ID: F202602111527
Tags: portfolio, Avans 2-2 Keuzenmodule, Cybersecurity
File Link: Groeidocument cybersecurity.odt, online versie
Status: File-Descriptor

File - groeidocument cybersecurity

Looks something along the lines of:

Groeidocument

ID: S202603041531
Status: school
Tags: Avans 2-2 Keuzenmodule, Cybersecurity

Groeidocument

Portfolio

1. Inleiding Cybersecurity 6

1.1. Reflectie Opdracht 6

1.2. OSINT Opdracht 6

1.3. Workshop 1: De wereld van cybercrime 6

1.4. Workshop 2: Wetgeving en normen 8

1.5. Workshop 3: Weerbaar tegen cybercrime 12

1.6. Workshop 4: Risicoanalyse en assessment 14

1.6.1. Opdracht A 14

1.6.1.1. Recente Security Incidenten 14

1.6.1.2. Risicomatrix 15

1.6.1.3. Kansen & Blootstelling 18

1.6.1.4. Meest voorkomende dreigingen en kwetsbaarheden 19

1.6.2. Opdracht B 20

1.6.2.1. IT & OT 20

1.6.2.2. Standaarden 21

1.6.2.3. Hoe pak je dit aan bij een bedrijf? 22

1.6.2.3. BOW-TIE diagram 23

1.6.3. Opdracht C 24

1.6.3.1. Risicomatrix en tabel 24

1.6.3.2. Conclusie en reflectie 26

1.7. Workshop 5: Beveiligingsmaatregelen 26

1.7.1. Opdracht A 26

1.7.1.1. ISO 27002 Maatregelen 26

1.7.1.2. NIST Framework 27

1.7.1.3. Operating System Hardening 27

1.7.1.4. Insider Threats 28

1.7.2. Opdracht B 28

1.8. Debat voorbereiding 31

1.8.1. Impact van incidenten 31

1.8.1.1. Impact van incidenten op individuen 31

1.8.1.2. Impact van incidenten op organisaties 31

1.8.1.3. Impact van incidenten op de maatschappij 32

1.8.1.4. Drie recente incidenten uit Nederland 32

1.8.1.5. Bronanalyse 33

1) Odido-datalek 33

2) Bevolkingsonderzoek Nederland (Clinical Diagnostics) 33

3) RIVM (Rijksinstituut voor Volksgezondheid en Milieu) 34

1.8.2. Maatregelen en afwegingen 34

1.8.2.1. Onderzoek 34

1.8.2.2. Waarom kiezen organisaties soms niet voor de veiligste optie? 35

1.8.2.3. Welke maatregelen zijn effectief tegen jullie gekozen incidenten? 36

1.8.3. Governance en organisatie 37

1.8.3.1. Hoe organiseer je cybersecurity binnen een organisatie? 37

1.8.3.2. Wat is de rol van beleid, normen, wetgeving en het ISMS? 37

1.8.3.3. Hoe kan governance helpen voor acceptatie en implementatie van maatregelen? 38

1.8.3.4. Korte schets verbetering governance in Avans 38

1.8.4. Weerstand tegen cybersecurity 38

1.8.4.1. Disproportionele Impact 38

1.8.4.2. Onwetendheid & Risicoperceptie 39

1.8.4.3. Praktijkvoorbeelden 39

1.8.5. Acceptatie 40

1.8.5.1. Weerstand verminderen 40

1.8.5.2. Verschillende strategieën 40

1.8.6. Bedreigingen & kansen 40

1.8.6.1. AI-gestuurde dreigingen 41

1.8.6.2. insider threads 41

1.8.6.3. supply chain attacks 41

1.8.6.4. geopolitieke aanvallen 41

1.9. Debat 42

1.10. Reflectie Module 1 42

2. Weerbaarheid 43

2.1. Kick-off 43

2.2. Workshop 1 43

2.3. Workshop 2 43

2.3.1. Gevonden Risico’s: 44

2.3.2. Impact na manifesteren: 44

2.3.3. Maatregelen en scenario’s 44

2.4. Workshop 3 45

2.4.1. Opdracht 1: 45

2.4.2. Opdracht 2: architectuur-review 45

2.4.2.1. Belangrijkste universele Security By Design requirements 45

1) Authenticatie & Autorisatie 46

2) Gegevensbescherming 46

3) Logging & Monitoring 46

2.4.2.2. Architectuur Review 46

1) Security-versterkende designkeuzes 46

2) Security-verzwakkende designkeuzes 46

2.4.3. Opdracht 3: Threat Model 47

2.4.4. Opdracht 4: Handleiding 48

2.4.4.1. Eigenschappen van een web-api 49

2.4.4.2. Secure coding practices 49

2.4.4.3. Testen van security 49

2.5. Workshop 4 49

2.5.1. Opdracht 1 49

2.5.1.1. SAST 50

2.5.1.2. DAST 50

2.5.1.3. Secure by design and default 50

2.5.1.4. Demonstratie 50

2.5.1.5. IoT 50

2.5.1.6. Docker 51

2.5.1.7. Security features 51

2.5.1.8. True number generator 52

2.5.1.9. Netwerk Printer 52

2.5.2. Opdracht 2 52

2.5.2.1. Memory Management Vulnerabilities 52

2.5.2.2. Structured output 53

2.5.2.3. Race conditions 54

2.5.2.4. API vulnerabilities 54

2.5.2.5. Side-channel vulnerabilities 55

2.6. Workshop 5 56

2.7. Tabletop voorbereiding 57

2.7.1. Business Continuity Plan 57

2.7.1.1. Business Impact Analysis 57

2.7.1.2. Business Continuity Plan (missing) 58

2.7.1.3. Insider Threats 58

2.7.2. Security Analysis & ontwerp 58

2.7.2.1. Threat Model 58

2.7.2.2. Risk analysis 60

2.7.2.3. Cybersecurity Maturity Analysis 61

1) Identification 61

2) Protection 62

3) Detection 62

4) Response 63

5) Recovery 63

6) Conclusie Volwassenheidsscore 64

2.7.2.4. Nieuwe Architectuur 64

2.7.3. Secure Development & Weerbaarheid 66

4. Bronnen en termen 67

4.1. Wet en regelgeving 67

4.1.1. Wetten 67

4.1.2. Regelgevende instanties 68

4.2. Tooling en standaarden 68

4.2.1. Bedrijfs rollen 68

4.2.2. Processen, tooling en maatregelen 68

4.2.3. Security Standaarden 69

4.3. Algemene termen 69

1. Inleiding Cybersecurity

1.1. Reflectie Opdracht

Ik heb gekozen voor cybersecurity omdat ik mogelijk in de toekomst in die branche wil werken, en zo niet, dan wil ik op zijn minst op de hoogte zijn van security. Ik denk hier meer over de veiligheid en hoe ik het kan verbeteren.
Ik denk dat je als een expert weet wat voor stappen je kan doorlopen om het risico te verminderen, en een verstand van wat je kan doen als je slachtoffer bent.

**1.2. OSINT Opdracht

Tijdens deze opdracht kwamen we er achter dat Joey het meest googlebaar was, en daarna volgde ik. Mijn hele vriendenkring is publiek dankzij Facebook. Persoonlijk wist ik al dat ik makkelijk te googlen ben als je mijn naam tussen dubbele quotes zet. Toen ik mezelf opzocht via mijn e-mailadres op epieos.com kwam ik er achter dat je mijn gmail informatie kan vinden, informatie over google maps, mijn agenda en profielfoto.

Uit deze resultaten hebben we onderzocht en gekeken wat voor eigenschappen we precies hebben, en ik denk het volgende:

• Thomas is goed in research, maar is ook de nar van de groep.
• Joey is een groepsleider en straalt zelfverzekerdheid uit.
• Jasper is goed in bij het punt blijven en niet afgeleid te worden, en blijft gefocust op wat moet gebeuren.

1.3. Workshop 1: De wereld van cybercrime

• Artikel 1: www.nctv.nl
• Artikel 2: www.enisa.europa.eu

Welke soorten organisaties worden het meest getroffen door deze dreigingen en waarom?

Overheidsinstanties en grote bedrijven worden het vaakst getroffen door cyberdreigingen. Cybercriminelen richten zich op deze organisaties omdat aanvallen op hen kunnen leiden tot maatschappelijke ontwrichting en politieke spanningen. Overheden zijn bovendien vaak technisch kwetsbaarder, wat hen tot aantrekkelijke doelwitten maakt in digitale oorlogsvoering.

Ook kleine bedrijven zijn regelmatig slachtoffer. Door de inzet van AI verlopen veel hacks volledig automatisch, waardoor aanvallers soms niet eens weten wie ze getroffen hebben. Dit leidt soms tot opmerkelijke situaties, zoals de hack bij de NOS waarbij slechts een relatief laag bedrag aan losgeld werd geëist.

De telecomsector vormt daarnaast een belangrijk doelwit, omdat communicatie van vitaal belang is voor de samenleving. Een verstoring, bijvoorbeeld van het C2000-systeem voor hulpdiensten, kan ernstige gevolgen hebben voor de publieke veiligheid.

Wat zijn de belangrijkste motieven van cybercriminelen zoals beschreven in het rapport?

Er zijn twee hoofdredenen waarom cybercriminelen aanvallen uitvoeren. Enerzijds is er het geopolitieke motief: digitale aanvallen worden gebruikt als instrument in een moderne, digitale politieke oorlog. Door samenlevingen te polariseren en bevolkingsgroepen tegen elkaar op te zetten, wordt de aandacht afgeleid van externe ontwikkelingen en ontstaat onrust binnen landen.

Anderzijds blijft financieel gewin een belangrijke drijfveer. Veel aanvallen zijn gericht op het verkrijgen van losgeld via ransomware of andere vormen van digitale afpersing. Vaak loopt dat samen met politieke of strategische belangen, wat het onderscheid tussen cybercriminaliteit en cyber-oorlogsvoering steeds vager maakt.

Hoe kunnen deze dreigingen de operationele activiteiten van een organisatie beïnvloeden?

De dreigingen kunnen een grote impact hebben op de continuïteit van organisaties. Een succesvolle aanval kan leiden tot ernstige verstoringen, financiële schade of zelfs faillissement. Bedrijven en overheden worden daardoor gedwongen om fors te investeren in betere digitale beveiliging, personeel en nood processen.

Daarnaast kunnen aanvallen toeleveringsketens ontregelen en cruciale diensten zoals internet, telefonie of overheidsportalen tijdelijk of permanent buiten werking stellen. Op Europees niveau bestaan nog weinig breed toegankelijke diensten om hiertegen op te treden, waardoor organisaties vaak zelf voor bescherming moeten zorgen.

Zijn er trends of patronen in de doelwitten of methoden van aanval die worden benadrukt in het rapport?

Er tekenen zich verschillende trends af in de manier waarop cybercriminelen werken. De telecomsector en overheidsinstanties blijven populaire doelwitten vanwege hun strategische en maatschappelijke belang.

Qua methoden zien we een duidelijke technologische evolutie. Cybercriminelen gebruiken steeds vaker AI, distributed ledger technology (zoals cryptovaluta) en het darkweb om detectie te ontlopen. Daarnaast winnen deepfakes aan populariteit als middel om desinformatie te verspreiden en wantrouwen te zaaien onder de bevolking.

Deze ontwikkelingen laten zien dat cyberaanvallen niet alleen gericht zijn op financiële schade, maar ook op maatschappelijke ontwrichting en manipulatie van publieke perceptie.

1.4. Workshop 2: Wetgeving en normen

We hebben meerdere wetten die gelden op cybersecurity, Internationaal hebben we de Cyberbeveiligingswet (Cbw) / NIS2 en de VN-Verdrag tegen Cybercriminaliteit. Nationaal hebben we de Algemene verordening gegevensbescherming (AVG), Algemene verordening gegevensbescherming (AVG) en de NEN-EN-ISO/IEC 27001. De belangrijkste dingen die in deze wetten genoemd worden komen neer op het melden van incidenten.

Welke nationale en internationale wetten zijn van toepassing op cybersecurity?
Internationaal hebben we de Cyberbeveiligingswet (Cbw) / NIS2 en de VN-Verdrag tegen Cybercriminaliteit. Nationaal hebben we de Algemene verordening gegevensbescherming (AVG), Wet beveiliging netwerk- en informatiesystemen (Wbni) en de NEN-EN-ISO/IEC 27001

Wat zijn de belangrijkste vereisten van deze wetten en regelgevingen met betrekking tot cybersecurity?

• Meldplicht als er incidenten zijn
• Zorgplicht
• Beperking van gevolgen
• Criminaliseren van cybercrime en aanvallen
• Bevoegdheden voor opsporing

Welke normen worden vaak gebruikt als referentie voor best practices in cybersecurity? Op welke sectoren zijn ze van toepassing?
De Cyberbeveiligingswet (Cbw) / NIS2 is er voor essentiële sectoren zoals bank, energie, transport etc. De AVG is van toepassing op bedrijven die persoonsgegevens verwerken.

Hoe worden deze normen toegepast in de praktijk binnen organisaties?
De AVG voor het in kaart brengen van de gegevens, beveiligingsmaatregelen treffen en datalekken melden terwijl de NIS2 voor het inrichten van bestuursverantwoordelijken, het uitvoeren van risicoanalyses, het nemen van maatregelen, het beveiligen van de hele keten en het melden van incidenten is.

Wat zijn de voordelen voor organisaties om te voldoen aan deze wetten, regelgevingen en normen?

• Snellere en betere response op incidenten
• Het is beter voor de opinie van het publiek, als in, een betere uitstraling
• Het voorkomen van boetes

Wat zijn de recente ontwikkelingen of updates in wet- en regelgeving die van invloed zijn op cybersecurity?

• Het invoeren / overstappen naar de NIS2.
• Er wordt momenteel gewerkt aan een uitbreiding van de Cybersecurity Act.
• Digital Omnibus Package die meerdere wetsvoorstellen op elkaar laat aansluiten.

Wet/Norm	Type	Sector	Belangrijkste vereisten	Toepassing	Handhaving
AVG (GDPR)	Europees / Nationaal	Alle organisaties die persoonsgegevens verwerken	Beveiliging persoonsgegevens, meldplicht datalekken (72u), rechtmatigheid, privacy by design	DPIA’s uitvoeren, encryptie, rechten van betrokkenen waarborgen	Autoriteit Persoonsgegevens
NIS2 / Wbni	Europees / Nationaal	Essentiële en belangrijke sectoren (energie, vervoer, zorg, bankwezen, overheid, IT-diensten)	Risicobeheer, ketenbeveiliging, incidentmeldplicht, bestuursverantwoordelijkheid	Inrichten ISMS, melden incidenten bij CSIRT/NCSC, uitvoeren audits	Agentschap Telecom, NCSC
ISO/IEC 27001 (NEN-EN-ISO)	Internationaal	Alle organisaties (vrijwillige certificering, vooral IT, overheid, zorg, financiële sector)	Opzetten en onderhouden ISMS, risicomanagement, continue verbetering	Certificering via audits, intern beleid en procedures	Certificerende instanties
Wet Computercriminaliteit III	Nationaal	Rechtshandhaving, overheid, burgers	Strafbaarstelling van hacken, identiteitsfraude, phishing enz., opsporingsbevoegdheid voor digitaal onderzoek	Politie en OM kunnen digitaal onderzoek doen, bewijs verzamelen bij cybercrime	Politie, Openbaar Ministerie
VN-Verdrag tegen Cybercriminaliteit (Boedapestverdrag)	Internationaal	Lidstaten van de Raad van Europa en partnerlanden	Strafbaarstelling van cybercriminaliteit, samenwerking bij opsporing	Juridische samenwerking en uitlevering bij internationale cyberzaken	Nationale opsporingsdiensten
Cybersecurity Act (EU 2019/881)	Europees	Fabrikanten van ICT-producten en clouddiensten	Europese certificering van beveiligde ICT-producten en -diensten	Fabrikanten tonen cybersecurity-conformiteit door certificering	ENISA (EU-agentschap)
DORA (Digital Operational Resilience Act)	Europees	Financiële sector en IT-leveranciers	ICT-risicobeheer, test van digitale veerkracht, rapportageplicht incidenten	Banken voeren resilience-tests uit, leveranciersrisico’s in kaart brengen	Europese toezichthouders (EBA, ESMA, EIOPA)

**1.5. Workshop 3: Weerbaar tegen cybercrime

![][image1]

Als student ben ik niet echt betrokken bij de cyberveiligheid. Nu als een Informatica student zit het wel in mijn studie, maar als algemene student niet echt. Nu gebruikt avans wel Soft Controls die ik merk:

• Voorbeeldgedrag
• Transparantie

Maar alleen echt wanneer je er zelf naar op zoek gaat, als student kan ik wel vinden wat Avans doet aan cyberveiligheid, maar ik moet er dan actief naar zoeken. Als student mis ik betrokkenheid en bespreekbaarheid.
En nu doe ik er zelf wel onderzoek naar omdat ik er geïnteresseerd in ben, zo kijk ik video’s over cybersecurity en doe ik er onderzoek naar. Maar ideaal zou zijn als school hier meer een hand in heeft.

