijke risicoās hebben we een top 10 risicoregister gemaakt om de risicoās overzichtelijk te maken.
| Risico | Actueel | Uiteindelijk | K | I | R | K | I | R |
|---|---|---|---|---|---|---|---|---|
| Phishing leidt tot datalek patiƫntgegevens | 5 | 5 | 25 | |||||
| Ransomware legt het systeem plat | 4 | 5 | 20 | |||||
| Storing bij leverancier | 3 | 4 | 12 | |||||
| Brand in serverruimte | 1 | 5 | 5 | |||||
| SQL-injections | 3 | 4 | 12 | |||||
| DDoS-aanval | 3 | 4 | 12 | |||||
| Elke medewerker kan overal bij | 4 | 3 | 12 | |||||
| Zwakke wachtwoorden van medewerkers | 5 | 3 | 15 | |||||
| Foutieve invoer door medewerker | 4 | 4 | 16 | |||||
| Gestolen laptop van medewerker | 2 | 3 | 6 |
1.6.3.2. Conclusie en reflectie
Zoals we in opdracht B en C hebben bevonden zijn er heel wat bedreigingen en consequenties. Verder konden we ook zien wat er in de praktijk nou echt gebeurt. Want er is al een keer een apotheek gehackt. De CM-zorgketen is in 2024 gehackt, dit is een Belgische apotheek. Hierbij waren de consequenties dat de apotheken niet de digitale voorschriften van patiƫnten konden raadplegen, en kon je niet met bancontact betalen.
Als we kijken naar dit verhaal zien we wel correlaties met onze bow-tie en risicoanalyse.
Bron.
Het probleem van deze opdracht (A+B+C) is dat ze deels overlap hebben, maar zo groot is dat het eigenlijk opgesplitst moest worden over groepsgenoten. Dit zorgde ervoor dat het werken aan deze opdracht niet echt soepel liep omdat C gemaakt werd voordat A en B af waren. Hiervan heb ik geleerd.
1.7. Workshop 5: Beveiligingsmaatregelen
1.7.1. Opdracht A
1.7.1.1. ISO 27002 Maatregelen
Voor deze opdracht hebben we de ISO 27002 standaard gebruikt. Deze standaard bestaat uit 4 categorieƫn waaruit we 1 maatregel per categorie hebben gekozen. Voor elke maatregel hebben we een voorbeeld bedacht.
Organisatorische beheersmaatregelen
Dit onderdeel is helaas niet beschikbaar in het document
Mensgerichte beheersmaatregelen
Zorg dat je voor het aannemen van personeel een goede screening uitvoert. Denk hierbij aan: eerdere referenties, controle van CV, onafhankelijke identiteitscontrole (overheidsinstantie) en controle op strafblad en kredietwaardigheid.
Fysieke beheersmaatregelen
Zorg dat alleen personen toegang hebben tot ruimtes waar ze ook echt werkzaamheden moeten uitvoeren. Maak gebruik van elektronische toegangscontrole met logging. Zorg dat de ontvangstruimte van het gebouw wordt gemonitoord door een receptioniste of beveiliging. Zet belangrijke objecten in afgesloten ruimtes
Technologische beheersmaatregelen
Zorg ervoor dat je systeem is opgedeeld in losse ākamersā. Geef alleen de personen toegang tot deze ākamersā die hier ook daadwerkelijk werkzaamheden in uitvoeren. Zorg dat rechten worden ingetrokken bij het veranderen van functie of na ontslag.
1.7.1.2. NIST Framework
Ook is er gekeken naar de NIST cybersecurity framework. Deze geeft richtlijnen om gecontroleerd om te gaan met een risico/dreiging. Ook moeten er protocollen geschreven worden voor na een cyberaanval. Zo kan een bedrijf gestructureerd reageren in plaats van de reactieve techniek.
1.7.1.3. Operating System Hardening
In Windows 11 is tegenwoording āhardeningā geen keuze meer maar een must. Het beschikt over een ingebouwde virusscaner welke verdachte downloads en acties detecteerd en blokkeerd. Ook bestaat de mogelijkheid tot het gebruiken van pass-keys. Dit is een nieuwere manier van beveiliging door middel van ook hardware ipv alleen software zoals de eerdere codes of vingerafdruk. Ook wordt er voort gescand of dat bepaalde instellingen niet ongevraagd veranderd worden door updates of bijvoorbeeld malware. Mijn eigen laptop beschikt over Windows 11 waardoor de bovengenoemde beveiligingen aanwezig zijn. Ik vind dit een erg goede vooruitgang op eerdere windows versies.
Voor Ubuntu is hardening goed ondersteund en voor een groot deel standaard geregeld. Belangrijke lagen zoals AppArmorāprofielen, weinig/geen open poorten by default, automatische securityāupdates via unattendedāupgrades, ASLR en compilerā/kernelāhardening staan standaard aan. Met de Ubuntu Security Guide (USG) kun je profielen auditen en hardeningbenchmarks toepassen; met Ubuntu Pro krijg je extraās zoals ESM en livepatch. Ubuntu Pro is āalways free for personal useā, dus de basisāsecurityfeatures zijn niet beperkt tot betalende gebruikers. Verder ondersteunt Ubuntu Secure Boot; dit voorkomt het laden van nietāgesigneerde bootloaders/kernels/bootādrivers. Hierbij ga ik meenemen dat ik me ga inschrijven voor Ubuntu Pro zodat ik de extra optionele security features heb.
Arch Linux heeft geen standaard āoneāclickā hardening, maar wel uitstekende documentatie, upātoādate richtlijnen en een toolchain die veel mitigaties ondersteunt. De ArchWiki dekt principes zoals āleast privilegeā, ādefenseāinādepthā, wachtwoordbeleid, schijfāencryptie en andere praktische hardeningātips. Je moet dit wel zelf regelen. Dat betekent: zelf een firewall configureren, AppArmor (of SELinux) aanzetten en profielen maken voor risicovolle apps. Verifieer binaire hardening met checksec/namcap en minimaliseer je aanvalsoppervlak door alleen noodzakelijke diensten te laten draaien. Hierbij ga ik meenemen dat ik nog even door de āsecurityā tab van de ArchWiki heen moet gaan om te controleren of mijn security up-to-date is.
1.7.1.4. Insider Threats
Voor het laatste onderdeel van de opdracht hebben we gekeken naar āinsider threatsā. Dit is wanneer een intern persoon kwade intenties ontwikkelt en van binnenuit het bedrijf saboteert. Om dit probleem te voorkomen hebben we enkele maatregelen bedacht.
Preventieve maatregelen
Zorg dat een medewerker alleen bij kan waar hij bij hoort te kunnen (mensen van finance hoeven niet in de servers te kunnen). Cruciale acties die nadelige gevolgen kunnen hebben, moeten altijd door 2 personen worden uitgevoerd (verwijderen van back-ups etc.)
Detectieve maatregelen
Gebruik een systeem dat bij verdachte werkzaamheden een bericht geeft. Denk hierbij aan iemand die midden in de nacht inlogt. Zorg dat de logs niet te wijzigen zijn. Zo kan altijd teruggekeken worden wat er door wie is gedaan
Response / Herstelmaatregelen
Maak regelmatig back-ups, zo kunnen na een aanval de bestanden snel teruggezet worden. Maak een procedure waarbij iemand zijn rechten compleet ingetrokken kunnen worden bij verdenking van sabotage
1.7.2. Opdracht B
Ter aanvulling op het eerder opgestelde bowtie-model zijn mitigerende maatregelen onderzocht, gericht op zowel de geĆÆdentificeerde bedreigingen als de mogelijke consequenties. Deze maatregelen zijn uitgelijnd in de onderstaande tabel en geordend in een Defense in Depth-model, waarbij beveiliging wordt opgebouwd uit meerdere, elkaar versterkende lagen. Een deel van deze maatregelen is direct verwerkt in het bowtie-diagram.
| ID | Maatregel |
|---|---|
| M1 | Server redundancy |
| M2 | Backup generatoren |
| M3 | Koelsystemen |
| M4 | Voorlichting & Personeelstraining |
| M5 | Rate-limiting |
| M6 | Security monitoring |
| M7 | Waarschuwingen bij emails uit externe organisaties |
| M8 | Frequente identificatie en authenticatie |
| M9 | Error logging |
| M10 | Actief systeembeheer |
| M11 | Standaard security requirements (e.g. bescherming tegen SQL-injection) |
| M12 | Meervoudige dataencryptie |
| M13 | Consistente backupstrategie |
| M14 | Role-based access control |
| M15 | Response-protocol trainen |
| M16 | Inlichten van patiƫnt/cliƫnt |
Nadat deze maatregelen toegepast worden op de risicolijst uit de eerdere opdracht, aan de hand van de eerdere risicomatrix, zullen de oorspronkelijke risicoscores verlaagd worden naar de Gewenste scores te zien in de onderstaande tabel:
| Risico | Mitigaties | Actueel | Gewenst | K | I | R | K | I | R |
|---|---|---|---|---|---|---|---|---|---|
| 1 | Spear phishing leidt tot datalek patiƫntgegevens | M4, M7, M8, M14 | 5 | 5 | 25 | 2 | 3 | 6 | |
| 2 | Mal-/ransomware-infectie legt het systeem plat | M1, M4, M6, M7, M9, M10, M11, M12, M13, M14, M15 | 4 | 5 | 20 | 3 | 2 | 6 | |
| 3 | Storing elektriciteitsnet | M1, M2, M3, M9 | 3 | 4 | 12 | 1 | 2 | 2 | |
| 4 | Brand in serverruimte | M1, M3, M10, M13 | 1 | 5 | 5 | 1 | 3 | 3 | |
| 5 | Gegevens worden gewijzigd via SQL-injection | M5, M11, M14 | 3 | 4 | 12 | 1 | 2 | 2 | |
| 6 | Servers worden getroffen door DDoS-aanval | M1, M5, M6 | 3 | 4 | 12 | 1 | 2 | 2 | |
| 7 | Geen RBAC in systeemconfiguratie | M6, M8, M14 | 4 | 3 | 12 | 1 | 4 | 4 | |
| 8 | Account compromise via zwakke authenticatie | M4, M5, M6, M7, M8, M14 | 5 | 4 | 20 | 2 | 2 | 4 | |
| 9 | Foutieve invoer door medewerker | M4, M16 | 4 | 4 | 16 | 2 | 3 | 6 | |
| 10 | Diefstal van bedrijfsapparatuur | M1, M4, M6 | 3 | 3 | 9 | 2 | 2 | 4 |
1.8. Debat voorbereiding
1.8.1. Impact van incidenten
1.8.1.1. Impact van incidenten op individuen
Privacy:
Door incidenten zoals datalekken of een hack kunnen persoonlijke gegevens van mensen worden gelekt. Dit zijn gegevens zoals: adres, BSN-nummer of andere soorten gegevens die persoonlijk zijn. Deze gegevens kunnen worden gebruikt om misbruik te maken van mensen. Bijvoorbeeld om geld te krijgen.
Financiƫle schade:
Als wordt gekeken naar de financiƫle schade dan hebben we het vooral over gegevens van rekening of banknummers die worden misbruikt. Door bijvoorbeeld een hack kunnen mensen direct slachtoffer worden en kunnen ze dus veel geld verliezen.