Als student heb ik advies voor de CISO van avans, en het gaat vooral over de volgende soft skills:

• Betrokkenheid
• Helderheid
• Bespreekbaarheid
• Aanspreekbaarheid

Als student zou ik adviseren om meer aan deze Soft Controls te werken. En ik zie het voor me als volgt:

Betrokkenheid
Als Student zou ik aanraden om aan de studenten voorlichtingen te geven over cyberveiligheid. Er zijn veel dingen die ik als ICT’er logisch vind, maar mijn peers niet. Dingen zoals:

• Het gebruiken van USB-sticks die je vind
• Wat is 2FA en hoe gebruik je het?
• Dat je je laptop moet locken als je wegloopt
• Hoe maak je een goed wachtwoord
• Wat is een wachtwoordkluis
• Herkennen van AI-gegenereerde pictographie
• Awareness over verspreiden van privacy gevoelige gegevens over apps zoals Whatsapp en wat het verschil is met Signal

Dit is informatie die ik als ICT’er logisch vind, maar waarvan ik af weet dat andere studenten hier geen verstand van hebben en snel de fout in gaan.

Helderheid
Op dit moment is er geen plek waar je een melding kan doen bij verdenking van cybercriminaliteit. Als er een plek / persoon is waar studenten dingen kunnen melden, kan er sneller en effectiever geacteerd worden op eventuele dreigingen en veiligheidsrisico’s

Bespreekbaarheid
Als student zou ik aanraden om een algemeen informatiepunt op te richten waar studenten heen kunnen met hun vragen over cybercriminaliteit of andere cyber gerelateerde vragen, op die manier is het duidelijk aan studenten dat ze dingen vragen, en zien ze dat het een belangrijk issue is.

Aanspreekbaarheid
Als student zou ik aanraden om de sfeer zo te maken dat een student ook leraren kan aanspreken op mogelijke cyber fouten die de student en leraar maken. Op die manier leert iedereen van de fouten en wordt er een nadruk gelegd op verbetering. Dit kan het makkelijker maken voor een student om ook weer dingen durven te vragen en zorgt uiteindelijk voor een positieve feedbackloop.

![][image2]

1.6. Workshop 4: Risicoanalyse en assessment

1.6.1. Opdracht A

1.6.1.1. Recente Security Incidenten

Allereerst analyseerden we een aantal recente, real-life cybersecurity-incidenten. Het doel van deze analyse was om inzicht te krijgen in de diversiteit aan cyberdreigingen en de verschillende motivaties van kwaadwillende actoren. Voor deze verkenning zijn openbare en gespecialiseerde nieuwsbronnen geraadpleegd, waaronder Ars Technica, BleepingComputer, en CyberCrimeInfo, die frequent rapporteren over actuele beveiligingsincidenten.

De geselecteerde incidenten zijn samengevat in tabel 1. Uit deze analyse blijkt dat cybersecurity-incidenten niet door één type dreigingsactor worden veroorzaakt, maar voortkomen uit uiteenlopende motieven en contexten. Zo zijn sommige aanvallen duidelijk geopolitiek gemotiveerd en uitgevoerd door statelijke actoren, terwijl andere incidenten gericht zijn op financiële winst door georganiseerde cybercriminaliteit. Daarnaast laten de voorbeelden zien dat ideologisch gemotiveerde aanvallen (hacktivisme) en interne dreigingen, zoals misbruik van toegangsrechten door derden of insiders, ook een significante rol spelen.

Incident	Beschrijving	Kwaadwillende	Bron
1	Kritieke infrastructuur aangevallen in 37 landen, gedreven door geopolitieke ontwikkelingen	State actor	BleepingComputer
2	Database Servers van een basisschool getroffen door ransomware; dreigbrief gestuurd naar ouders voor individuele afpersing	Organized crime	vrt.be
3	Manipulatie van waterzuiveringsinstallatie, olie- en gasbedrijf, en een agrarische faciliteit	Hacktivism	BleepingComputer
4	Onrechtmatig ingeziene klantgegevens gedeeld en gelekt door een derde partij	Insider threat	BleepingComputer

Effectieve cyber security maatregelen kunnen dus niet uitsluitend gericht zijn op één type aanval, maar moeten rekening houden met zowel externe als interne risico’s en met uiteenlopende aanvalsmethoden. Ook blijkt dat de aanvallen in meerdere sectoren en contexten voorkomen, maar sterk verschillen in impact. Het voorbeeld van de ransomware-aanval op de basisschool laat bijvoorbeeld zien dat een relatief kleine organisatie alsnog te maken kan krijgen met ernstige impact op het individu (privacyschending en mogelijk gegevensverlies van kinderen en ouders) en juridische gevolgen (meldplicht en reputatieschade), terwijl de financiële schade relatief beperkt blijft ten opzichte van grootschalige aanvallen op vitale infrastructuur.

1.6.1.2. Risicomatrix

Na de analyse van cybersecurity-incidenten is een risicomatrix opgesteld om risico’s gestructureerd en vergelijkbaar te kunnen beoordelen. Deze risicomatrix is weergegeven in tabel 2 en combineert impact scores met kans scores om tot een gewogen risicoscore te komen.

De impact scores zijn afgestemd op drie invalshoeken: Mens (gegevensverlies/ privacy schade), Financieel (financiële schade voor het bedrijf), en Juridisch (rechtszaken en reputatieschade). Per invalshoek zijn vijf impactniveaus gedefinieerd, variërend van minimaal tot catastrofaal, waarbij concrete en herkenbare scenario’s zijn gebruikt om subjectiviteit zo veel mogelijk te beperken. De kans scores zijn geordend op basis van zowel waarschijnlijkheid als blootstelling en lopen van 1 (zeer onwaarschijnlijk) tot 5 (zeer waarschijnlijk). Hierbij is gekeken naar hoe vaak een risico zich voordoet binnen de branche (kans), en hoe frequent de bijbehorende activiteit plaatsvindt (blootstelling).

De combinatie van impact en kans resulteert in een risicoscore, waarmee risico’s onderling vergeleken en geprioriteerd kunnen worden. De bijbehorende drempelwaarden en definities zijn opgenomen in tabel 3, zodat duidelijk is welke risico’s acceptabel zijn en welke aanvullende maatregelen nodig zijn.

					Kans
					Zeer onwaarschijnlijk 1	Onwaarschijnlijk 2	Mogelijk 3	Waarschijnlijk 4	Zeer Waarschijnlijk 5
					Het risico heeft zich (zover bekend) nog niet voorgedaan in de branche	Het risico heeft zich voorgedaan in de branche	Het risico heeft zich voorgedaan in vergelijkbare omstandigheden	Het risico doet zich meermaals per jaar voor	Het risico zal zich voordoen
					De activiteit vindt zelden plaats	De activiteit vindt af en toe plaats	De activiteit vindt regelmatig plaats	De activiteit vindt vaak plaats	De activiteit wordt continu uitgevoerd
Effect
		Mens	Financieel	Juridisch
Minimaal	1	Geen dataverlies, geen privacy impact	Schade < €500	Geen meldplicht, geen externe zichtbaarheid	1	2	3	4	5
Matig	2	Kleine hoeveelheid niet-gevoelige data, direct verholpen	Schade < €5000	Interne afhandeling, geen externe communicatie	2	4	6	8	10
Ernstig	3	Persoonsgegevens beperkt gelekt, herstel nodig	Schade < €5000	Melding bij toezichthouder, beperkte reputatieschade	3	6	9	12	15
Groot	4	Gevoelige persoonsgegevens of meerdere gebruikers getroffen	Schade < €100.000	Onderzoek, negatieve media, of klantvertrouwen geschaad	4	8	12	16	20
Catastrofaal	5	Massaal datalek, identiteitsmisbruik of blijvende schade	Schade > €100.000	Boetes, rechtszaken, structureel vertrouwen-verlies	5	10	15	20	25

Tabel 3: Risicoscores: drempelwaarden en definities

Kleur	Range	Risico	Definitie
Groen	1 – 3	Laag	Voor dit risico hoeven geen extra maatregelen getroffen te worden
Geel	4 – 7	Acceptabel	Risico is alleen acceptabel als er reeds maatregelen voor zijn getroffen; bij initieel geel risico mitigeren
Oranje	8 – 14	Hoog	Risico is onacceptabel en moet gemitigeerd worden ter reductie
Rood	15 – 25	Onaanvaardbaar	Risico dient in alle gevallen gemitigeerd/vermeden te worden

1.6.1.3. Kansen & Blootstelling

De kans van bedreigingen kan op verschillende manieren worden beoordeeld. Hierbij ligt de focus niet op exacte voorspellingen, maar op het onderbouwd inschatten van risico’s op basis van beschikbare informatie. Er zijn 3 factoren die voornamelijk van invloed zijn:

1. Historische incidentdata
   • Heeft dit type incident zich eerder voorgedaan?
   • Binnen de sector? Binnen vergelijkbare organisaties?
   • Referentie: dreigingsbeeld rapporten (zoals eerder benoemde rapportages van BleepingComputer).
2. Blootstelling
   • Hoe vaak draaien de beoogde systemen?
   • Hoeveel systemen/componenten/gebruikers zijn betrokken?
   • Is het systeem publiek toegankelijk (denk ook aan indirecte blootstelling, zoals via leveranciers, VPN-access, monitoring interfaces, misconfiguraties)?
3. Dreigingsactor & motivatie

   • Wie zou dit risico willen misbruiken? (state actor, cyber crime, insider)

   • Is er een financieel, ideologisch of geopolitiek motief?

Als simpele voorbeeldsituatie kan een phishingaanval op een basisschool genomen :

1. Historie: dit type aanval komt regelmatig voor in de sector, en de aanleiding (meestal financiële afpersing) blijft;
2. Blootstelling: het aantal betrokken gebruikers ligt vaak in de honderden, en vooral kleine instanties hebben niet altijd sterke veiligheidsmaatregelen (bijv. onbeveiligde printers in een anderszins gesloten netwerk);
3. Motivatie: de acteur is meestal een eenvoudige cybercrimineel met financieel motief.

Deze factoren wijzen allemaal op een hoge waarschijnlijkheid, en dit risico zou dus kansscore 4 toegekend worden.

1.6.1.4. Meest voorkomende dreigingen en kwetsbaarheden

Het doel van dit onderdeel is het opstellen van een praktisch toepasbare lijst van veel voorkomende kwetsbaarheden en dreigingen die gebruikt kunnen worden als input voor een risico assessment. Deze kunnen opgedeeld worden in 4 hoofdcategorieën: technische kwetsbaarheden, menselijke kwetsbaarheden, organisatorische kwetsbaarheden, en veel voorkomende bedreigingen:

1. Technische kwetsbaarheden (NIST, ENISA, CIS Controls)

• Ongepatchte software
• Verouderde systemen
• Onvoldoende logging en monitoring

2. Menselijke kwetsbaarheden (ENISA Threat Landscape, Verizon DBIR)

• Phishing en social engineering
• Zwakke wachtwoord praktijken
• Zwakke security awareness
• Misconfiguraties door menselijke fouten

3. Organisatorische kwetsbaarheden (ISO 27001/27005, NIS2-context)

• Gebrek aan incident response plannen
• Onduidelijke verantwoordelijkheden
• Onvoldoende leveranciersbeheer

4. Veelvoorkomende bedreigingen (ENISA, NCTV, MITRE ATT&CK)

• Ransomware
• (Spear) phishing
• DDoS-aanvallen
• Supply chain attacks
• Insider threats
• Hacktivisme
• Statelijke aanvallen

Niet ieder risico is overal relevant (context, zoals sector en grootte, is relevant), maar een lijst als deze kan gebruikt worden als checklist bij risico-identificatie omdat hij gebaseerd is op erkende standaarden.

1.6.2. Opdracht B

Voor deze opdracht moesten we een presentatie maken, en hebben we de volgende slide gemaakt:
![][image3]

1.6.2.1. IT & OT

Information Technology (IT) is een term die gebruikt wordt als er gepraat wordt over de studie of gebruik van computers of andere telecommunicatieapparaten wat informatie opslaat, creëert of uitwisselt. Deze informatie kan iets zijn zoals foto- , tekst-, video- of spraakbestanden. De term wordt ook vaak gebruikt als er over een datanetwerk wordt gepraat.

Operation Technology (OT) is de term die gebruikt wordt voor het software- of hardwarematig monitoren of besturen van industriële apparatuur. OT is vitaal op lekken zoals energiecentrales of fabrieken en zelfs kassasystemen.

Terwijl IT meer data-operaties gericht is, is OT meer gericht op echte hardware en het correct beheren van. Wat het verbindt is dat het beide over dezelfde infrastructuur communiceert, zoals routers, switches of wireless access points. Hier heeft OT toch weer een verschil mee met hoe moduleer- en weerbaar de hardware moet zijn. Een router moet bijvoorbeeld op de rails worden gezet of een hardere case hebben om tegen een stootje te kunnen.

Voorbeelden van IT systemen zijn meer “interne” systemen zoals servers, communicatieprotocollen, e-mail of data centers. Voorbeelden van OT systemen zijn meestal meer “out and about”, zoals systemen in warenhuizen, buiten op parkeerplekken zoals parkeer- en pinautomaten of sensoren op olieplatformen en mijnbouw operaties.

Waar het dus bij IT meer draait om het veilig en in stand houden van de data en communicatie zelf, draait het bij OT meer om het in tact houden van en de monitoring van de uitrusting. Hoewel fysieke en digitale factoren beide erg belangrijk zijn, hebben fysieke problemen een visueel aspect, wat makkelijker gespot kan worden.

Als het gaat om IT is alles digitaal, wat zonder een goed monitorsysteem lastig wordt om in de gaten te houden. Nog steeds is IT makkelijker te hanteren dan OT omdat het minder invloed heeft op fysieke aspecten. Fysieke veranderingen of invloeden zijn soms lastig te voorspellen. Een aardbeving, waterlek, of gewoon slijtage kan grote gevolgen hebben op een OT systeem. Hierom is een OT systeem moeilijker te hanteren dan een IT systeem.

Alhoewel IT en OT grotendeels 2 losse werkgebieden zijn, begint het tegenwoordig richting elkaar te groeien. De “IT/OT convergence”. Dit zou de downtime kunnen verminderen met OT, maar het komt ook met de security risico’s van IT.

1.6.2.2. Standaarden

NIST SP-800-30 is een standaard die zich vooral richt op risicoanalyses van informatiesystemen. Het beschrijft hoe dreigingen, kwetsbaarheden en de impact hiervan geïdentificeerd moeten worden. Het doel hiervan is om risico’s overzichtelijk te maken zodat een organisatie makkelijk beslissingen kan maken over beveiligingsmaatregelen.

ISO 27001 gaat over hoe ieder bedrijf een niveau aan informatiebeveiliging kan opzetten, implementeren, onderhouden en verbeteren. Het maakt niet uit hoe groot het bedrijf is of in welke sector het zich bevindt, ieder bedrijf kan deze ISO gebruiken om iets werkbaars te maken. Deze manier van aanpak om een “Information Security Management System”, of ISMS genoemd.

ISO 27005 zelf beschrijf geen methode van over hoe je de beveiliging van een informatiesysteem aan kan pakken, maar het richt zich meer op de eisen hoe een organisatie informatiebeveiliging moet oprichten.

Dus kort samengevat, ISO 27001 beschrijft hoe je informatiebeveiliging uitvoert, ISO 27005 beschrijft wat je moet doen voor een goede informatiebeveiliging en NIST SP-800-30 laat zien hoe je het kan aanpakken.

Verdere verdieping over deze standaarden is niet mogelijk, aangezien die achter een paywall zitten.