Reputatie:
Als mensen weten dat persoonlijke gegevens gelekt zijn, kan dit zorgen voor veel stress. Het kan een onveilige omgeving creƫren. Het vertrouwen in de digitale wereld zal wegzakken. Het kan bijvoorbeeld veel stress opleveren voor mensen als zij ontdekken dat gegevens zijn gelekt. Dit creƫert zorgen.
1.8.1.2. Impact van incidenten op organisaties
ContinuĆÆteit van organisatie:
Door een hack kunnen processen binnen een organisatie stilvallen. Dit komt bijvoorbeeld doordat er geen toegang meer is tot bepaalde klantgegevens. Doordat processen binnen een bedrijf stilvallen kan dit gelijk zorgen voor veel financiƫle schade voor organisaties.
Juridische claims:
Als er een datalek plaatsvindt dient dit gemeld te worden aan betrokkenen en aan de autoriteit persoonsgegevens. Hieruit kan blijken dat de beveiliging van persoonsgegevens niet voldoende was. Als dit het geval is kunnen er boetes worden uitgedeeld aan de organisatie. Ook is het zo dat slachtoffers schadeclaims kunnen doen als zij slachtoffer zijn geworden van bijvoorbeeld een data lek
Reputatie:
De reputatie van organisaties kan erg zakken na een datalek of een hack. Deze incidenten zorgen namelijk voor minder vertrouwen bij klanten en andere betrokken partijen. Dit kan leiden tot klantenverlies, maar er wordt natuurlijk ook minder geld verdiend. De kans dat bedrijven of organisaties in het nieuws komen na een incident is aanwezig, zo is de kans op nieuwe klanten ook minder groot.
1.8.1.3. Impact van incidenten op de maatschappij
Vertrouwen in digitale systemen:
Datalekken of hacks zorgen ervoor dat mensen het vertrouwen verliezen in digitale systemen. Ze zijn minder zeker over dingen zoals internetbankieren of de veiligheid van persoonlijke gegevens die online staan. Als grote bedrijven worden gehackt waar veel mensen klant van zijn, zorgt dit voor grote schrik in de maatschappij. Ook zullen veel mensen overwegen om over te stappen en klant te worden bij een ander bedrijf.
Afhankelijkheid van technologie:
Tegenwoordig is iedereen meer afhankelijk van technologie. Het wordt dagelijks gebruikt voor allerlei processen op werk, maar ook buiten werktijden. Bijvoorbeeld online dingen bestellen. Hierdoor zijn we ook erg afhankelijk van een veilige digitale omgeving. Als deze online veiligheid niet geboden kan worden, kan dit veel gevolgen hebben voor bijvoorbeeld de privacy in de maatschappij.
Publieke veiligheid:
Een datalek of een hack kan ook impact hebben op de publieke veiligheid. Er zijn namelijk bepaalde sectoren waar cybercriminaliteit directe gevolgen kan hebben op burgers van het land. Dit is bijvoorbeeld de gezondheidszorg. Een hack kan bijvoorbeeld impact hebben op medische apparatuur, waardoor dit gevaar kan opleveren voor patiƫnten.
1.8.1.4. Drie recente incidenten uit Nederland
Zie 1.8.1.5 voor analyse en bronnen van genoemde incidenten
De hack op Odido:
De systemen van Odido zijn gehackt. De hackersgroep dreigt gegevens van klanten openbaar te maken als er geen geld wordt betaald door Odido. Dit heeft impact op de privacy van de klanten omdat er wordt gedreigd met het verspreiden van gegevens van klanten zoals namen en e-mailadressen. Verder levert dit reputatieschade op voor Odido omdat het bedrijf nu veel kritiek krijgt in de media. Ook zorgt het voor het verlies van vertrouwen van de klanten, omdat zij verwachten hiertegen beschermd te worden.
Dataroof bevolkingsonderzoek:
In 2025 is er een dataroof gedaan tijdens een bevolkingsonderzoek. Door deze roof zijn de gegevens van ruim 700 duizend vrouwen gestolen. Ook dit incident zal impact hebben op de privacy van de vrouwen. Omdat bepaalde gegevens zijn gelekt en gestolen. Ook kan het onzekerheid veroorzaken bij de vrouwen omdat ze niet weten wat er met de gegevens zal gebeuren. Het kan zo zijn dat de vrouwen schadeclaims willen en het bedrijf daarmee onderdruk zetten
RIVM-website gehackt:
De website van het RIVM was voor de zekerheid offline gehaald, omdat onbekenden op de website onjuiste informatie probeerden te verspreiden. De website werd offline gehaald om deze verspreiding tegen te gaan. Dit zorgde voor onzekerheid voor mensen doordat ze nepberichten zagen op de website. Voor de organisatie werden hierdoor de werkzaamheden gehinderd. Kijken naar de impact op de maatschappij kan het zorgen voor het verlies van vertrouwen door de gelezen nepberichten op de website van het RIVM.
1.8.1.5. Bronanalyse
1) Odido-datalek
Criminelen hebben toegang gekregen tot een klantcontactsysteem van Odido en klantgegevens ingezien en gestolen (zoals naam, adres, e-mail, geboortedatum, IBAN-nummers, identificatiegegevens).
Volgens berichtgeving deden de hackers dit via een āouderwetseā phishingtruc waardoor medewerkers inloggegevens hebben prijsgegeven en MFA-beveiliging werd omzeild.
Odido meldt dat wachtwoorden, facturatiegegevens, en belgegevens niet zijn gelekt.
De aanval wordt toegeschreven aan een bekende criminele groep (ShinyHunters) die data op het dark web publiceert en de organisatie afperst.