1.6.2.3. Hoe pak je dit aan bij een bedrijf?

De aanpak van een risicoanalyse opstellen bij een bedrijf zal als volgt gaan:
Allereerst wordt er bepaald wat een bedrijf wil beschermen. Dit verschilt van bedrijf tot bedrijf. Voor een webshop kan dit bijvoorbeeld de webapplicatie zijn die op een server staat. Voor een bank of verzekeringsfirma zal dit een database met persoons- of transactiegegevens zijn die in een database staat. Ten slotte kunnen er op offshore boorplatformen generatoren, noodaggregaten of het controlesysteem van de gasleidingen zijn die niet zomaar toegankelijk moeten zijn.

Hierna worden de risico’s van deze asset geïdentificeerd. Voor dit voorbeeld wordt er een database met persoonsgegevens gepakt. Deze database kan:

• Gehackt worden door middel van:
  • Ransomware
  • Een phising aanval
• Stoppen door een stroomuitval
• Waterschade oplopen
• Fysiek gestolen worden
• Stoppen doordat de server oververhit
• Per ongeluk gewiped worden

Naast de risico’s moeten er kwetsbaarheden ondervonden worden. Als voorbeeld kan dit het volgende zijn:

• Out of date software
• Slecht afgestelde rechten
• Slecht beveiligde omgeving (fysiek)
• Slecht of ongetrainde mensen

Al deze risico’s en kwetsbaarheden moeten rekening mee gehouden worden en gedocumenteerd, zodat hiervoor plannen opgezet kunnen worden om deze dan goed af te handelen.
De afhandeling hangt af van de aard en eigenschappen van het risico, zoals hoe groot de impact is op de BIV: Beschikbaarheid, Integriteit, Validiteit. Des te groter de impact op deze 3 aspecten, des te meer er afgewogen moet worden.
Dus of je nu het risico gaat stoppen, accepteren en leert omgaan met de consequenties, mitigeert of overdraagt aan een andere partij, hangt af van wat het beste werkt voor dat risico. Om al deze risico’s op een overzichtelijke manier te visualiseren (en zodat je cliënt het ook makkelijk kan overzien) worden deze in een zogeheten “bow-tie” diagram gezet.

1.6.2.3. BOW-TIE diagram

Hieronder hebben we de bow tie gemaakt voor het top event “Loss of system control”.
Ik kan nu de hele bow tie gaan vertellen in tekst, maar dat lijkt me niet heel nuttig. De linkerkant zijn de “Threats”, dit zijn de gevaren die kunnen zorgen voor de Loss of system control. De rechterkant zijn de consequenties van wat er gebeurt als er loss of system control is, wat er dan kan gebeuren. Nou, nu kunt u natuurlijk zelf lezen wat er allemaal in staat. Maar voor het geval dat er een corruptie is in het plaatje zet ik ze hier even op een rijtje.

Threats:

• Phising attack
• Onbevoegde systeemtoegang
• Serverbrand
• Database crash
• Stroomuitval bij de servers

Consequences:

• Patiëntgegevens zijn niet beschikbaar
• Verkeerde medicijnen worden toegewezen
• Datalek
• Reputatieschade
• Database Verloren

![][image4]

1.6.3. Opdracht C

1.6.3.1. Risicomatrix en tabel

Zoals eerder vermeld hebben we voor deze opdracht gekozen voor casus B (huisartsenpraktijk). Hiervoor hebben we al een BOW-tie gemaakt, maar nu gaan we er nog wat dieper op in. We hebben gebrainstormd over dreigingen waar deze organisatie tegenaan loopt. Aan de hand van alle mogelijke risico’s hebben we een top 10 risicoregister gemaakt om de risico’s overzichtelijk te maken.

![Risicoinschatting tijdens de DPIA][image5]

Risico	Actueel			Uiteindelijk
	K	I	R	K	I	R
Phishing leidt tot datalek patiëntgegevens	5	5	25
Ransomware legt het systeem plat	4	5	20
Storing bij leverancier	3	4	12
Brand in serverruimte	1	5	5
SQL-injections	3	4	12
DDoS-aanval	3	4	12
Elke medewerker kan overal bij	4	3	12
Zwakke wachtwoorden van medewerkers	5	3	15
Foutieve invoer door medewerker	4	4	16
Gestolen laptop van medewerker	2	3	6

1.6.3.2. Conclusie en reflectie

Zoals we in opdracht B en C hebben bevonden zijn er heel wat bedreigingen en consequenties. Verder konden we ook zien wat er in de praktijk nou echt gebeurt. Want er is al een keer een apotheek gehackt. De CM-zorgketen is in 2024 gehackt, dit is een Belgische apotheek. Hierbij waren de consequenties dat de apotheken niet de digitale voorschriften van patiënten konden raadplegen, en kon je niet met bancontact betalen.
Als we kijken naar dit verhaal zien we wel correlaties met onze bow-tie en risicoanalyse.
Bron.

Het probleem van deze opdracht (A+B+C) is dat ze deels overlap hebben, maar zo groot is dat het eigenlijk opgesplitst moest worden over groepsgenoten. Dit zorgde ervoor dat het werken aan deze opdracht niet echt soepel liep omdat C gemaakt werd voordat A en B af waren. Hiervan heb ik geleerd.

1.7. Workshop 5: Beveiligingsmaatregelen

1.7.1. Opdracht A

1.7.1.1. ISO 27002 Maatregelen

Voor deze opdracht hebben we de ISO 27002 standaard gebruikt. Deze standaard bestaat uit 4 categorieën waaruit we 1 maatregel per categorie hebben gekozen. Voor elke maatregel hebben we een voorbeeld bedacht.

Organisatorische beheersmaatregelen
Dit onderdeel is helaas niet beschikbaar in het document

Mensgerichte beheersmaatregelen
Zorg dat je voor het aannemen van personeel een goede screening uitvoert. Denk hierbij aan: eerdere referenties, controle van CV, onafhankelijke identiteitscontrole (overheidsinstantie) en controle op strafblad en kredietwaardigheid.

Fysieke beheersmaatregelen
Zorg dat alleen personen toegang hebben tot ruimtes waar ze ook echt werkzaamheden moeten uitvoeren. Maak gebruik van elektronische toegangscontrole met logging. Zorg dat de ontvangstruimte van het gebouw wordt gemonitoord door een receptioniste of beveiliging. Zet belangrijke objecten in afgesloten ruimtes

Technologische beheersmaatregelen
Zorg ervoor dat je systeem is opgedeeld in losse “kamers”. Geef alleen de personen toegang tot deze “kamers” die hier ook daadwerkelijk werkzaamheden in uitvoeren. Zorg dat rechten worden ingetrokken bij het veranderen van functie of na ontslag.

1.7.1.2. NIST Framework

Ook is er gekeken naar de NIST cybersecurity framework. Deze geeft richtlijnen om gecontroleerd om te gaan met een risico/dreiging. Ook moeten er protocollen geschreven worden voor na een cyberaanval. Zo kan een bedrijf gestructureerd reageren in plaats van de reactieve techniek.

1.7.1.3. Operating System Hardening

In Windows 11 is tegenwoording “hardening” geen keuze meer maar een must. Het beschikt over een ingebouwde virusscaner welke verdachte downloads en acties detecteerd en blokkeerd. Ook bestaat de mogelijkheid tot het gebruiken van pass-keys. Dit is een nieuwere manier van beveiliging door middel van ook hardware ipv alleen software zoals de eerdere codes of vingerafdruk. Ook wordt er voort gescand of dat bepaalde instellingen niet ongevraagd veranderd worden door updates of bijvoorbeeld malware. Mijn eigen laptop beschikt over Windows 11 waardoor de bovengenoemde beveiligingen aanwezig zijn. Ik vind dit een erg goede vooruitgang op eerdere windows versies.

Voor Ubuntu is hardening goed ondersteund en voor een groot deel standaard geregeld. Belangrijke lagen zoals AppArmor‑profielen, weinig/geen open poorten by default, automatische security‑updates via unattended‑upgrades, ASLR en compiler‑/kernel‑hardening staan standaard aan. Met de Ubuntu Security Guide (USG) kun je profielen auditen en hardeningbenchmarks toepassen; met Ubuntu Pro krijg je extra’s zoals ESM en livepatch. Ubuntu Pro is “always free for personal use”, dus de basis‑securityfeatures zijn niet beperkt tot betalende gebruikers. Verder ondersteunt Ubuntu Secure Boot; dit voorkomt het laden van niet‑gesigneerde bootloaders/kernels/boot‑drivers. Hierbij ga ik meenemen dat ik me ga inschrijven voor Ubuntu Pro zodat ik de extra optionele security features heb.

Arch Linux heeft geen standaard “one‑click” hardening, maar wel uitstekende documentatie, up‑to‑date richtlijnen en een toolchain die veel mitigaties ondersteunt. De ArchWiki dekt principes zoals “least privilege”, “defense‑in‑depth”, wachtwoordbeleid, schijf‑encryptie en andere praktische hardening‑tips. Je moet dit wel zelf regelen. Dat betekent: zelf een firewall configureren, AppArmor (of SELinux) aanzetten en profielen maken voor risicovolle apps. Verifieer binaire hardening met checksec/namcap en minimaliseer je aanvalsoppervlak door alleen noodzakelijke diensten te laten draaien. Hierbij ga ik meenemen dat ik nog even door de “security” tab van de ArchWiki heen moet gaan om te controleren of mijn security up-to-date is.

1.7.1.4. Insider Threats

Voor het laatste onderdeel van de opdracht hebben we gekeken naar “insider threats”. Dit is wanneer een intern persoon kwade intenties ontwikkelt en van binnenuit het bedrijf saboteert. Om dit probleem te voorkomen hebben we enkele maatregelen bedacht.

Preventieve maatregelen
Zorg dat een medewerker alleen bij kan waar hij bij hoort te kunnen (mensen van finance hoeven niet in de servers te kunnen). Cruciale acties die nadelige gevolgen kunnen hebben, moeten altijd door 2 personen worden uitgevoerd (verwijderen van back-ups etc.)

Detectieve maatregelen
Gebruik een systeem dat bij verdachte werkzaamheden een bericht geeft. Denk hierbij aan iemand die midden in de nacht inlogt. Zorg dat de logs niet te wijzigen zijn. Zo kan altijd teruggekeken worden wat er door wie is gedaan

Response / Herstelmaatregelen
Maak regelmatig back-ups, zo kunnen na een aanval de bestanden snel teruggezet worden. Maak een procedure waarbij iemand zijn rechten compleet ingetrokken kunnen worden bij verdenking van sabotage

1.7.2. Opdracht B

Ter aanvulling op het eerder opgestelde bowtie-model zijn mitigerende maatregelen onderzocht, gericht op zowel de geïdentificeerde bedreigingen als de mogelijke consequenties. Deze maatregelen zijn uitgelijnd in de onderstaande tabel en geordend in een Defense in Depth-model, waarbij beveiliging wordt opgebouwd uit meerdere, elkaar versterkende lagen. Een deel van deze maatregelen is direct verwerkt in het bowtie-diagram.

ID	Maatregel
M1	Server redundancy
M2	Backup generatoren
M3	Koelsystemen
M4	Voorlichting & Personeelstraining
M5	Rate-limiting
M6	Security monitoring
M7	Waarschuwingen bij emails uit externe organisaties
M8	Frequente identificatie en authenticatie
M9	Error logging
M10	Actief systeembeheer
M11	Standaard security requirements (e.g. bescherming tegen SQL-injection)
M12	Meervoudige dataencryptie
M13	Consistente backupstrategie
M14	Role-based access control
M15	Response-protocol trainen
M16	Inlichten van patiënt/cliënt

![][image6]

![][image7]

Nadat deze maatregelen toegepast worden op de risicolijst uit de eerdere opdracht, aan de hand van de eerdere risicomatrix, zullen de oorspronkelijke risicoscores verlaagd worden naar de Gewenste scores te zien in de onderstaande tabel:

Risico		Mitigaties	Actueel			Gewenst
			K	I	R	K	I	R
1	Spear phishing leidt tot datalek patiëntgegevens	M4, M7, M8, M14	5	5	25	2	3	6
2	Mal-/ransomware-infectie legt het systeem plat	M1, M4, M6, M7, M9, M10, M11, M12, M13, M14, M15	4	5	20	3	2	6
3	Storing elektriciteitsnet	M1, M2, M3, M9	3	4	12	1	2	2
4	Brand in serverruimte	M1, M3, M10, M13	1	5	5	1	3	3
5	Gegevens worden gewijzigd via SQL-injection	M5, M11, M14	3	4	12	1	2	2
6	Servers worden getroffen door DDoS-aanval	M1, M5, M6	3	4	12	1	2	2
7	Geen RBAC in systeemconfiguratie	M6, M8, M14	4	3	12	1	4	4
8	Account compromise via zwakke authenticatie	M4, M5, M6, M7, M8, M14	5	4	20	2	2	4
9	Foutieve invoer door medewerker	M4, M16	4	4	16	2	3	6
10	Diefstal van bedrijfsapparatuur	M1, M4, M6	3	3	9	2	2	4

1.8. Debat voorbereiding

1.8.1. Impact van incidenten

1.8.1.1. Impact van incidenten op individuen

Privacy:
Door incidenten zoals datalekken of een hack kunnen persoonlijke gegevens van mensen worden gelekt. Dit zijn gegevens zoals: adres, BSN-nummer of andere soorten gegevens die persoonlijk zijn. Deze gegevens kunnen worden gebruikt om misbruik te maken van mensen. Bijvoorbeeld om geld te krijgen.

Financiële schade:
Als wordt gekeken naar de financiële schade dan hebben we het vooral over gegevens van rekening of banknummers die worden misbruikt. Door bijvoorbeeld een hack kunnen mensen direct slachtoffer worden en kunnen ze dus veel geld verliezen.

Reputatie:
Als mensen weten dat persoonlijke gegevens gelekt zijn, kan dit zorgen voor veel stress. Het kan een onveilige omgeving creëren. Het vertrouwen in de digitale wereld zal wegzakken. Het kan bijvoorbeeld veel stress opleveren voor mensen als zij ontdekken dat gegevens zijn gelekt. Dit creëert zorgen.

1.8.1.2. Impact van incidenten op organisaties

Continuïteit van organisatie:
Door een hack kunnen processen binnen een organisatie stilvallen. Dit komt bijvoorbeeld doordat er geen toegang meer is tot bepaalde klantgegevens. Doordat processen binnen een bedrijf stilvallen kan dit gelijk zorgen voor veel financiële schade voor organisaties.

Juridische claims:
Als er een datalek plaatsvindt dient dit gemeld te worden aan betrokkenen en aan de autoriteit persoonsgegevens. Hieruit kan blijken dat de beveiliging van persoonsgegevens niet voldoende was. Als dit het geval is kunnen er boetes worden uitgedeeld aan de organisatie. Ook is het zo dat slachtoffers schadeclaims kunnen doen als zij slachtoffer zijn geworden van bijvoorbeeld een data lek

Reputatie:
De reputatie van organisaties kan erg zakken na een datalek of een hack. Deze incidenten zorgen namelijk voor minder vertrouwen bij klanten en andere betrokken partijen. Dit kan leiden tot klantenverlies, maar er wordt natuurlijk ook minder geld verdiend. De kans dat bedrijven of organisaties in het nieuws komen na een incident is aanwezig, zo is de kans op nieuwe klanten ook minder groot.

1.8.1.3. Impact van incidenten op de maatschappij

Vertrouwen in digitale systemen:
Datalekken of hacks zorgen ervoor dat mensen het vertrouwen verliezen in digitale systemen. Ze zijn minder zeker over dingen zoals internetbankieren of de veiligheid van persoonlijke gegevens die online staan. Als grote bedrijven worden gehackt waar veel mensen klant van zijn, zorgt dit voor grote schrik in de maatschappij. Ook zullen veel mensen overwegen om over te stappen en klant te worden bij een ander bedrijf.

Afhankelijkheid van technologie:
Tegenwoordig is iedereen meer afhankelijk van technologie. Het wordt dagelijks gebruikt voor allerlei processen op werk, maar ook buiten werktijden. Bijvoorbeeld online dingen bestellen. Hierdoor zijn we ook erg afhankelijk van een veilige digitale omgeving. Als deze online veiligheid niet geboden kan worden, kan dit veel gevolgen hebben voor bijvoorbeeld de privacy in de maatschappij.

Publieke veiligheid:
Een datalek of een hack kan ook impact hebben op de publieke veiligheid. Er zijn namelijk bepaalde sectoren waar cybercriminaliteit directe gevolgen kan hebben op burgers van het land. Dit is bijvoorbeeld de gezondheidszorg. Een hack kan bijvoorbeeld impact hebben op medische apparatuur, waardoor dit gevaar kan opleveren voor patiënten.

1.8.1.4. Drie recente incidenten uit Nederland

Zie 1.8.1.5 voor analyse en bronnen van genoemde incidenten

De hack op Odido:
De systemen van Odido zijn gehackt. De hackersgroep dreigt gegevens van klanten openbaar te maken als er geen geld wordt betaald door Odido. Dit heeft impact op de privacy van de klanten omdat er wordt gedreigd met het verspreiden van gegevens van klanten zoals namen en e-mailadressen. Verder levert dit reputatieschade op voor Odido omdat het bedrijf nu veel kritiek krijgt in de media. Ook zorgt het voor het verlies van vertrouwen van de klanten, omdat zij verwachten hiertegen beschermd te worden.

Dataroof bevolkingsonderzoek:
In 2025 is er een dataroof gedaan tijdens een bevolkingsonderzoek. Door deze roof zijn de gegevens van ruim 700 duizend vrouwen gestolen. Ook dit incident zal impact hebben op de privacy van de vrouwen. Omdat bepaalde gegevens zijn gelekt en gestolen. Ook kan het onzekerheid veroorzaken bij de vrouwen omdat ze niet weten wat er met de gegevens zal gebeuren. Het kan zo zijn dat de vrouwen schadeclaims willen en het bedrijf daarmee onderdruk zetten

RIVM-website gehackt:
De website van het RIVM was voor de zekerheid offline gehaald, omdat onbekenden op de website onjuiste informatie probeerden te verspreiden. De website werd offline gehaald om deze verspreiding tegen te gaan. Dit zorgde voor onzekerheid voor mensen doordat ze nepberichten zagen op de website. Voor de organisatie werden hierdoor de werkzaamheden gehinderd. Kijken naar de impact op de maatschappij kan het zorgen voor het verlies van vertrouwen door de gelezen nepberichten op de website van het RIVM.

1.8.1.5. Bronanalyse

1) Odido-datalek

• Criminelen hebben toegang gekregen tot een klantcontactsysteem van Odido en klantgegevens ingezien en gestolen (zoals naam, adres, e-mail, geboortedatum, IBAN-nummers, identificatiegegevens).
• Volgens berichtgeving deden de hackers dit via een “ouderwetse” phishingtruc waardoor medewerkers inloggegevens hebben prijsgegeven en MFA-beveiliging werd omzeild.
• Odido meldt dat wachtwoorden, facturatiegegevens, en belgegevens niet zijn gelekt.
• De aanval wordt toegeschreven aan een bekende criminele groep (ShinyHunters) die data op het dark web publiceert en de organisatie afperst.

2) Bevolkingsonderzoek Nederland (Clinical Diagnostics)

• Hackers drongen begin juli het systeem van een extern laboratorium binnen en stalen gevoelige persoonsgegevens van deelnemers aan bevolkingsonderzoeken (o.a. naam, adres, BSN-nummer, testresultaten).
• Het totaal aantal betrokken gegevens is sinds de eerste melding uitgebreid naar mogelijk 700.000-900.000 personen.
• Er loopt een onafhankelijk onderzoek naar hoe dit heeft kunnen gebeuren en welke beveiligingsmaatregelen tekortschoten.
• De gegevens van zeker 715.000 vrouwen zijn gelekt
  • Uit een disclosure van laboratorium Clinical Diagnostics uit Rijswijk blijkt dat dit 850.000 gelekte datasets zijn.

3) RIVM (Rijksinstituut voor Volksgezondheid en Milieu)

• De officiële website van het RIVM werd op 14 oktober 2025 tijdelijk offline gehaald na een hack. De organisatie nam de site bewust uit de lucht zodra de aanval werd opgemerkt.
• Onbekenden slaagden erin om via een kwetsbaarheid in een webformulier of externe plug-in berichten en content op de website te plaatsen.
• Hierdoor verschenen Engelstalige teksten en niet-authentieke berichten op de site.
• Het RIVM meldt dat er geen persoonsgegevens zijn gelekt en dat de hackers géén toegang tot interne data hebben gehad.
• De kwetsbaarheid is gedicht en de site is weer operationeel.
• Wat is niet publiek gemaakt?
  • Er zijn geen officiële, technische details over de exacte oorzaak, exploit-vector of gebruikte tools/technieken door het RIVM zelf gepubliceerd.
  • Dit is gebruikelijk bij organisatorische incidentrapportages; volledige technische forensische resultaten worden zelden gedeeld in publieke media of persberichten.

1.8.2. Maatregelen en afwegingen

1.8.2.1. Onderzoek

Als we kijken naar wat voor maatregelen er zijn kunnen we dit samenvatten in 4 soorten. Technische maatregelen zijn maatregelen die met technologie of systemen te maken hebben. Dit is gericht op beveiliging van de infrastructuur en de IT.
Mensgerichte maatregelen zijn gericht op dat de medewerkers bewust worden door trainingen etc. Organisatorische maatregelen zijn maatregelen die te maken hebben met het beleid, organisatie, procedures of structuur. Procesmatige maatregelen zijn maatregelen die de processen veranderen. Bedrijfs processen in de IT, maar ook met mensen onderling. Denk vooral aan procedures.
Hieronder heb ik een lijst met maatregelen per categorie.

Technische maatregelen

• Installeer software updates
• Zorg dat elke applicatie en elk systeem voldoende logging informatie genereert
• Multi factor authentication
• Toegangs­niveaus en rollen
• Segmenteer netwerken
• Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
• Versleutel opslagmedia met gevoelige bedrijfsinformatie
• Maak regelmatig back-ups en test de back-ups

Mensgerichte maatregelen

• Uitleg aan collega’s over veiligheid
• Houd phishing-simulaties om bewustwording te testen
• Stimuleer een open cultuur waarin medewerkers incidenten durven melden (Soft Controls)
• Organiseer workshops over privacy, wachtwoordbeheer en veilige data­opslag
• Communiceer regelmatig over actuele dreigingen en tips

Organisatorische maatregelen

• Maak een risicoanalyse
• Maak een bow-tie diagram
• Stel een incident response-plan of crisisplan op
• Maak een privacybeleid (AVG)
• Stel een security officer aan
• Maak een disaster recovery plan
• Houd regelmatig interne audits of controles op naleving van procedures

Procesmatige maatregelen

• Zorg voor een procedure voor het melden van beveiligingsincidenten
• Voer periodieke autorisatie-reviews uit (check of gebruikers nog de juiste rechten hebben)
• Automatiseer patchmanagement of monitoring-processen

1.8.2.2. Waarom kiezen organisaties soms niet voor de veiligste optie?

Organisaties willen zich doorgaans goed beveiligen, maar in de praktijk moeten ze voortdurend afwegen welke maatregelen haalbaar en betaalbaar zijn. Kosten, tijd, personele capaciteit en weerstand bij medewerkers spelen daarbij een grote rol. Daardoor wordt soms niet gekozen voor de “veiligste” oplossing, maar voor een balans tussen veiligheid en werkbaarheid.

Technische maatregelen
Technische maatregelen brengen vaak hoge kosten met zich mee, licenties, hardware of inhuren van deskundige experts. Niet elk bedrijf kan constant investeren in nieuwe systemen, updates of specialisten. En als er al een tekort aan personeel is, kan het ook nog uitgesteld worden.

Mensgerichte maatregelen
Bij mensgerichte maatregelen speelt weerstand een grote rol. Medewerkers kunnen beveiligingsinstructies als lastig of overbodig ervaren. Een concreet voorbeeld hiervan is het gebruik van 2FA of het volgen van verplichte trainingen. Verder onderschatten veel mensen risico’s (“het zal ons toch niet overkomen”). En zelfs als mensen willen meewerken, kan het in de praktijk lastig zijn om van gedrag te veranderen.

Organisatorische maatregelen
Deze maatregelen vragen vaak veel administratie, overleg en beleid. Een incident response-plan of een uitgebreide risicoanalyse opstellen kost niet alleen tijd, maar ook expertise. Bij kleine organisaties is er vaak niemand die deze taken op zich kan nemen, of de toegevoegde waarde wordt pas gezien nadat er een incident is geweest.

Procesmatige maatregelen
Procesmatige maatregelen vereisen dat bestaande werkwijzen worden aangepast. Dat kan leiden tot weerstand bij medewerkers of managers die liever vasthouden aan bekende routines. Ook kan het proces complexer of trager worden, zeker als extra controles en autorisatie stappen worden toegevoegd.

Conclusie
In de praktijk kiezen bedrijven vaak voor een compromis: ze voeren de goedkopere, eenvoudigere maatregelen wel uit, maar laten de duurdere of tijdrovende maatregelen liggen. Dat is begrijpelijk, want een organisatie kan niet al het budget aan beveiliging besteden. Uiteindelijk gaat het om het vinden van een evenwicht tussen risico’s verminderen en de dagelijkse bedrijfsvoering mogelijk houden.

1.8.2.3. Welke maatregelen zijn effectief tegen jullie gekozen incidenten?

Als we kijken naar onze gekozen incidenten zien we maar een paar van de getroffen maatregelen. We kunnen niet inzien wat de preventieve maatregelen waren die het bedrijf heeft genomen, maar we kunnen wel zien welke reactieve maatregelen genomen zijn.

Odido heeft laten weten dat 2FA omzeild was, dus hieruit kunnen we zien dat multi factor authenticatie een preventieve maatregel was die ze hebben genomen. Ook zien we dat ze als reactieve maatregel alle kanten een antiviruspakket hebben gegeven van 2 jaar van F-secure.
Bevolkingsonderzoek heeft als reactieve maatregelen openbaar meegedeeld wat er gebeurd is.

RIVM heeft als reactieve maatregel de website direct offline gehaald en het neppe nieuws verwijderd.

Nu is het dus moeilijk om te zeggen welke maatregelen effectief zouden zijn aangezien we niet weten welke maatregelen ze nog meer hebben getroffen. Maar ze hebben alle 3 het openbaar gemaakt om mensen te informeren, dat is een goede maatregel. Multi factor authenticatie is een goede maatregel in de meeste gevallen, maar bij Odido weten we dat dat omzeild is, dus is dit niet een perfecte maatregel in dit geval. En in het geval van Odido zouden mensgerichte maatregelen juist goed zijn aangezien het kwam door social engineering.

1.8.3. Governance en organisatie

1.8.3.1. Hoe organiseer je cybersecurity binnen een organisatie?

De cybersecurity per organisatie is verschillend. Het hangt af van de 3 K’s:

• Kwetsbaarheden
• Kwaadwillenden
• Kroonjuwelen.

Door vast te leggen wat deze zijn wordt er in kaart gebracht wat de risico’s zijn binnen een organisatie en wat ermee gedaan moet worden.

Een meer methodische manier van risicoanalyse kan als volgt:

• Bepaal wat je wilt beschermen
• Identificeer de risico’s
• Analyseer de gevonden risico’s
• Besluit hoe je gaat hanteren (Accepteren, oplossen, overdragen of stoppen)

Het onderhouden van deze procedures en beveiligingen moet vastgelegd worden in een Information Security Management System, of ISMS.

1.8.3.2. Wat is de rol van beleid, normen, wetgeving en het ISMS?

Een beleid zorgt ervoor dat werknemers van een organisatie zich aan de juiste richtlijnen houden als het gaat om veiligheid door middel van wat je wel en niet moet doen. Denk bijvoorbeeld aan:

• Je laptop locken als je wegloopt
• Een verantwoordelijke aanwijzen
• Hoe mensen met gevoelige data moeten omgaan

Normen zoals ISO 27001/27005 vertellen ons hoe je informatiebeveiliging het beste kan uitvoeren en wat je moet doen om een acceptabel niveau aan informatiebeveiliging te hebben.

Wetgevingen zijn ingesteld zodat alle organisaties een gelijk speelveld hebben met beveiliging, AKA niemand heeft een concurrentieel voordeel.

• De AVG wet is ingesteld om de beveiliging van persoonsgegevens en andere gevoelige persoonlijke informatie te stimuleren
• NIS2 of de cyber beveiligingswet (CBW) zegt dat Europese bedrijven een directe communicatielijn moeten hebben om incidenten te rapporteren.

Het ISMS, zoals voorheen kort benoemd is gemaakt om informatiebeveiliging in stand te houden en hoe dit het beste onderhouden kan worden (zoals beschreven in ISO 27001).

1.8.3.3. Hoe kan governance helpen voor acceptatie en implementatie van maatregelen?

Governance gaat over het beleid, normen of regels om cyber veilig te worden. Acceptatie hierin kan komen door bijvoorbeeld het vermelden van fouten van mensen niet te bestraffen. Hierdoor worden er meer fouten gemeld en is de kans op een breuk van veiligheid verminderd.
Implementatie kan gestimuleerd worden door wetten vast te leggen wat organisaties verplicht om een acceptabel niveau aan cyberveiligheid te hebben. Als deze voor een langere periode van kracht zijn, wordt het vanzelf normaal en dus ook meer voorkomend.

1.8.3.4. Korte schets verbetering governance in Avans

• We denken dat Avans als organisatie best sterk staat in hun beveiligingsmaatregelen
• Hierom is vooral de studentenafdeling een aandachtspunt/zwakke plek (ondanks het feit dat de studenten omgeving waarschijnlijk volledig gescheiden is van de organisatie-brede systemen, als preventative measure)
• Wat voor maatregelen: algemene studentenvoorlichting (soft controls) en evt. Verplichtingen (hard controls), afgezien van afdeling/curriculum (vooral informatica-gerelateerde studies krijgen de voorlichting via lesstof/MVP eisen)
  • Niet alleen voordelig voor de organisatie maar ook voor het individu
  • Stel ze evt. aansprakelijk bij incidenten door negligence

1.8.4. Weerstand tegen cybersecurity

Cybersecuritymaatregelen worden niet altijd geaccepteerd door medewerkers, management, of klanten. Hiervoor zijn 2 hoofdoorzaken:

1.8.4.1. Disproportionele Impact

Cybersecuritymaatregelen brengen altijd impact met zich mee. Deze impact kan verschillende vormen aannemen:

• Financiële kosten
  • Investeringen in software, hardware, en beveiligingssystemen;
  • Inhuur van specialisten of ontwikkelaars.
• Tijdsinvestering
  • Analyse, ontwerp, en implementatie;
  • Onderhoud, updates, en monitoring;
  • Training van personeel.
• Operationele impact
  • Extra stappen in werkprocessen (bijv. frequente authenticatie);
  • Complexere netwerk- of toegangsstructuren.
• Fysieke en organisatorische impact
  • Inrichting van beveiligde ruimtes;
  • Beperking van beschikbare ruimte of herindeling van werkplekken.

Aandachtspunten:

• Implementatie is altijd een risico-kostenafweging. Niet iedere organisatie beschikt over voldoende middelen (budget, tijd, ruimte) om alle maatregelen te realiseren;
• Onvoldoende doordachte maatregelen kunnen worden omzeild als ze inefficiënt of onpraktisch zijn;
• Te hoge gebruiksbelasting (bijv. complexe of frequent wijzigende wachtwoorden) kan leiden tot risicovol gebruikersgedrag;
• Volledige risicodekking is niet haalbaar; prioritering op basis van risicoanalyse is noodzakelijk.

1.8.4.2. Onwetendheid & Risicoperceptie

In sommige gevallen wordt geen bewuste afweging gemaakt vanwege een gebrek aan kennis of bewustzijn.

• Beperkte kennis van beschikbare beveiligingsmaatregelen;
• Onderschatting van digitale dreigingen;
• Onvoldoende inzicht in potentiële impact van incidenten;
• Digitale ongeletterdheid binnen organisatie of management.

Gevolg: Cybersecurity wordt niet als strategisch bedrijfsrisico beschouwd, maar als optionele of secundaire IT-aangelegenheid.