2) Bevolkingsonderzoek Nederland (Clinical Diagnostics)
Hackers drongen begin juli het systeem van een extern laboratorium binnen en stalen gevoelige persoonsgegevens van deelnemers aan bevolkingsonderzoeken (o.a. naam, adres, BSN-nummer, testresultaten).
Het totaal aantal betrokken gegevens is sinds de eerste melding uitgebreid naar mogelijk 700.000-900.000 personen.
Er loopt een onafhankelijk onderzoek naar hoe dit heeft kunnen gebeuren en welke beveiligingsmaatregelen tekortschoten.
De gegevens van zeker 715.000 vrouwen zijn gelekt
Uit een disclosure van laboratorium Clinical Diagnostics uit Rijswijk blijkt dat dit 850.000 gelekte datasets zijn.
3) RIVM (Rijksinstituut voor Volksgezondheid en Milieu)
De officiƫle website van het RIVM werd op 14 oktober 2025 tijdelijk offline gehaald na een hack. De organisatie nam de site bewust uit de lucht zodra de aanval werd opgemerkt.
Onbekenden slaagden erin om via een kwetsbaarheid in een webformulier of externe plug-in berichten en content op de website te plaatsen.
Hierdoor verschenen Engelstalige teksten en niet-authentieke berichten op de site.
Het RIVM meldt dat er geen persoonsgegevens zijn gelekt en dat de hackers gƩƩn toegang tot interne data hebben gehad.
De kwetsbaarheid is gedicht en de site is weer operationeel.
Wat is niet publiek gemaakt?
Er zijn geen officiƫle, technische details over de exacte oorzaak, exploit-vector of gebruikte tools/technieken door het RIVM zelf gepubliceerd.
Dit is gebruikelijk bij organisatorische incidentrapportages; volledige technische forensische resultaten worden zelden gedeeld in publieke media of persberichten.
1.8.2. Maatregelen en afwegingen
1.8.2.1. Onderzoek
Als we kijken naar wat voor maatregelen er zijn kunnen we dit samenvatten in 4 soorten. Technische maatregelen zijn maatregelen die met technologie of systemen te maken hebben. Dit is gericht op beveiliging van de infrastructuur en de IT.
Mensgerichte maatregelen zijn gericht op dat de medewerkers bewust worden door trainingen etc. Organisatorische maatregelen zijn maatregelen die te maken hebben met het beleid, organisatie, procedures of structuur. Procesmatige maatregelen zijn maatregelen die de processen veranderen. Bedrijfs processen in de IT, maar ook met mensen onderling. Denk vooral aan procedures.
Hieronder heb ik een lijst met maatregelen per categorie.
Technische maatregelen
- Installeer software updates
- Zorg dat elke applicatie en elk systeem voldoende logging informatie genereert
- Multi factor authentication
- ToegangsĀniveaus en rollen
- Segmenteer netwerken
- Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
- Versleutel opslagmedia met gevoelige bedrijfsinformatie
- Maak regelmatig back-ups en test de back-ups
Mensgerichte maatregelen
- Uitleg aan collegaās over veiligheid
- Houd phishing-simulaties om bewustwording te testen
- Stimuleer een open cultuur waarin medewerkers incidenten durven melden (Soft Controls)
- Organiseer workshops over privacy, wachtwoordbeheer en veilige dataĀopslag
- Communiceer regelmatig over actuele dreigingen en tips
Organisatorische maatregelen
- Maak een risicoanalyse
- Maak een bow-tie diagram
- Stel een incident response-plan of crisisplan op
- Maak een privacybeleid (AVG)
- Stel een security officer aan
- Maak een disaster recovery plan
- Houd regelmatig interne audits of controles op naleving van procedures
Procesmatige maatregelen
- Zorg voor een procedure voor het melden van beveiligingsincidenten
- Voer periodieke autorisatie-reviews uit (check of gebruikers nog de juiste rechten hebben)
- Automatiseer patchmanagement of monitoring-processen
1.8.2.2. Waarom kiezen organisaties soms niet voor de veiligste optie?
Organisaties willen zich doorgaans goed beveiligen, maar in de praktijk moeten ze voortdurend afwegen welke maatregelen haalbaar en betaalbaar zijn. Kosten, tijd, personele capaciteit en weerstand bij medewerkers spelen daarbij een grote rol. Daardoor wordt soms niet gekozen voor de āveiligsteā oplossing, maar voor een balans tussen veiligheid en werkbaarheid.
Technische maatregelen
Technische maatregelen brengen vaak hoge kosten met zich mee, licenties, hardware of inhuren van deskundige experts. Niet elk bedrijf kan constant investeren in nieuwe systemen, updates of specialisten. En als er al een tekort aan personeel is, kan het ook nog uitgesteld worden.
Mensgerichte maatregelen
Bij mensgerichte maatregelen speelt weerstand een grote rol. Medewerkers kunnen beveiligingsinstructies als lastig of overbodig ervaren. Een concreet voorbeeld hiervan is het gebruik van 2FA of het volgen van verplichte trainingen. Verder onderschatten veel mensen risicoās (āhet zal ons toch niet overkomenā). En zelfs als mensen willen meewerken, kan het in de praktijk lastig zijn om van gedrag te veranderen.
Organisatorische maatregelen
Deze maatregelen vragen vaak veel administratie, overleg en beleid. Een incident response-plan of een uitgebreide risicoanalyse opstellen kost niet alleen tijd, maar ook expertise. Bij kleine organisaties is er vaak niemand die deze taken op zich kan nemen, of de toegevoegde waarde wordt pas gezien nadat er een incident is geweest.