1.8.4.3. Praktijkvoorbeelden

Speculatie omtrent niet-genomen maatregelen bij de praktijkvoorbeelden uit 1.8.1.5, inclusief mogelijke beredenatie voor afwezigheid

Casus	Maatregel	Toelichting	Beredenatie voor afwezigheid
Odido Datalek	Least Privilege & data-segmentatie	De omvang van het datalek suggereert dat één of enkele accounts toegang hadden tot zeer grote datasets. Effectieve segmentatie en autorisatie beperken de impact bij account- compromittering	- Complexiteit van rolbeheer in grote klantorganisaties - Operationele druk (klanten- service moet snel alles kunnen) - Kosten (refactoring)
	Phishing-resistente authenticatie (hardware-based)	De aanval wordt toegekend aan gecompromitteerde medewerkersaccounts. Moderne phishing is in staat om klassieke MFA (SMS/push) te omzeilen. Phishing-resistente authenticatie voorkomt dat credentials herbruikbaar zijn.	- Hogere implementatiekosten (hardware keys, support) - Gebruikersweerstand (extra handelingen/privacy concerns (bijv. bij auth. via biometrie)) - Legacy-systemen die niet compatibel zijn - Afweging: “klassieke MFA is voldoende”
Vrouwenbevolkings-Onderzoek NL	Partitionering en encryptie	Het uitlezen van grote hoeveelheden data wijst erop dat gegevens na systeemtoegang direct leesbaar waren. Door data te scheiden en versleutelen, wordt de bruikbaarheid van gestolen data sterk beperkt en blijft de impact van een incident beheersbaar.	- Extra complexiteit in sleutelbeheer- Performance- en beschikbaarheidsoverwegingen

1.8.5. Acceptatie

1.8.5.1. Weerstand verminderen

De eerste manier is om het gebruiksgemak te vergroten van je werknemers. Denk hierbij aan het gebruik van password managers waardoor een werknemer wel lange en lastige wachtwoorden heeft maar deze niet zelf hoeft te onthouden.
De tweede manier is het realiseren van een “No-Blame” cultuur. In een No-Blame cultuur maak je het mogelijk voor werknemers om een melding te kunnen doen zonder de angst te hebben voor straffen. Zo zullen werknemers veel vaker meldingen maken waar dan direct op gehandeld kan worden.
Als derde is het belangrijk om je werknemers te trainen in cybersecurity. Als hun kennis over dit onderwerp stijgt zal de bereidheid tot veranderingen ook toenemen. Ook zorg je met trainingen dat er minder lekken/fouten gemaakt zullen worden.
Als laatste is de voorbeeldfunctie van het management heel erg belangrijk. Het management moet het goede voorbeeld geven in hun eigen veiligheid in de cyberwereld. Als zij dit goed doen dan zullen werknemers eerder geneigd zijn dit goede voorbeeld over te nemen.

1.8.5.2. Verschillende strategieën

In deze vergelijking kijken we naar manier 2 (No-Blame cultuur) en manier 4 (voorbeeldfunctie management). Wij denken dat manier 2 een sterker effect zal hebben op de acceptatie door de werknemers. In een no-blame cultuur is het geen taboe om over cybersecurity te praten. Hierdoor zal het een gespreksonderwerp kunnen worden welke vaker terugkeert. Een goed voorbeeld van managers is ook belangrijk voor acceptatie. Echter is dit veel krachtiger is kleinere bedrijven waar iedereen elkaar kent. In grotere bedrijven zul je weinig tot niet met hogere personen spreken waardoor hun invloed ook minder zal zijn in dit onderwerp.

1.8.6. Bedreigingen & kansen

voor dit onderdeel hebben we de 4 grootste dreigingen op dit moment gekozen n.a.v. onze eigen mening.

1.8.6.1. AI-gestuurde dreigingen

Door ai kan tegenwoordig heel veel handwerk worden geautomatiseerd. Denk hierbij aan het schrijven van een perfecte phishingmail in 30 verschillende talen. Ook kan ai worden gebruikt om jezelf voor te doen als iemand anders. Dit door middel van deepfake video’s of audiofragmenten. Ai kan ook optreden als autonome hacker, deze scant zelfstandig het netwerk af naar kwetsbaarheden waarop hij zijn aanvalstechniek real time aanpast.
Kans: zeer groot, Dit omdat AI het werk voor hackers erg goedkoop maakt
Gebruik ai filters om afwijkende patronen op te kunnen sporen. Zorg ook dat jij bij een vreemd spraakbericht altijd even die persoon zelf nog opbelt om te vragen of dat alles wel klopt
Impact: 3/5, hoewel deze aanval vaak snel en goedkoop is, verkrijgt de hacker maar toegang tot 1 account. Door deze aanval heel vaak op meerdere personen uit te voeren verhoogt de hacker zijn schade

1.8.6.2. insider threads

Een opkomend gevaar zijn de insider threads. Deze zijn erg gevaarlijk omdat hierbij de dreiging vanuit binnen het bedrijf komt in plaats van extern. Deze personen hebben veel meer kennis over de systemen waardoor een aanval makkelijker is dan van buitenaf. Ook hebben deze personen vaak toegang tot systemen of ruimtes welke aanvallen nog veel makkelijker maken. Bij dit onderwerp hoort ook de Shadow AI. Werknemers voeren informatie over het bedrijf in in AI om hun werk sneller te kunnen doen. Hierdoor lekt belangrijke informatie buiten het bedrijf.
Kans: gemiddeld, om zo’n aanval uit te voeren moet er veel vooraf zijn gegaan. Ook moet deze persoon de goede kennis hebben om deze aanval uit te kunnen voeren.
Gebruik het zero trust systeem waardoor werknemers alleen toegang hebben tot de systemen waar zij ook echt in horen te kunnen. Zorg ook dat na ontslag meteen alle rechten ingetrokken worden.
Impact: 5/5, een insider heeft vaak toegang en kennis tot de kroonjuwelen van het bedrijf. Deze kan snel en onopgemerkt heel erg veel schade aanrichten

1.8.6.3. supply chain attacks

Grote bedrijven zijn tegenwoordig erg lastig te hacken waardoor ze niet vaak het doelwit meer zijn van een aanval. Echter willen hackers juist deze grote bedrijven plat leggen omdat daar het meeste geld te verdienen is. Een is een goede optie de supply chain attack. In deze aanval leggen ze een partner van het grote bedrijf plat. Denk hierbij aan bijvoorbeeld de vervoermaatschappij of de organisatie die de cloud data beheert. Door deze dienst uit te schakelen ondervint het grote bedrijf toch problemen.
Kans: groot, kleinere toeleveranciers van grote bedrijven hebben veel minder geld om hun eigen cybersecurity goed te regelen. Hierdoor zijn zij een makkelijk doelwit.
Controleer of een partner voldoet aan de juiste certificeringen en blijf deze regelmatig controleren.
Impact: 4/5, voor het gehackte bedrijf resulteert dit vaak toch in grote financiële problemen. Voor de partner welke nu bijvoorbeeld geen leveringen meer kan ontvangen wordt dit een probleem afhankelijk van de tijd en vervangingsopties.

1.8.6.4. geopolitieke aanvallen

Oorlog zal zich steeds meer gaan digitaliseren waardoor aanvallen gewoon kan vanuit je eigen thuisland. Deze aanvallen richten zich op belangrijke infrastructuren van een ander land. Denk hierbij aan het bankwezen, ziekenhuizen en het elektriciteitsnet. Door deze infra plat te leggen, zaait je in korte tijd veel paniek bij de inwoners en bestuurders van een land.
Kans: laag voor bedrijven, zeer groot voor infra. Tenzij jouw bedrijf direct werkt voor de overheid (of in een gerelateerde supply chain zit) is dit geen grote bedreiging voor jou.
Zorg dat kritieke systemen volledig gescheiden zijn van andere netwerken. Als het kantoor wordt gehackt kan de hacker niet bij de aansturing van de elektra. Zorg ook voor offline back-ups, zo kun je na een aanval veel sneller weer opstarten.
Impact: 5/5, als een kritieke infrastructuur wordt gehackt kan bijvoorbeeld een deel van het land zonder stroom komen te zitten. De gevolgen van deze aanval zijn te merken door honderdduizenden mensen.

1.9. Debat

Ik vond dit debatteren heel leuk en ook nog eens leerzaam. Ik had hier de stelling: Openbaarmaking van incidenten moet worden gestuurd door ‘materiële impact’ in plaats van vaste tijdslimieten.
Ik was tegen de stelling en had iets meer dan een uur om me er op voor te bereiden. Hier kan je die voorbereiding terugvinden.
Ik heb het debat niet gewonnen, maar het was wel heel close. Zo vond de jury het goed dat ik het recente voorbeeld van Odido had gebruikt, dat ik communiceer met mijn handen, dat ik goed luisterde naar mijn tegenstander en dat ik goede argumenten had.
Nu vond ik het heel leuk om tegen Teun te debatteren, hij deed het ook heel goed en we speelden lekker op elkaar in. We hadden van elkaar al wat standpunten geanticipeerd en waren dus goed voorbereid. Wel merkte ik dat ik door de lichte spanning wat informatie was vergeten te vermelden, maar dat kan gebeuren. Ik zou dit zeker nog een keer willen doen, als ik iets meer dan 1 uur krijg om research te doen.

1.10. Reflectie Module 1

Ik heb deze module met plezier ervaren, maar er zijn wel dingen die ik anders ga doen in deze module. Zo hebben we bijvoorbeeld veel opdrachten opgedeeld omdat ze groot waren, dit zorgde ervoor dat we sneller klaar waren, maar dat je als individu misschien zelf niet alles mee kreeg.
Verder zorgde dit er ook voor dat ik meer tijd bezig ben geweest met het vervangen van wat mijn groepsgenoten hebben gedaan, dan als ik het helemaal zelf had gemaakt.
Dus de volgende module wil ik meer zelf doen of brainstormend doen, maar ik wil het werk niet meer opdelen.

2. Weerbaarheid

2.1. Kick-off

Vraag 1: Welke afdelingen of functies spelen een cruciale rol en wie is ‘in the lead’?
De systeembeheerder, de CISO, management. Dat zijn 3 functies met een cruciale rol. Maar elke medewerker heeft een cruciale rol als je erover nadenkt dat iedereen voor een phishing link kan vallen.

Vraag 2: Hoe moet een organisatie zich voorbereiden (technisch, organisatorisch, strategisch)?
Er is heel veel wat je kan doen: stel een CISO aan, maak een crisisplan. Gebruik multi factor authenticatie. Maar je moet niet vergeten je medewerkers te informeren en mee te nemen in dit proces van voorbereiding. Backups zijn belangrijk, autorisatie en gebruikersrollen. Maak een risicoanalyse, maak een BOW-tie diagram. Noteer welke packages je gebruikt ivm een supply chain attack. Je moet ook documenteren hoe je systeem in elkaar zit, en dit vooral ook fysiek en digitaal opslaan. Er is heel veel wat je kan doen om je voor te bereiden.

Vraag 3: Wat had het bedrijf van de gastspreker beter kunnen doen?
Dit is het voorbeeld van een bijna perfecte aanpak, dus ik heb er niet veel op aan te merken. Zoals de gastspreker al had gezegd was het crisisplan niet af, en opgeslagen online. Dit had een handige hulp geweest, en zorg ook altijd dat je deze dingen op meerdere plekken opslaat. Verder had het ook beter geweest als ze hun backups hadden getest, want ze maakten wel backups / snapshots. Maar ze wisten niet heel goed hoe ze het moesten deployen, dus het zou handig zijn om daarop te trainen.

2.2. Workshop 1

Tijdens deze workshop moesten we een podcast maken, die podcast is hier te vinden.
Het maken van deze podcast ging goed, ook ging de voorbereiding goed. Alleen jammer genoeg komt het niet echt over als een podcast, en meer als een opdracht voor lees luisterboek.

De podcast ging over Hoppenbrouwers en Maersk.

2.3. Workshop 2

Tijdens deze opdracht gingen we een BCP maken voor een casus. Onze casus was UrbanWear Collective. Hiervoor moesten we ook een presentatie maken.

De kroonjuwelen en kernprocessen van UrbanWear zijn de klantgegevens, de beschikbaarheid van de website en de geautomatiseerde logistiek.

2.3.1. Gevonden Risico’s:

• Big data en kunstmatige intelligentie voor trendvoorspelling en recommendation
  → Overbelaste servers door AI, hallucinaties door AI, gegevens ten onrechte gedeeld met AI-agent (in het geval van GPT-API)
• DDoS-aanvallen: exclusiviteit en snelle beschikbaarheid zijn een key business model
• Ransomware (bedrijf plat voor geld)
• Data lekken (gestolen data van klanten)
• Standaard Risico’s (Technische storingen, Beveiligingsinbreuken, Serverbrand)
• Waarvan gemitigeerd
  • Beschikbaarheid van betaalmethodes

2.3.2. Impact na manifesteren:

• Rendementsverlies door onjuiste aanbevelingen, mogelijke rechtzaak - kans: laag impact: hoog → risico: gemiddeld

• Uitval van beschikbaarheid webserver, het missen van product drop deadline - kans: gemiddeld - impact: groot → risico: gemiddeld

• Verlies van geld of data, afhankelijk van de keuze - kans: gemiddeld - impact: hoog → risico: groot

• Imagoschade en rechtszaken/schadeclaims kans: hoog. impact: groot → risico: groot

• Standaardmaatregelen (zie vorige opdrachten) kans: gemiddeld - impact: laag → risico: laag

• Na het ontdekken van een probleem en het uitvoeren van de automatische beveiligingsmaatregelen* zal het crisisteam bij elkaar komen. Deze zullen aan de hand van de situatie een van de volgende scenario’s kiezen.

2.3.3. Maatregelen en scenario’s

* dit zijn vooraf gemaakte maatregelen, denk aan sprinklers bij brand of het uitschakelen van een server bij een hack

Maatregel A (hack voor geld):

Controleer of er backups zijn die recent genoeg zijn. Laat een professional communiceren met de hackers om te kijken in welke systemen ze zitten etc. Kijken hoeveel geld er gevraagd wordt. Gebaseerd op deze informatie neem je de roadmap:

1. Je betaald.
2. Je betaald niet. Dit betekent als eerste dat we de apparaten losmaken van het internet, en daarna gaan we de backups uitrollen.

Maatregel B (hack voor onrust):

In het geval dat je systeem niet meer werkt omdat de systemen gesloopt zijn, doe je plan A. Anders neem je plan B.

1. Je controleert of je backups hebt, als je die hebt, zet je deze terug. Als je geen backups hebt moet je je systeem opnieuw schrijven.
2. Je blokkeert de IP adressen, je zet een firewall op.

Maatregel C (lekken van persoonsgegevens):

Maak een inschatting van de grootte van het lek (welke gegevens en hoeveel personen). Meldt dit lek bij de autoriteit persoonsgegevens. Overleg met welke strategie je deze informatie het beste kan delen met je klanten. Hierna maak je de keuze om te voldoen aan de gestelde eisen door de hacker of juist niet.

Maatregel D (fysieke uitval):

Proberen de oorzaak van uitval op te lossen waardoor normaal bedrijf kan worden hervat. Mocht dit niet mogelijk zijn door permanente schade zal de uitgevallen service verplaatst moeten worden naar een andere locatie. Idealiter is er al een 2e locatie beschreven en zijn hier voorbereidingen gedaan voor ingebruikname

2.4. Workshop 3

2.4.1. Opdracht 1:

2.4.2. Opdracht 2: architectuur-review

Dit onderdeel zal gemaakte architectuurkeuzes in een reeds gerealiseerd software-project analyseren en evalueren. Het genomen onderwerp is projectgroep 3’s uitwerking van Avans Keuzecompas (Informatica periode 2.2).

2.4.2.1. Belangrijkste universele Security By Design requirements

Er zijn een aantal security requirements die principieel in ieder softwareproject moeten worden meegenomen om security-by-design te waarborgen. De drie belangrijkste komen terug in vrijwel iedere ISO/NIST richtlijn en zijn de hoofdoorzaken van bijna alle grootschalige security-incidenten:

1) Authenticatie & Autorisatie

Veel security-incidenten ontstaan doordat één gecompromitteerd account toegang heeft tot te veel systemen. Systemen moeten vanaf de ontwerpfase duidelijke regels hebben voor wie toegang heeft tot welke functionaliteit en data.

• Least privilege: Gebruikersaccounts én databaseaccounts moeten alleen de minimale vereiste rechten hebben voor de functionaliteit van de applicatie;
• RBAC: Gevoelige gegevens moeten alleen toegankelijk zijn voor accounts met hoge rechten (zie ook: dataclassificatie);
• MFA: het gebruikersnaam/wachtwoordsysteem is verouderd en garandeert geen veiligheid meer, en dus moeten toevoegingen of alternatieven zoals passkeys of MFA worden toegepast.

2) Gegevensbescherming

Data Encryptie vormt een secundaire bescherming in het geval dat een systeem wordt gecompromitteerd.

• Encryptie in transport (e.g. TLS) en at rest (hashing in database en backups);
• Dataclassificatie (publiek, intern, vertrouwelijk, etc.).

3) Logging & Monitoring

Om te voorkomen dat een aanval onopgemerkt blijft kunnen logging en monitoring toegepast worden om de detectietijd te verkorten. Hierdoor schade aanzienlijk kan worden beperkt, of uitgestelde aanvallen zelfs worden voorkomen.

• Audit logging: vastleggen welke aanpassingen zijn gedaan, en door wie;
• De logs mogen niet wijzigbaar zijn;
• Monitoring: er moeten automatische meldingen gegeven worden bij verdacht gedrag.

2.4.2.2. Architectuur Review

De security requirements van Avans Keuzecompas waren afgestemd op de OWASP Top 10 standaard, OWASP ASVS voor authenticatie, en de AVG (GDPR) voor privacybescher-ming en dataminimalisatie. Een aantal van de bovenstaande requirements komen daarin terug. Vaak komen sommige maatregelen (vooral bij betrekking van third-party services) echter ook met bij-effecten die op zichzelf nieuwe securityrisico’s vormen:

1) Security-versterkende designkeuzes

1. Wachtwoordopslag: alle wachtwoorden binnen het gebruikerssysteem worden opgeslagen in gehashte vorm (via bcrypt), waardoor ze onbruikbaar zijn in het geval van een databaselek;
2. Dataminimalisatie: het systeem slaat alleen gebruikersgegevens op die essentieel zijn voor het functioneren van de applicatie, wat ook de impact van datalekken verkleint. Bovendien is de app (met uitzondering van enkele functionaliteiten) ook te gebruiken zonder überhaupt een account aan te hoeven maken;
3. IP-based rate limiting op login: het aantal login-pogingen per IP-adres is gelimiteerd, als bescherming tegen brute-force aanvallen.

2) Security-verzwakkende designkeuzes

1. Logging & monitoring via Sentry: helpt bij detectie van fouten en mogelijke aanvallen, en verbetert hiermee incident response. Echter wordt de informatie gelogd bij een third-party cloudservice, en moet dus gelet worden op configuratie en inhoud van gelogde gegevens;
2. Authenticatie via NextAuth: helpt via ondersteuning voor sessions, maar is wederom afhankelijk van third-party services. Ook kunnen kwetsbaarheden in de dependency de hele authenticationlaag beïnvloeden;
3. Cloudflare Turnstile (Captcha verification): helpt bij het detecteren van bots en scripts die formulieren proberen te misbruiken (brute-force attacks, het spammen van registraties, verdachte interactiepatronen), maar verzamelt ook gegevens zoals IP-adressen en informatie over gebruikersgedrag.

2.4.3. Opdracht 3: Threat Model

Hieronder zie je het gemaakte DFD, met de al genomen security controls, en de nog bestaande threat actors.
![][image8]
// De .svg is hier te vinden, dan heb je een betere resolutie plaatje

Dit is een systeem wat ik in het verleden heb gemaakt als persoonlijk project. De API powered heel veel andere projecten. Verder is het belangrijk om te weten dat deze API 2 account systemen heeft die los staan. Nu heb ik in het verleden al meerdere keuzes gemaakt om de veiligheid te verbeteren, die kun je hieronder vinden in de Security Controls tabel:

ID	Description
C01	Use https to avoid people listening in
C02	Contact over internal server network instead of wifi to not expose the database
C03	Login authentication with session tokens
C04	Spam protection via rate limit based on IP Addresses
C05	Server side validation of all data to avoid illegal inputs
C06	NoSQL injection prevention & removal of HTML tags to avoid XSS
C07	Account privilege levels to prevent people seeing things they are not allowed to
C08	External webhost to prevent DDos
C09	Hashing / password encryption
C10	Key required for creating accounts

Maar er zijn nog meerdere threat actors die ik heb kunnen vinden in mijn systeem, er zijn 4 realistische dreigingen die op het moment nog aanwezig zijn in dit systeem.

• TA01, een gebruiker kan een DDoS aanval uitvoeren. Want er is wel rate limiting, maar dit is per IP Address. Dus met meerdere devices kan je nog wel schade uitvoeren.
• TA02, een persoon kan zo veel accounts aanmaken als hij/zij wilt.
• TA03, een persoon zou kunnen kijken naar hoe lang het duurt voordat hij een login response krijgt, om zo te achterhalen of een account bestaat.
• TA04, een persoon kan logins brute-forcen.

Nu hebben we natuurlijk ook meteen nagedacht over hoe we dit kunnen verbeteren:

• TA01 zou je tegen kunnen gaan door een firewall op te zetten, of een systeem met dynamische spam limits, dus op momenten met high traffic kan de threshold om geblokkeerd te worden. Ook kan cloudflare helpen.
• TA02 is op te lossen door een limit van 2 accounts per dag per IP in te stellen, of door het aan een e-mailadres / google account te koppelen.
• TA03 zou je kunnen oplossen door altijd een hash te checken, ook al bestaat de user niet.
• TA04 zou je kunnen oplossen om een (separate) rate limit op te stellen voor IP inlog attempts (die falen). En ook een rate limit systeem op het account waarop je probeert in te loggen.

2.4.4. Opdracht 4: Handleiding

Dit onderdeel zal een trainingsmodule beschrijven voor de web-API die in ontwikkeling is. Deze API zal persoonsgegevens behandelen, waarom het cruciaal is dat hier goed mee om wordt gegaan.
Om de veiligheid te waarborgen wordt er in deze module een aantal secure coding practices en principes beschreven die zullen leiden tot een veiligere en robuustere web-API.

2.4.4.1. Eigenschappen van een web-api

Een web-api staat open naar het internet, waardoor iedereen technisch gezien requests kan sturen en verbinding kan maken met de endpoints. Omdat er ook met gevoelige gegevens omgegaan wordt, moet de data ook niet beschikbaar zijn voor onbevoegde clients.

2.4.4.2. Secure coding practices

De endpoints van de api moeten allereerst al beveiligd zijn door middel van obfuscation: geen veelgebruikte padnamen gebruiken om zo het al moeilijker te maken om ze via bruteforce methoden te vinden.
Behandel al het inkomend verkeer als malafide. Sanitize en valideer de invoer, log alle activiteit die op de server voorkomt en werk met een “whitelist approach” in plaats van een “blacklist approach”.
Geef de gebruiker zo min mogelijk informatie als er iets mis gaat, zodat er niet achterhaald kan worden hoe de server intern werkt. Stuur een error code terug en dat ze met support contact moeten opnemen als ze willen weten wat het betekent.
Alles wat een laag van authenticatie en autorisatie kan hebben, moet dat hebben. Technisch gezien moet alleen de login endpoint geen bearer token authenticatie hebben.
Let er daarnaast op dat, ook al is de gebruiker geautoriseerd en geauthenticeerd, dat ze nog steeds niet meer data op kunnen halen dan wat er benodigd is. Een authenticatie-token voor het ophalen van data mag niet data kunnen aanpassen over verwijderen.

2.4.4.3. Testen van security

Velen van deze onderdelen kunnen getest worden door middel van unit tests of integratie tests in de vorm van een geautomatiseerde postman omgeving. Voor iedere nieuwe feature moet ook een testplan gemaakt worden die zich aan de secure coding practices moet houden.

2.5. Workshop 4

2.5.1. Opdracht 1

2.5.1.1. SAST

Voor dit onderdeel heb ik de OWASP Juice Shop gebruikt. Dit is een applicatie die vaak wordt gebruikt voor trainingen in cybersecurity. Deze applicatie heeft express kwetsbaarheden ingebouwd om opdrachten ermee te kunnen maken.

• SQL Injection (user input wordt direct verwerkt i.p.v. eerst te controleren)
• Cross-Site Scripting (er wordt niet gefilterd op de user input van gebruikers)
• Slechte NPM dependencies (er wordt gebruikgemaakt van open source libraries waarvan bekend is dat deze kwetsbaarheden hebben)
• Hardcoded secrets (api keys staan hardcoded in de broncode)
• Onvoldoende Authenticatie (geen 2fa of account lockout na een bepaald aantal foute invoeren waardoor brute force aanvallen makkelijk zijn)

2.5.1.2. DAST

Ook voor dit onderdeel heb ik de OWASP Juice Shop gebruikt. Er is een demo versie van deze code die online draait zodat er een DAST uitgevoerd kan worden.

• Cross-Site Scripting (er wordt niet gefilterd op de user input van gebruikers)
• Ontbrekende Security Headers (hierdoor kunnen aanvallers onveilige code laden)
• Lek via Server Headers (in de server headers staat technische informatie die niet vrijgegeven hoort te worden)
• Onveilige Cookies (geen opties zoals: HttpOnly en Secure waardoor cookies makkelijker gestolen kunnen worden)
• Clickjacking Kwetsbaarheid (de header “X-Frame-Options” ontbreekt waardoor de website in een iframe geladen kan worden. Als je als gebruiker hier komt ziet de website er hetzelfde uit, echter kunnen hackers hier knoppen verbergen of re-routen)

2.5.1.3. Secure by design and default

Secure By Design

• Zorg voor goede en sterke Authenticatie (2FA of een Pass-Key app/fysieke sleutel)
• Controleer gebruikers input voordat het wordt verwerkt
• Houd in een Log bij wat er allemaal gebeurd in de app

Secure By Default

• Standaard veilige cookie instellingen
• Standaard Debug functies uit voor gebruikers
• Strenge eisen aan wachtwoorden (12 karakters en verschillende tekens)

2.5.1.4. Demonstratie

2.5.1.5. IoT

In dit plaatje staan verschillende IoT apparaten. Er zijn hier 2 grote gevaren. Gevaar eerste zijn de externe servers waar sommige apparaten mee verbinden. Vooral als het goedkope (Chinese) producten zijn kunnen deze servers gemakkelijk te hacken zijn. Het tweede risico zijn de zwakke IoT apparaten zelf. Denk aan bijvoorbeeld de broodrooster of de föhn, deze apparaten zijn gewoonlijk niet aangesloten aan het internet waardoor je waarschijnlijk zal vergeten om deze apparaten updates te geven. Of er worden na de release helemaal geen beveiligingsupdates meer uitgegeven. ![][image9]

2.5.1.6. Docker

Om een docker te hardenen zijn er de volgende mogelijkheden

• Gebruik een Read-Only file systeem (zo kan een container geen bestanden wijzigen)
• Gebruik netwerksegmentatie (laat een docker niet zomaar met alles praten)
• Zorg voor logging en monitoring (hierdoor is er snel duidelijk als er toch iets mis gaat)
• Draai de container niet als root (als een container wordt gehackt die als root draait kan een hacker veel makkelijker “doorspringen” naar de host)

2.5.1.7. Security features

RA4M1	ESP32S2
Secure Boot: voor opstarten controle van de firmware	Secure Boot
Firmware Encryption: firmware op de flash kan versleuteld worden opgeslagen	Flash Encryption: externe flash wordt automatisch versleuteld
Hardware Cryptografie: versleutelde communicatie	Digital Signature Peripheral: hardware modules voor digitale handtekeningen
Secure Key Storage: Cryptografische sleutels worden veilig in de hardware opgeslagen	Secure OTA Updates: veilige versies van de firmware via internet
x	Anti-Rollback Protection: voorkomt dat er oude firmware wordt geïnstalleerd
x	Encrypted Storage: data zoals bijvoorbeeld wachtwoorden kunnen versleuteld worden opgeslagen

Uit bovenstaande tabel blijkt dat de ESP een veel uitgebreidere beveiliging heeft met meer features. De ESP wordt ook vaker gebruikt voor IoT oplossingen terwijl de RA4M1 vaker voorkomt in embedded systemen

**2.5.1.8. True number generator

Een true number generator maakt een random getal door middel van processen uit de echte wereld: bv elektrische ruis uit de schakeling. Een TRNG is goed als je daadwerkelijk een niet reproduceerbaar getal genereert. Er mag ook geen patroon of herhaling in zitten. Gebruik dus geen seed of algoritmes om een true number te maken

2.5.1.9. Netwerk Printer

Na het instellen van een nieuwe printer kun je een paar veranderingen maken waardoor de beveiliging van de printer meteen een stuk beter wordt:

• Pas standaard wachtwoorden aan
• Update de firmware tot de nieuwste versie
• Zet functies/services die je niet gebruikt uit
• Plaats dit soort apparaten in een gescheiden netwerk
• Maak gebruikt van logging en monitoring
• Beperk fysieke toegangen zoals USB-Poorten

2.5.2. Opdracht 2

2.5.2.1. Memory Management Vulnerabilities

CVE-2025-34164: Heap Buffer Overflow in NetSupport Manager
Waarom past het in deze categorie?
Deze kwetsbaarheid is een heap-based buffer overflow. Dit betekent dat het programma meer data in een geheugenbuffer schrijft dan toegestaan, waardoor aangrenzend geheugen niet kan worden overschreven.
Een hacker kan hier gebruik van maken door middel van het overschrijven van de buffer overflow. Tijdens het overschrijven kan de hacker commando’s uitvoeren die de pc’s kwaadaardige manier kunnen beïnvloeden.
CVSS: 8.8

CVE-2026-3909: Google Chrome Skia Out-of-Bounds Write Vulnerability Allows Remote Memory Access via Crafted HTML Page
Waarom past het in deze categorie?
Omdat er geheugen gealloceerd wordt die buiten de grenzen liggen. De software schrijft gegevens buiten dit geheugen omdat de grenscontroles niet goed zijn. Dit kan leiden tot het overschrijven van processen of instructies in het RAM-geheugen.
Een hacker kan hier gebruik van maken door middel van het overschrijven van de buffer overflow. Tijdens het overschrijven kan de hacker commando’s uitvoeren die de pc’s op kwaadaardige manier kunnen beïnvloeden.
CVSS: 8.8

2.5.2.2. Structured output

Deze kwetsbaarheden ontstaan wanneer een software onveilige gestructureerde data verwerkt. Zonder te controleren of de types kloppen.
CVE-2024-52046: Apache MINA Deserialization Vulnerability
Waarom past het in deze categorie?
De server ontvangt een serialized object van een gebruiker. De server heeft geen beveiliging of controle van de binnenkomende data waardoor data dus mogelijk ongestructureerd binnen kan komen.
Een hacker kan bijvoorbeeld bij een willekeurig onderdeel van de data een script invoeren die over het hoofd wordt gezien door de server met alle gevolgen van dien, omdat het script wordt uitgevoerd. Dit heet ook wel een Injection Attack, omdat het script geïnjecteerd is in de data.
CVSS: 9.8
CVE-2025-43994: API informatielek
Waarom past het in deze categorie?
Authenticatie is een vorm van gestructureerde data die ervoor zorgt dat niet iedereen toegang heeft tot een bepaald systeem. De respons van een dergelijk systeem is vaak ook gestructureerde data, wat het heel gemakkelijk maakt om gevoelige informatie uit te lezen.
Doordat er geen ”slot” op de deur zit kan iedereen en dus ook hackers opvragen wat hij of zij maar wilt en heeft ook alle rechten om alles op te kunnen vragen wat er is. Hiermee kan dus ook IP-adressen en dergelijke worden op gevraagd worden.
CVSS: 8.6

**2.5.2.3. Race conditions

De Race contditions kwetsbaarheden ontstaan doordat 2 processen onderweg zijn naar de dezelfde data, maar eentje kan maar de eerste zijn, dus de data wordt aangepast door één proces waarna de bewerking van de data door het tweede proces op de aangepaste data nogmaals wordt gedaan.
CVE-2024-6787: TOCTOU-race condition
Waarom past het in deze categorie?
Deze kwetsbaarheid treedt op wanneer een aanvaller een race condition misbruikt tussen het moment waarop een bestand wordt gecontroleerd en het moment waarop het wordt gebruikt (TOCTOU). Door deze race condition te misbruiken, kan een aanvaller willekeurige bestanden naar het systeem schrijven. Dit kan de aanvaller in staat stellen kwaadaardige code uit te voeren en mogelijk leiden tot verlies van bestanden.
Een hacker kan de timing zo timen dat de controle van het bestand is geweest voor het verzenden in deze korte tijdsperiode tussen controle en verzenden kan een hacker een schadelijk bestand in plaats van het originele bestand zetten. Het schadelijke bestand wordt toch verzonden, omdat de controle al was goedgekeurd.
CVSS: 5.3
CVE-2024-50379: Apache Tomcat
Waarom past het in deze categorie?
De server controleert het eerste bestand en zal het bestand daarna uploaden. Het is mogelijk dat tussen deze processen een aanvaller het bestand verandert. De hacker roept in dit geval de server aan met de juiste timing commando te geven het schadelijke bestand uit te voeren.
Een hacker kan de timing zo timen dat de controle van het bestand is geweest voor het verzenden in deze korte tijdsperiode tussen controle en verzenden kan een hacker een schadelijk bestand in plaats van het originele bestand zetten. Het schadelijke bestand wordt toch verzonden, omdat de controle al was goedgekeurd.
CVSS: 9.8