Procesmatige maatregelen
Procesmatige maatregelen vereisen dat bestaande werkwijzen worden aangepast. Dat kan leiden tot weerstand bij medewerkers of managers die liever vasthouden aan bekende routines. Ook kan het proces complexer of trager worden, zeker als extra controles en autorisatie stappen worden toegevoegd.
Conclusie
In de praktijk kiezen bedrijven vaak voor een compromis: ze voeren de goedkopere, eenvoudigere maatregelen wel uit, maar laten de duurdere of tijdrovende maatregelen liggen. Dat is begrijpelijk, want een organisatie kan niet al het budget aan beveiliging besteden. Uiteindelijk gaat het om het vinden van een evenwicht tussen risicoās verminderen en de dagelijkse bedrijfsvoering mogelijk houden.
1.8.2.3. Welke maatregelen zijn effectief tegen jullie gekozen incidenten?
Als we kijken naar onze gekozen incidenten zien we maar een paar van de getroffen maatregelen. We kunnen niet inzien wat de preventieve maatregelen waren die het bedrijf heeft genomen, maar we kunnen wel zien welke reactieve maatregelen genomen zijn.
Odido heeft laten weten dat 2FA omzeild was, dus hieruit kunnen we zien dat multi factor authenticatie een preventieve maatregel was die ze hebben genomen. Ook zien we dat ze als reactieve maatregel alle kanten een antiviruspakket hebben gegeven van 2 jaar van F-secure.
Bevolkingsonderzoek heeft als reactieve maatregelen openbaar meegedeeld wat er gebeurd is.
RIVM heeft als reactieve maatregel de website direct offline gehaald en het neppe nieuws verwijderd.
Nu is het dus moeilijk om te zeggen welke maatregelen effectief zouden zijn aangezien we niet weten welke maatregelen ze nog meer hebben getroffen. Maar ze hebben alle 3 het openbaar gemaakt om mensen te informeren, dat is een goede maatregel. Multi factor authenticatie is een goede maatregel in de meeste gevallen, maar bij Odido weten we dat dat omzeild is, dus is dit niet een perfecte maatregel in dit geval. En in het geval van Odido zouden mensgerichte maatregelen juist goed zijn aangezien het kwam door social engineering.
1.8.3. Governance en organisatie
1.8.3.1. Hoe organiseer je cybersecurity binnen een organisatie?
De cybersecurity per organisatie is verschillend. Het hangt af van de 3 Kās:
- Kwetsbaarheden
- Kwaadwillenden
- Kroonjuwelen.
Door vast te leggen wat deze zijn wordt er in kaart gebracht wat de risicoās zijn binnen een organisatie en wat ermee gedaan moet worden.
Een meer methodische manier van risicoanalyse kan als volgt:
- Bepaal wat je wilt beschermen
- Identificeer de risicoās
- Analyseer de gevonden risicoās
- Besluit hoe je gaat hanteren (Accepteren, oplossen, overdragen of stoppen)
Het onderhouden van deze procedures en beveiligingen moet vastgelegd worden in een Information Security Management System, of ISMS.
1.8.3.2. Wat is de rol van beleid, normen, wetgeving en het ISMS?
Een beleid zorgt ervoor dat werknemers van een organisatie zich aan de juiste richtlijnen houden als het gaat om veiligheid door middel van wat je wel en niet moet doen. Denk bijvoorbeeld aan:
- Je laptop locken als je wegloopt
- Een verantwoordelijke aanwijzen
- Hoe mensen met gevoelige data moeten omgaan
Normen zoals ISO 27001/27005 vertellen ons hoe je informatiebeveiliging het beste kan uitvoeren en wat je moet doen om een acceptabel niveau aan informatiebeveiliging te hebben.
Wetgevingen zijn ingesteld zodat alle organisaties een gelijk speelveld hebben met beveiliging, AKA niemand heeft een concurrentieel voordeel.
- De AVG wet is ingesteld om de beveiliging van persoonsgegevens en andere gevoelige persoonlijke informatie te stimuleren
- NIS2 of de cyber beveiligingswet (CBW) zegt dat Europese bedrijven een directe communicatielijn moeten hebben om incidenten te rapporteren.
Het ISMS, zoals voorheen kort benoemd is gemaakt om informatiebeveiliging in stand te houden en hoe dit het beste onderhouden kan worden (zoals beschreven in ISO 27001).
1.8.3.3. Hoe kan governance helpen voor acceptatie en implementatie van maatregelen?
Governance gaat over het beleid, normen of regels om cyber veilig te worden. Acceptatie hierin kan komen door bijvoorbeeld het vermelden van fouten van mensen niet te bestraffen. Hierdoor worden er meer fouten gemeld en is de kans op een breuk van veiligheid verminderd.
Implementatie kan gestimuleerd worden door wetten vast te leggen wat organisaties verplicht om een acceptabel niveau aan cyberveiligheid te hebben. Als deze voor een langere periode van kracht zijn, wordt het vanzelf normaal en dus ook meer voorkomend.
1.8.3.4. Korte schets verbetering governance in Avans
We denken dat Avans als organisatie best sterk staat in hun beveiligingsmaatregelen
Hierom is vooral de studentenafdeling een aandachtspunt/zwakke plek (ondanks het feit dat de studenten omgeving waarschijnlijk volledig gescheiden is van de organisatie-brede systemen, als preventative measure)
Wat voor maatregelen: algemene studentenvoorlichting (soft controls) en evt. Verplichtingen (hard controls), afgezien van afdeling/curriculum (vooral informatica-gerelateerde studies krijgen de voorlichting via lesstof/MVP eisen)
Niet alleen voordelig voor de organisatie maar ook voor het individu
Stel ze evt. aansprakelijk bij incidenten door negligence
1.8.4. Weerstand tegen cybersecurity
Cybersecuritymaatregelen worden niet altijd geaccepteerd door medewerkers, management, of klanten. Hiervoor zijn 2 hoofdoorzaken:
1.8.4.1. Disproportionele Impact
Cybersecuritymaatregelen brengen altijd impact met zich mee. Deze impact kan verschillende vormen aannemen:
Financiƫle kosten
- Investeringen in software, hardware, en beveiligingssystemen;
- Inhuur van specialisten of ontwikkelaars.