2.5.2.4. API vulnerabilities

Een API zorgt ervoor dat verschillende apps met elkaar kunnen praten. Als deze beveiliging niet goed is, kunnen hackers mogelijk direct bij de bron komen waar de informatie vandaan komt.
CVE-2016-10372: Eir D1000 Modem TR-064 Protocol Remote Command Execution Vulnerability via TCP Port 7547
Waarom past het in deze categorie?
Het protocol (TR-064) is een onbeveiligd protocol. Dit protocol wordt gebruikt door het configureren van modems binnen een lokaal netwerk. Omdat TCP-poort 7547 open werd gezet was het modem voor het hele internet beschikbaar. Het probleem was vooral dat het wachtwoord het standaard wachtwoord was en niet zo snel aangepast kon worden.
Een hacker kan een opdracht sturen, hier kwam het wachtwoord terug als respons. Dit kan ook leiden tot een respons waar veel meer data in terug te vinden is, maar het installeren van spyware is ook niet uit te sluiten op de modem.
CVSS: 9.8

2.5.2.5. Side-channel vulnerabilities

Bij deze kwetsbaarheden komt gestolen informatie niet direct uit de software, maar wordt afgeleid uit verschijnselen die de hardware (PC) toont tijdens het verwerken van gegevens. Een voorbeeld is dat iemand fysiek kan meten wanneer een systeem een 1 of een 0 aan het verwerken is door een verschil in timing.
CVE-2017-5754: Intel CPUs Speculative Execution Side-Channel Vulnerability Allowing Local Information Disclosure on Modern Operating Systems
Waarom past het in deze categorie?
Het maakt gebruik van de processor van een pc en niet de software die erop staat. Doordat een processor gebruik maakt van een cache blijft data voor korte tijd hierin staan. Iemand meet de tijd dat het in cache staat om zo te achterhalen welke informatie dat is.
Een hacker kan meten hoe lang iets in de cache blijft staan om te achterhalen welke informatie dat is.
CVSS: 4.7
CVE-2019-11135: Intel CPUs TSX Asynchronous Abort Side Channel Information Disclosure Vulnerability
Waarom past het in deze categorie?
Deze CVE steelt informatie van interne buffers van een processor wanneer een versnellings techniek om een proces te versnellen faalt. Als een proces afgekapt wordt door een abort commando kunnen er restjes data in de interne buffer blijven zitten. Deze restjes kunnen worden uitgelezen om data te stelen.
Een hacker heeft geen rechten om het geheugen van een proces te lezen, maar het kan wel een transactie afbreken van een CPU waardoor hij door middel van cache timing data kan zien die in de buffer is achtergebleven. Deze data had eigenlijk gewist of afgeschermd moeten zijn.
CVSS: 2.1

2.6. Workshop 5

Wat is er gebeurt?
23-jarige verdachte veroordeeld voor bezit en gebruik van phishingtools. De verdachte heeft deelgenomen aan een netwerk dat zich bezighield met grootschalige digitale oplichting (geacht met crimineel oogmerk). Echter: software is onuitgepakt, maar het was bewezen: “specifiek waren bestemd voor cybercriminaliteit”

Wat is het (hoofd)delict uit het wetboek van strafrecht dat hierbij hoort?
Wat:

• Gegevens en software voorhanden heeft gehad waarmee phishing, bankhelpdeskfraude en VIN-fraude konden worden gepleegd, waaronder datasets met persoonsgegevens, scripts, phishingpanels en malware. Deze handelingen zijn primair ten laste gelegd als voorbereidingshandelingen voor oplichting, subsidiair als het voorhanden hebben van van misdrijf afkomstige gegevens.
• Technische hulpmiddelen heeft voorhanden gehad die hoofdzakelijk zijn ontworpen om computervredebreuk en andere cyberdelicten te plegen, waaronder UADMIN RAT, phishingpanels en een phishingsite gerelateerd aan de Franse zorgverzekeraar Ameli.

De rechtbank acht wettig en overtuigend bewezen dat verdachte in de periode van 15 juni tot en met 30 juli 2024:

• Voorwerpen en gegevens – waaronder persoonsgegevens, frauduleuze scripts en VPN-software – voorhanden heeft gehad die bestemd zijn voor phishing, bankhelpdeskfraude en VIN-fraude, gericht op het verkrijgen van niet-contante betaalinstrumenten.
• Technische hulpmiddelen – waaronder malware en phishingpanels – heeft voorhanden gehad, ontworpen voor computervredebreuk en andere cyberdelicten, met het oogmerk om deze misdrijven te plegen.

Dus het is Artikel 139D, lid 1 en lid 2a met de straf:

• De rechtbank veroordeelt de verdachte tot een gevangenisstraf van 18 maanden, met aftrek van de tijd die reeds in voorarrest is doorgebracht. De straf zal volledig ten uitvoer worden gelegd binnen een penitentiaire inrichting.

Wat is de wettekst van dit artikel en hoe zou je dit in je eigen woorden vertalen

1. Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die met het oogmerk dat daardoor een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of opgenomen, een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn.
2. Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd:
3. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, ontvangt, zich verschaft, overdraagt, verkoopt, verwerft, vervoert, invoert, uitvoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of
4. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft.

Leg uit aan de groep hoe het openbaar ministerie geoordeeld heeft en waarom welke straf is opgelegd
De geëiste straf was 24 maanden en een boete van €20.000. Maar omdat hij jong was en geen eerdere delicten begaan was, is de straf gereduceerd naar 18 maanden celstraf, onvoorwaardelijk.

(Opinie) Discussieer met je groep of je dit een rechtvaardige straf vind of niet
Na het discussiëren met ons team hebben we besloten dat het een goed nummer was omdat als hij een legitieme reden had om het te hebben, dan had hij het vermeld in de rechtszaak. Maar het had wel deels voorwaardelijk mogen zijn.

2.7. Tabletop voorbereiding

2.7.1. Business Continuity Plan

2.7.1.1. Business Impact Analysis

Bij Billy Bonka staat de productie en distributie van chocolade centraal. Als de productie van chocolade stopt, stop alles. Daarentegen zijn er naast de centrale chocoladeproductie zijn er ook nog een ander aantal vitale processen:

• Productie en Operaties: Inkoop en verwerking van grondstoffen, kwaliteitscontrole en gebruik van de PLC’s.
  • Zonder de productie stopt de levering van chocola volledig.
• Logistiek & Distributie: Vervoeren van grondstoffen en eindproducten
  • Verstoring zorgt voor lege schappen in winkels en omzetverlies
• De orderverwerking: Het ontvangen, verwerken en bevestigen van klantbestellingen.
  • Verstoring van de orderverwerking zorgt ervoor dat orders niet gemaakt kunnen worden, wat voor order- en reputatieverlies zal zorgen.
• IT systemen: De IT systemen regelen alle communicatieve en digitale onderdelen van de fabriek, wat onder andere het klantbeheer, communicatieplatformen, voorraad en productieplanning en cybersecurity is.
  • Het stilzetten van dit zal dus ook tot een totale stilstand van operaties en communicatie zorgen
  • Hieronder valt ook de koeling en HVAC van het gebouw

Hiernaast zijn er nog interne processen die niet inherent voor het stilzetten van productie of verkoop zorgt, maar wel voor problemen op langer termijn:

• Financieel & administratief: Boekhouding, facturatie en betaling aan leveranciers.
  • Hieruit worden leveranciers en personeel betaalt, en rapportages en belastingaangiftes vanuit geregeld
  • Een stilstand van financiële en administratieve zaken op lange termijn zorgt voor verstoring in vertrouwen vanuit klanten en personeel.
• Human Resources & Personeelsbeheer: Personeelsrooster planning, on-boarding en training van personeel.
  • Verstoring hiervan kan voor vastlopende roosters en planningen zorgen, waardoor mensen niet goed ingezet kunnen worden.

Van al deze systemen zijn de verstoring van orderverwerking en IT systemen het meest impactvol.
De lijst van prioriteit zal voor deze systemen dus zijn:

1. Productie & Operaties
2. IT systemen
3. Logistiek & Distributie
4. Orderverwerking
5. Financieel & Administratief
6. HR & Personeelsbeheer

2.7.1.2. Business Continuity Plan (missing)

Als de productie stil ligt moet allereerst alle partijen ingelicht worden

2.7.1.3. Insider Threats

Binnen Billy Bonka zijn er ook gevaren vanuit het personeel. Omdat iedereen bij de B schijf kan, waar (gevoelige)bedrijfsgegevens op staan, kan iedereen zomaar data lekken.
Ook wordt er in de bedrijfsomschrijving ook niet gepraat over beveiligingscamera’s, dus hier kan vanuit gegaan worden dat er op videobeveiliging ook niet veel gefocust is. Hierdoor kan er chocolade weg gesmokkeld of zelfs gewoon gestolen worden door personeel.

Weerbaarheid kan hier gecreëerd worden door middel van afscherming van rechten. Niet alle medewerkers moeten bij elk systeem kunnen. Geef ze alleen toegang tot de benodigde systemen en als er meer nodig is kan dat via hogerop geregeld worden. Bovenop dit moet er ook gelogd worden wie waar toegang naar vraagt, wat eventueel download en om welke tijd.
Daarnaast moeten er camera’s hangen in en om het pand, waar mensen zich ook bewust van zijn dat die er hangen. En keycards voor deuren zodat iedereen weet waar je bent geweest.

**2.7.2. Security Analysis & ontwerp

2.7.2.1. Threat Model

Als we kijken naar de architectuur op dit moment, zien we dat er meerdere plekken zijn die een point of failure kunnen worden. En die grote consequenties kunnen hebben.
![][image10]

Hier hebben we een lijstje van Threat Actors gevonden:

• TA01, namelijk dat elke gebruiker bij FileSHare M en FIleshare B bestanden kan komen, met vrijwel geen rol autorisatie. Dit kan zorgen voor datalekken.
• TA02, namelijk het feit dat er geen Multi Factor Authenticatie is.
• TA03, namelijk het probleem dat wachtwoorden nooit worden gewijzigd, wat ervoor kan zorgen dat een oud-medewerker nog steeds naar binnen kan.
• TA04, er wordt gebruikgemaakt van Windows XP, Windows XP machines zijn niet veilig, zitten vol met lekken, en er wordt constant voor gescand op het internet om je automatisch te infecteren.
• TA05, de ethernet poorten in de Ethernet switches zijn waarschijnlijk exposed, als mensen daar zomaar iets kunnen inpluggen zitten ze direct in het systeem en kunnen alles doen.
• TA06, Externe gebruikers zouden in kunnen loggen op de wifi en mogelijk schadelijke dingen doen, zoals bij de Fileshare servers komen
• TA07, Backups staan op dezelfde locatie als andere servers en zijn mogelijk net zo vulnerable teren ransomware
• TA08, Als er een port wordt geforward naar het internet (wat waarschijnlijk gebeurt met TA11), is het een mogelijk aanvalsvector.
• TA09, Aangezien de wachtwoorden globaal bekend zijn, kan een standaard medewerker achter deze computer zitten en mogelijk malafide dingen doen
• TA10, Iemand kan malware installeren vanaf het internet, en dat kan dan verspreid worden door heel het netwerk.
• TA11, namelijk dat de engineers station bereikbaar / bestuurbaar is over het internet. Dat betekent dat iemand mogelijk deze connectie kan misbruiken.

2.7.2.2. Risk analysis

In deze risicoanalyse zullen de risico’s eerst beschreven worden. Vervolgens zal de impact/kans vermeld worden. Deze kan laag, gemiddeld of hoog zijn. De risico’s zullen hieronder staan van de hoogste prioriteit naar de laagste prioriteit.

1. Ransomware aanval:
   Als er een ransomware-aanval plaatsvindt, kan de productie volledig stil komen te liggen. Dit komt doordat Billy Bonka de productiesystemen centraal aanstuurt vanaf het IT-netwerk. Aanvallers kunnen de systemen versleutelen waardoor hier geen gebruikgemaakt van kan worden. Dit kan ervoor zorgen dat Billy Bonka geld moet betalen om aan de eisen van de aanvallers te voldoen. Omdat het bedrijf nog niet veel tijd heeft gespendeerd aan de cybersecurity is het voor aanvallers makkelijker om binnen te komen. Dit kan leiden tot veel omzetverlies.
   Kans: Gemiddeld/Hoog
   Impact: Hoog
2. Datalek van personeelsgegevens:
   De personeelsgegevens van de werknemers van Billy Bonka staan op de M-schijf. En deze gegevens zijn slecht afgeschermd. Dit kan ervoor zorgen dat hackers of andere onbevoegde personen toegang krijgen tot persoonlijke gegevens van werknemers zoals woonadressen. Dit kan leiden tot het verlies van vertrouwen van werknemers, ook kunnen de werknemers schadeclaims doen.
   Kans: Gemiddeld/Hoog
   Impact: Hoog
3. Onrechtmatig toegang tot bedrijfsgegevens:
   Doordat de B-schijf niet goed beschermd is, hebben veel medewerkers toegang tot deze bedrijfsgegevens. Dit kan misbruikt worden door werknemers (Intern) en ook door hackers (extern). Dit kan leiden tot fraude en datalekken.
   Kans: Gemiddeld/Hoog
   Impact: Hoog
4. Het geheime recept wordt gestolen:
   Billy Bonka heeft een speciaal recept voor de producten. Dit recept heeft invloed op het succes. Als dit recept online is opgeslagen en niet goed wordt beveiligd, kan dit makkelijk in handen komen van hackers. Als concurrenten van dit recept afweten, kunnen zij hier gebruik van maken.
   Kans: Gemiddeld
   Impact: Hoog
5. Medewerkers zijn ongetraind/onvoldoende incident response:
   Binnen Billy Bonka is er nog niet veel gekomen van het verbeteren van de cyberbeveiliging. Hierdoor kan het zijn dat de medewerkers niet weerbaar genoeg zijn tegen cyberdreigingen zoals phishing mails. De kans is groter dat medewerkers op rare linkjes klikken als zij onvoldoende getraind zijn. Ook is er sprake van onvoldoende incident response. Dit wil zeggen dat het bedrijf niet voldoende is voorbereid op een cyberaanval. Hierdoor kan chaos ontstaan tijdens een cyberaanval.
   Kans: Gemiddeld
   Impact: Gemiddeld/Hoog
6. Geen Cyberverzekering:
   Billy Bonka beschikt niet over een cyberverzekering. Dit betekent dat in het geval van een cyberaanval niet vergoed zal worden. Dit zal het bedrijf in dat geval helemaal zelf moeten terugbetalen. Daarom zullen ze zonder cyberverzekering meer financiële schade krijgen dan met een cyberverzekering.
   Kans: Gemiddeld
   Impact: Gemiddeld/Hoog

**2.7.2.3. Cybersecurity Maturity Analysis

De volwassenheid van de cybersecurity binnen de organisatie is beoordeeld aan de hand van het Capability Maturity Model Integration (CMMI). Volwassenheid wordt gescoord op 5 levels:

1. Initial (Process unpredictable, poorly controlled, and reactive);
2. Managed (Processes characterized for projects and is often reactive);
3. Defined (Processes characterized for the organisation and is proactive);
4. Quantitatively Managed (Processes measured and controlled);
5. Optimizing (Focus on process improvement).

Hierbij is voor 5 domeinen vastgesteld in hoeverre processen gestructureerd, gedocumenteerd, en geoptimaliseerd zijn. Dit is gebaseerd op/onderbouwd met bedrijfsdocumentatie en relevante quotes van interviews met bedrijfspersoneel (de Directeur/CEO, IT-medewerkers, en fabrieksmedewerkers). De gekozen domeinen zijn:

1. Identification (risicobeheer, vooruitziend inzicht)
2. Protection (maatregelen zoals MFA, encryptie)
3. Detection (monitoring, logging)
4. Response (incident response tijdens crisis)
5. en Recovery (herstel na crisis)

**1) Identification

De organisatie toont een laag volwassenheidsniveau op het gebied van risicobeheer en strategisch inzicht. Hoewel er sprake is van een internationale markt en hoge omzet/productie, wordt cybersecurity niet als kritisch bedrijfsrisico erkend. Zo zijn er een aantal relevante kroonjuwelen/redenen om dit bedrijf aan te vallen:

• Bedrijfsgeheimen (e.g. geheime recepten);
• Productiecapaciteit (€8.000.000 per dag);
• Personeels- en bedrijfsgegevens;
• Hun Europees-brede markt maakt ze een supply chain target.