Tijdsinvestering
- Analyse, ontwerp, en implementatie;
- Onderhoud, updates, en monitoring;
- Training van personeel.
Operationele impact
- Extra stappen in werkprocessen (bijv. frequente authenticatie);
- Complexere netwerk- of toegangsstructuren.
Fysieke en organisatorische impact
- Inrichting van beveiligde ruimtes;
- Beperking van beschikbare ruimte of herindeling van werkplekken.
Aandachtspunten:
- Implementatie is altijd een risico-kostenafweging. Niet iedere organisatie beschikt over voldoende middelen (budget, tijd, ruimte) om alle maatregelen te realiseren;
- Onvoldoende doordachte maatregelen kunnen worden omzeild als ze inefficiƫnt of onpraktisch zijn;
- Te hoge gebruiksbelasting (bijv. complexe of frequent wijzigende wachtwoorden) kan leiden tot risicovol gebruikersgedrag;
- Volledige risicodekking is niet haalbaar; prioritering op basis van risicoanalyse is noodzakelijk.
1.8.4.2. Onwetendheid & Risicoperceptie
In sommige gevallen wordt geen bewuste afweging gemaakt vanwege een gebrek aan kennis of bewustzijn.
- Beperkte kennis van beschikbare beveiligingsmaatregelen;
- Onderschatting van digitale dreigingen;
- Onvoldoende inzicht in potentiƫle impact van incidenten;
- Digitale ongeletterdheid binnen organisatie of management.
Gevolg: Cybersecurity wordt niet als strategisch bedrijfsrisico beschouwd, maar als optionele of secundaire IT-aangelegenheid.
1.8.4.3. Praktijkvoorbeelden
Speculatie omtrent niet-genomen maatregelen bij de praktijkvoorbeelden uit 1.8.1.5, inclusief mogelijke beredenatie voor afwezigheid
| Casus | Maatregel | Toelichting | Beredenatie voor afwezigheid |
|---|---|---|---|
| Odido Datalek | Least Privilege & data-segmentatie | De omvang van het datalek suggereert dat Ć©Ć©n of enkele accounts toegang hadden tot zeer grote datasets. Effectieve segmentatie en autorisatie beperken de impact bij account- compromittering | - Complexiteit van rolbeheer in grote klantorganisaties; - Operationele druk (klanten- service moet snel alles kunnen); - Kosten (refactoring) |
| Odido Datalek | Phishing-resistente authenticatie (hardware-based) | De aanval wordt toegekend aan gecompromitteerde medewerkersaccounts. Moderne phishing is in staat om klassieke MFA (SMS/push) te omzeilen. Phishing-resistente authenticatie voorkomt dat credentials herbruikbaar zijn. | - Hogere implementatiekosten (hardware keys, support); - Gebruikersweerstand (extra handelingen/privacy concerns (bijv. bij auth. via biometrie)); - Legacy-systemen die niet compatibel zijn; - Afweging: āklassieke MFA is voldoendeā |
| Vrouwenbevolkings-onderzoek NL | Partitionering en encryptie | Het uitlezen van grote hoeveelheden data wijst erop dat gegevens na systeemtoegang direct leesbaar waren. Door data te scheiden en versleutelen, wordt de bruikbaarheid van gestolen data sterk beperkt en blijft de impact van een incident beheersbaar. | - Extra complexiteit in sleutelbeheer; - Performance- en beschikbaarheidsoverwegingen |
1.8.5. Acceptatie
1.8.5.1. Weerstand verminderen
De eerste manier is om het gebruiksgemak te vergroten van je werknemers. Denk hierbij aan het gebruik van password managers waardoor een werknemer wel lange en lastige wachtwoorden heeft maar deze niet zelf hoeft te onthouden.
De tweede manier is het realiseren van een āNo-Blameā cultuur. In een No-Blame cultuur maak je het mogelijk voor werknemers om een melding te kunnen doen zonder de angst te hebben voor straffen. Zo zullen werknemers veel vaker meldingen maken waar dan direct op gehandeld kan worden.
Als derde is het belangrijk om je werknemers te trainen in cybersecurity. Als hun kennis over dit onderwerp stijgt zal de bereidheid tot veranderingen ook toenemen. Ook zorg je met trainingen dat er minder lekken/fouten gemaakt zullen worden.
Als laatste is de voorbeeldfunctie van het management heel erg belangrijk. Het management moet het goede voorbeeld geven in hun eigen veiligheid in de cyberwereld. Als zij dit goed doen dan zullen werknemers eerder geneigd zijn dit goede voorbeeld over te nemen.
1.8.5.2. Verschillende strategieƫn
In deze vergelijking kijken we naar manier 2 (No-Blame cultuur) en manier 4 (voorbeeldfunctie management). Wij denken dat manier 2 een sterker effect zal hebben op de acceptatie door de werknemers. In een no-blame cultuur is het geen taboe om over cybersecurity te praten. Hierdoor zal het een gespreksonderwerp kunnen worden welke vaker terugkeert. Een goed voorbeeld van managers is ook belangrijk voor acceptatie. Echter is dit veel krachtiger is kleinere bedrijven waar iedereen elkaar kent. In grotere bedrijven zul je weinig tot niet met hogere personen spreken waardoor hun invloed ook minder zal zijn in dit onderwerp.
1.8.6. Bedreigingen & kansen
voor dit onderdeel hebben we de 4 grootste dreigingen op dit moment gekozen n.a.v. onze eigen mening.
1.8.6.1. AI-gestuurde dreigingen
Door ai kan tegenwoordig heel veel handwerk worden geautomatiseerd. Denk hierbij aan het schrijven van een perfecte phishingmail in 30 verschillende talen. Ook kan ai worden gebruikt om jezelf voor te doen als iemand anders. Dit door middel van deepfake videoās of audiofragmenten. Ai kan ook optreden als autonome hacker, deze scant zelfstandig het netwerk af naar kwetsbaarheden waarop hij zijn aanvalstechniek real time aanpast.
Kans: zeer groot, Dit omdat AI het werk voor hackers erg goedkoop maakt
Gebruik: ai filters om afwijkende patronen op te kunnen sporen. Zorg ook dat jij bij een vreemd spraakbericht altijd even die persoon zelf nog opbelt om te vragen of dat alles wel klopt
Impact: 3/5, hoewel deze aanval vaak snel en goedkoop is, verkrijgt de hacker maar toegang tot 1 account. Door deze aanval heel vaak op meerdere personen uit te voeren verhoogt de hacker zijn schade
1.8.6.2. insider threads
Een opkomend gevaar zijn de insider threads. Deze zijn erg gevaarlijk omdat hierbij de dreiging vanuit binnen het bedrijf komt in plaats van extern. Deze personen hebben veel meer kennis over de systemen waardoor een aanval makkelijker is dan van buitenaf. Ook hebben deze personen vaak toegang tot systemen of ruimtes welke aanvallen nog veel makkelijker maken. Bij dit onderwerp hoort ook de Shadow AI. Werknemers voeren informatie over het bedrijf in in AI om hun werk sneller te kunnen doen. Hierdoor lekt belangrijke informatie buiten het bedrijf.
Kans: gemiddeld, om zoān aanval uit te voeren moet er veel vooraf zijn gegaan. Ook moet deze persoon de goede kennis hebben om deze aanval uit te kunnen voeren.
Gebruik: het zero trust systeem waardoor werknemers alleen toegang hebben tot de systemen waar zij ook echt in horen te kunnen. Zorg ook dat na ontslag meteen alle rechten ingetrokken worden.
Impact: 5/5, een insider heeft vaak toegang en kennis tot de kroonjuwelen van het bedrijf. Deze kan snel en onopgemerkt heel erg veel schade aanrichten
1.8.6.3. supply chain attacks
Grote bedrijven zijn tegenwoordig erg lastig te hacken waardoor ze niet vaak het doelwit meer zijn van een aanval. Echter willen hackers juist deze grote bedrijven plat leggen omdat daar het meeste geld te verdienen is. Een is een goede optie de supply chain attack. In deze aanval leggen ze een partner van het grote bedrijf plat. Denk hierbij aan bijvoorbeeld de vervoermaatschappij of de organisatie die de cloud data beheert. Door deze dienst uit te schakelen ondervint het grote bedrijf toch problemen.
Kans: groot, kleinere toeleveranciers van grote bedrijven hebben veel minder geld om hun eigen cybersecurity goed te regelen. Hierdoor zijn zij een makkelijk doelwit.
Controleer: of een partner voldoet aan de juiste certificeringen en blijf deze regelmatig controleren.
Impact: 4/5, voor het gehackte bedrijf resulteert dit vaak toch in grote financiƫle problemen. Voor de partner welke nu bijvoorbeeld geen leveringen meer kan ontvangen wordt dit een probleem afhankelijk van de tijd en vervangingsopties.
1.8.6.4. geopolitieke aanvallen
Oorlog zal zich steeds meer gaan digitaliseren waardoor aanvallen gewoon kan vanuit je eigen thuisland. Deze aanvallen richten zich op belangrijke infrastructuren van een ander land. Denk hierbij aan het bankwezen, ziekenhuizen en het elektriciteitsnet. Door deze infra plat te leggen, zaait je in korte tijd veel paniek bij de inwoners en bestuurders van een land.
Kans: laag voor bedrijven, zeer groot voor infra. Tenzij jouw bedrijf direct werkt voor de overheid (of in een gerelateerde supply chain zit) is dit geen grote bedreiging voor jou.
Zorg: dat kritieke systemen volledig gescheiden zijn van andere netwerken. Als het kantoor wordt gehackt kan de hacker niet bij de aansturing van de elektra. Zorg ook voor offline back-ups, zo kun je na een aanval veel sneller weer opstarten.
Impact: 5/5, als een kritieke infrastructuur wordt gehackt kan bijvoorbeeld een deel van het land zonder stroom komen te zitten. De gevolgen van deze aanval zijn te merken door honderdduizenden mensen.
1.9. Debat
Ik vond dit debatteren heel leuk en ook nog eens leerzaam. Ik had hier de stelling: Openbaarmaking van incidenten moet worden gestuurd door āmateriĆ«le impactā in plaats van vaste tijdslimieten.
Ik was tegen de stelling en had iets meer dan een uur om me er op voor te bereiden. Hier kan je die voorbereiding terugvinden.
Ik heb het debat niet gewonnen, maar het was wel heel close. Zo vond de jury het goed dat ik het recente voorbeeld van Odido had gebruikt, dat ik communiceer met mijn handen, dat ik goed luisterde naar mijn tegenstander en dat ik goede argumenten had.
Nu vond ik het heel leuk om tegen Teun te debatteren, hij deed het ook heel goed en we speelden lekker op elkaar in. We hadden van elkaar al wat standpunten geanticipeerd en waren dus goed voorbereid. Wel merkte ik dat ik door de lichte spanning wat informatie was vergeten te vermelden, maar dat kan gebeuren. Ik zou dit zeker nog een keer willen doen, als ik iets meer dan 1 uur krijg om research te doen.
1.10. Reflectie Module 1
Ik heb deze module met plezier ervaren, maar er zijn wel dingen die ik anders ga doen in deze module. Zo hebben we bijvoorbeeld veel opdrachten opgedeeld omdat ze groot waren, dit zorgde ervoor dat we sneller klaar waren, maar dat je als individu misschien zelf niet alles mee kreeg.
Verder zorgde dit er ook voor dat ik meer tijd bezig ben geweest met het vervangen van wat mijn groepsgenoten hebben gedaan, dan als ik het helemaal zelf had gemaakt.
Dus de volgende module wil ik meer zelf doen of brainstormend doen, maar ik wil het werk niet meer opdelen.
2. Weerbaarheid
2.1. Kick-off
Vraag 1: Welke afdelingen of functies spelen een cruciale rol en wie is āin the leadā?
De systeembeheerder, de CISO, management. Dat zijn 3 functies met een cruciale rol. Maar elke medewerker heeft een cruciale rol als je erover nadenkt dat iedereen voor een phishing link kan vallen.
Vraag 2: Hoe moet een organisatie zich voorbereiden (technisch, organisatorisch, strategisch)?
Er is heel veel wat je kan doen: stel een CISO aan, maak een crisisplan. Gebruik multi factor authenticatie. Maar je moet niet vergeten je medewerkers te informeren en mee te nemen in dit proces van voorbereiding. Backups zijn belangrijk, autorisatie en gebruikersrollen. Maak een risicoanalyse, maak een BOW-tie diagram. Noteer welke packages je gebruikt ivm een supply chain attack. Je moet ook documenteren hoe je systeem in elkaar zit, en dit vooral ook fysiek en digitaal opslaan. Er is heel veel wat je kan doen om je voor te bereiden.
Vraag 3: Wat had het bedrijf van de gastspreker beter kunnen doen?
Dit is het voorbeeld van een bijna perfecte aanpak, dus ik heb er niet veel op aan te merken. Zoals de gastspreker al had gezegd was het crisisplan niet af, en opgeslagen online. Dit had een handige hulp geweest, en zorg ook altijd dat je deze dingen op meerdere plekken opslaat. Verder had het ook beter geweest als ze hun backups hadden getest, want ze maakten wel backups / snapshots. Maar ze wisten niet heel goed hoe ze het moesten deployen, dus het zou handig zijn om daarop te trainen.
4. Bronnen en termen
Ik zet alle bronnen bij elkaar zodat ik makkelijker dingen kan vinden die ik zoek. Dit is een soort kennisbasis.
4.1. Wet en regelgeving
4.1.1. Wetten
Wbni
De Wbni is de Wet beveiliging netwerk- en informatiesystemen.
AVG en GDPR
De AVG is de Algemene verordening gegevensbescherming. De GDPR is de General Data Protection Regulation. Deze twee zijn het zelfde.
EU Cybersecurity Act
The Cybersecurity Act strengthens the EU Agency for Cybersecurity (ENISA) and establishes a cybersecurity certification framework for products and services.
Wet computercriminaliteit III
Dit wetsvoorstel versterkt in het wetboek van Strafrecht (Sr) en het wetboek van Strafvordering (Sv) de opsporing en vervolging van computercriminaliteit.
UAVG
Dit wetsvoorstel regelt de uitvoering van de AVG. Dit heeft extra toevoeging op landelijk niveau.
NIS2
De NIS2-richtlijn stelt een uniform rechtskader vast om de cyberbeveiliging in 18 kritieke sectoren in de hele EU te handhaven. Het roept de lidstaten ook op nationale cyberbeveiligingsstrategieƫn vast te stellen en met de EU samen te werken voor grensoverschrijdende reactie en handhaving.
CRA
De CRA is de Cyber Resilience Act.
DORA
De DORA is de Digital Operational Resilience Act.
4.1.2. Regelgevende instanties
Rijksinspectie Digitale Infrastructuur
Zij houden toezicht op de veiligheid van de Nederlandse digitale infrastructuur en handhaven de regels uit de Wbni en de NIS2-richtlijn.
National Cyber Security Centre
Dit centrum deelt informatie over digitale dreigingen en coƶrdineert de aanpak bij grootschalige cyberaanvallen op de vitale infrastructuur en de overheid.
Autoriteit Persoonsgegevens
De Nederlandse toezichthouder op de privacy. Zij behandelen meldingen van datalekken waarbij persoonsgegevens betrokken zijn en zien toe op de naleving van de AVG.
4.2. Tooling en standaarden
4.2.1. Bedrijfs rollen
CISO
Systeem Beheerder
4.2.2. Processen, tooling en maatregelen
BOW-Tie
Risicoanalyse
Risicomatrix
MAPGOOD-model
Crisisplan
Soft Controls
Organisatorische beheersmaatregelen
Mensgerichte beheersmaatregelen
Fysieke beheersmaatregelen
Technologische beheersmaatregelen
Preventieve maatregelen
Detectieve maatregelen
Response / Herstelmaatregelen
4.2.3. Security Standaarden
ISO/IEC 27005 RISK MANAGEMENT PROCESS
NIST SP-800-30 RISK ASSESSMENT PROCESS
FAIR (OPENFAIR)
4.3. Algemene termen
Informational Technology
Operational Technology
Multi Factor Authentication
OSINT
Social Engineering
Malware
Randsomeware
Trojan
Hacktivism
Darkweb
Blackhat
Whitehat
Blue Teaming
Red Teaming
Deepfakes
Pass-keys
Hardening
Firewall
References
Read the full version here.