Maar ondanks deze assets is er een kritisch gebrek aan risicobewustzijn op managementniveau. Dat blijkt onder andere uit de uitspraken van de Directeur/CEO:

• “Security is een kostenpost, Ik geef liever geld uit aan nieuwe productielijnen of marketingcampagnes. Die leveren omzet op. Security… dat is toch vooral een verzekering tegen iets wat misschien gebeurt” (Directeur/CEO)
• En “[De termen NIS2 en ISO27001] zeggen me weinig. Ik heb weleens gehoord dat er strengere regels aankomen, maar eerlijk gezegd vertrouw ik erop dat IT dat wel regelt. Daar hebben we ze toch voor” (Directeur/CEO)

De organisatie opereert grotendeels reactief en zonder risicomanagementproces, wat wijst op een volwassenheidsniveau van 2: Managed.

2) Protection

Op technisch vlak zijn enkele basismaatregelen aanwezig, maar deze worden sterk ondermijnd door fundamentele kwetsbaarheden en gebrekkige naleving.

Aanwezige maatregelen:

• Beperkte role-based access (operators vs. engineers);
• Geen installatie-rechten voor eindgebruikers;
• Deels up-to-date systemen (bijv. Windows 10, recente gateway).

Kritieke vulnerabilities:

• Gebrek aan netwerksegmentatie (één centraal netwerk en authenticatieserver);
• Gevoelige data breed toegankelijk (B-schijf is in te zien door iedereen);
• Externe toegang via gateway/jumphost;
• Gebruik van verouderde systemen (Windows XP, oude PLC’s);
• Gebrek aan netwerk- en backupsegmentation.
• Gebrek aan identity security (“Iedereen logt in met het standaard wachtwoord dat iedereen kent” (Productielijn Operator), “MFA vinden collega’s veel te lastig” (IT-medewerker))

Er bestaan dus enkele maatregelen, maar de beveiliging is inconsistent en slecht afgedwongen, met grote structurele kwetsbaarheden en geen drang om er verandering in te brengen. Volwassenheidsniveau 1: Initial tot 2: Managed.

3) Detection

Detectiesystemen zijn grotendeels fysiek georiënteerd en missen een cybersecurityfocus.

Aanwezige monitoring:

• Real-time inzicht in productie en incidenten via PLC’s en HMI (en mogelijkheid tot ingrijpen);
• Supervisor systemen voor procesbewaking;
• Externe monitoring van koelsystemen (24/7);
• Branddetectiesysteem gekoppeld aan sprinklerinstallatie.

Er is echter geen sprake van:

• Centrale logging of SIEM;
• Detectie van cyberaanvallen;
• Response van operators op eventuele alerts (“[Bij waarschuwingen op het scherm klik ik meestal] gewoon op OK of ignore. […] Als ik alles ga lezen, dan staat de lijn stil, en dat is nog veel erger” (Productielijn Operator)).

De detectie is gericht op operationele continuïteit, niet op cybersecurity, en menselijke factoren verzwakken effectiviteit. Volwassenheidsniveau 1: Initial tot 2: Managed.

4) Response

De organisatie heeft enkele formele structuren voor incident response, maar deze zijn onvoldoende uitgewerkt en niet getest.

Response-gerelateerde maatregelen:

• Samenwerking met externe DFIR-partner (Secura).
• Aanwezigheid van een automatisch brandmeldingssysteem, inclusief insturing van sprinklersysteem en monitoring.

Zwaktes:

• Géén aantoonbare incident response procedures;

• Géén training of oefening van incidenten (“We hebben back-ups op een fileserver, maar eerlijk gezegd heb ik al een tijd niet meer gecontroleerd of die ook echt teruggezet kunnen worden. Volgens mij werkt het wel, want het heeft nog nooit iemand nodig gehad” (IT-medewerker));

• Afhankelijkheid van externe partijen en non-failsafe systemen.

Er is dus een basisstructuur aanwezig, maar gebrek aan voorbereiding en testen maakt response waarschijnlijk inefficiënt of zelfs non-functioneel. Daarom beoordelen we het Volwassenheidsniveau ook hier als 2: Managed.

**5) Recovery

Recovery is het zwakste domein binnen de organisatie. Hoewel er technisch gezien backups aanwezig zijn, ontbreekt elke vorm van structurele recovery planning.

Aanwezige elementen:

• Aanwezigheid van een backupsysteem voor PLC programma’s en werkstations;

Kritieke tekortkomingen:

• Geen formeel recoveryplan;

• Het bedrijf heeft geen cyberverzekering;

• Geen test van backups (“We hebben back-ups op een fileserver, maar eerlijk gezegd heb ik al een tijd niet meer gecontroleerd of die ook echt teruggezet kunnen worden. Volgens mij werkt het wel, want het heeft nog nooit iemand nodig gehad” (IT-medewerker));

• Geen Recovery Point Objective/Recovery Time Objective doelstellingen;

• Afhankelijkheid van één opslaglocatie (geen segmentatie).

Recovery is volledig ongecontroleerd en niet gevalideerd, wat een groot risico vormt bij incidenten. Volwassenheidsniveau 1: Initial.

6) Conclusie Volwassenheidsscore

De organisatie bevindt zich over de gehele linie op een laag volwassenheidsniveau (CMMI niveau 1–2). De cybersecurity-aanpak is grotendeels reactief, en zeer onvoldoende opgenomen in de organisatie.

• Sterkste domein: Response (basisstructuur aanwezig),
• Zwakste domeinen: Detection en Recovery;
• Grootste probleem: gebrek aan securitybewustzijn en governance.

Het volwassenheidsniveau van het bedrijf is gemiddeld 1.6/5, en samengevat in de radar chart in de volgende figuur ten opzichte van een minimum doelscore (3: Defined op alle domeinen):

![][image11]

2.7.2.4. Nieuwe Architectuur

Ik heb deze nieuwe architectuur gemaakt in de vorm van een threat model. We hebben hiervoor de threat model gepakt die al bestond, en die verbeterd om te zorgen dat de fouten die we tegenkwamen niet meer voorkomen.
![][image12]

De verbeteringen die we hier hebben getroffen zijn als volgt:

• C01: Gebruikers hebben autorisatie rollen, die bepalen waar ze bij kunnen (digitaal en fysiek requirements)
• C02: Gebruiker wachtwoorden worden 2 keer per jaar geforceerd om te worden gewijzigd
• C03: Gebruikers moeten Multi factor authentication gebruiken
• C04: We testen elk kwartaal de backups. En maken elke 5 minuten een backup
• C05: Zelf gehoste database in een externe plek, en met authenticatie om te zorgen dat bij ransomware de backups wel levend blijven
• C06: constante monitoring die checked welke apparaten er verbonden zijn met het ethernet om nieuwe apparaten te detecteren en zo alarm te kunnen slaan
• C07: draai windows 11, of linux (ik gebruik arch btw)
• C08: zet alleen required ports open, en monitor ze
• C09: zet logging op een externe server om te zorgen dat je terug kan kijken bij een ransomware attack
• C10: Zorg er voor dat de externe toegang tot het engineer station een wachtwoord en multi factor authentication nodig heeft. En dat het geen toegang heeft tot root

2.7.3. Secure Development & Weerbaarheid

Beschrijf hoe de organisatie veilige software ontwikkeling kan borgen.
Op dit moment is er nog geen goede aandacht binnen dit bedrijf voor cyberveiligheid. Om de weerbaarheid te vergroten is het noodzakelijk om security structureel te integreren.

1. Toegangsbeheer en authenticatie (gebruik maken van 2FA + het least privilege principe + iedereen een eigen account)
2. Veilige dataopslag (gevoelige data zoals recepten moeten beter afgeschermd worden + toegang tot shares beperken (B + M Schijf))
3. Back-ups en herstel (zorg dat er backups zijn die niet op een server staan en oefen ook 1 keer per kwartaal met het terugzetten van back-ups)
4. Awareness en trainingen (verplicht elke medewerker om een Cybersecurity awareness training te volgen, hierdoor worden mensen bewuster van de dreigingen)
5. Governance (security moet de taak zijn van management + aansluiten op de richtlijnen zoals ISO 27001 of NIS 2)

Voeg een interviewplan toe voor gesprekken met ontwikkelaars en beheerders, zodat de weerbaarheid van digitale systemen kan worden geëvalueerd.
Om de weerbaarheid te kunnen verhogen moeten er interviews/gesprekken worden gehouden met de ontwikkelaars en beheerders. Zorg dat het meer een gesprek is in plaats van een echt interview.

1. Ontwikkelprocess
2. Is er een vaste ontwikkelprocedure? zo ja, is cyberveiligheid hierin meegenomen?
3. Wordt er na een ontwikkeling een review gedaan?
4. Zijn er richtlijnen voor Cybersecurity in het ontwerp?
5. Beheer en onderhoud
6. Hoe wordt toegangsbeheer geregeld?
7. Hoe worden back-ups opgeslagen en getest?
8. Worden systemen ook gemonitord met bijvoorbeeld logs?
9. Authenticatie
10. Worden accounts individueel gebruikt?
11. Is er MFA aanwezig?
12. Wanneer krijgt iemand rechten tot welk programmaonderdeel en hoe wordt dit beheerd?
13. Incident response
14. Zijn er procedures of draaiboeken bij een cyberaanval?
15. Is er ooit een incident geweest en hoe is hier op gehandeld?
16. Awareness en trainingen
17. Heb je ooit training in cybersecurity gehad? Zo ja, wat heb je geleerd?
18. Hoe ga je om met gekke mails of berichten?
19. Is het voor jou belangrijk om cyber veilig te zijn in dit bedrijf? Leg uit waarom wel of niet?

2.8. Evaluatie Tabletop

In mijn mening ging de communicatie goed voor de verwachting die ik er van had. Verder vond ik het ook een stuk leuker dan verwacht.
We kwamen er als groep wel achter dat het nog een stuk beter had gegaan als we onze BCP af hadden, want dat was het enige wat we niet af hadden gekregen. (en sowieso had het dan op een computer gestaan, en niet geprint geweest)
Verder merkten we ook wel echt dat we een whiteboard met stiften en sticky notes nodig hadden om dit beter aan te pakken. Want nu moest iedereen zelf aantekeningen maken.

We gingen goed rond in het groepje, 1 voor 1, om te kijken wat voor informatie iedereen had, voordat er over vergaderd werd, hierdoor hadden we de volledige informatie.

Verder was het bij ons ook goed afgelopen :D

Dit was een hele handige manier om ons het inzicht te geven dat het niet alleen maar theorie is, maar dat we ook echt het nut van dingen in zien. Als ik niet het threat model had gemaakt had ik bijvoorbeeld ee stuk minder inzicht gehad.

2.8.1. Wat miste er in onze BCP

We liepen er tegenaan dat we van veel wel wisten wat er moest gebeuren, maar niet per se de meest handige volgorde. En met uitzonderingen zoals, stuur je mensen naar huis. Wie ligt je in van je medewerkers? Je wilt dit allemaal op papier hebben.

Als we een concrete stappenplan hadden van:

1. Interne communicatie
2. Onderzoek doen
3. Acteren op wat je af wilt koppelen (productielijn / ethernet etc)
4. Asset management (waar stuur je wie heen)

Ook kun je niet altijd alles weten, soms moet je gokken. Daarvoor moet ook een plan zijn.
Als we dit hadden, waren we nog een stuk sneller geweest.

2.9. Reflectie Module 2

2.9.1. Intervisie Gesprek

Halverwege deze periode hadden we een soort intervisie. Dit hadden we gedaan omdat de karaktereigenschappen van onze groepsgenoten met elkaar botsten. Dit gesprek was heel nuttig.

Hieruit hebben we meerdere dingen meegenomen:

• Samenwerkingscontract, we hebben hierin afspraken gemaakt over alles, dus ook hoe we een standup doen, hoe en wanneer we een opdracht bespreken, wat is de volgorde van zaken als we een les hebben gehad. Maar ook hoe we afspraken regelen etc.
• Wees zakelijk, dat wanneer je een bericht gaat versturen, je wacht tot je emoties gedaald zijn, het dan nog dubbel checked, en het daarna pas stuurt. App niet vanuit emoties.
• Check-ins, na een les kijken hoe het met iedereen gaat, en ook wat de opdrachten inhouden.
• Nabespreking, een globaal moment waar we met z’n allen bij elkaar komen en door elkaars uitwerking heen lopen. En hier ook op toevoegen / aanpassen waar nodig.
• Standups, dat we als we een dag niet op school zijn, nog steeds contact hebben.

Nu is het niet zo zeer dat we dit nog niet wisten, maar we deden het gewoon niet. Nu hebben we al deze dingen serieus genomen, en de week erna is de samenwerking als beter ervaren in mijn ogen.

Ik heb wel veel geleerd van het probleem waar ons groepje tegenaan liep, en hoe iedereen verandert qua gedrag. Ik was altijd al redelijk neutraal over iedereen omdat ik graag diplomatiek ben. Maar de mensen om mij heen waren heel erg op elkaar aan het klagen. En om dan na de intervisie te zien hoe iedereen opeens niet meer zeurt en meer aan elkaar vraagt, communiceert. Dat vind ik leerzaam.

2.9.2. Algemeen

De periode was wel best, het waren echt super veel opdrachten op een onhandig geplande manier. Een vrije dag in het rooster waar niks te doen is, en waar we nog geen huiswerk hebben. En daarna het proppen van alle opdrachten in 3 dagen. Vandaar dat ik het portfolio ook pas in periode 3 heb bijgewerkt tot periode 2 (en dan missen er nog steeds delen van opdrachten zoals Workshop 3 opdracht 1).

3. Mens en techniek

3.1. Workshop 1: NoName DDoS

NoName057(16) is een pro-Russische hackersgroep. Ze voeren cyberaanvallen uit op Oekraïense, Amerikaanse en Europese overheidsinstanties, media en grote particulieren. De communicatie van deze groep gebeurt veel via anonieme applicaties zoals Telegram. Ze hebben een eigen DDoS-Applicatie gehost via github genaamd DDOSIA. Die denial of service aanvallen uitvoeren door snel achter elkaar netwerk verzoeken te sturen. Ze werken samen met andere pro-Russische cyber-collectieven zoals Killnet en Xaknet.

De groep heeft een aantal verschillende doelen. Deze variëren van overheidsinstellingen tot financiële en media instellingen. De groep heeft meerdere keren aanvallen uitgevoerd op NAVO gerelateerde organisaties, defensie bedrijven en vitale infrastructuur in verschillende landen, waaronder Duitsland, Frankrijk, België en ook Nederland.

De organisatie vindt dat Oekraïne en hun hackers onjuiste informatie verspreiden over het Russische regime. Hierom voeren zij bovengenoemde aanvallen uit op propaganda websites. De aanvallen zijn daarom strikt bedoeld voor activisme en niet voor financieel gewin.

De distributie van de top-level domains van slachtoffers hebben we uitgezet in een grafiek. Hieruit blijkt dat, van de 179191 aanvallen, Duitsland het vaakst slachtoffer is geworden. Hieronder staan de 5 meest relevante procentuele verdelingen:

.de 16.03% 28716
.com 13.24% 23717
.ua 12.31% 22056
.it 7.80% 13980
.lt 6.37% 11409
![][image13]
![][image14]
Een toevoeging is wel dat de grafiek met de top 10 porten niet klopt. Dit is een fout waar we vanaf weten.

3.2. Workshop 2: Crisismanagement

3.3. Workshop 3

3.4. Workshop 4

3.5. Workshop 5

4. Bronnen en termen

Ik zet alle bronnen bij elkaar zodat ik makkelijker dingen kan vinden die ik zoek. Dit is een soort kennisbasis.

4.1. Wet en regelgeving

4.1.1. Wetten

Wbni
De Wbni is de Wet beveiliging netwerk- en informatiesystemen.

AVG en GDPR
De AVG is de Algemene verordening gegevensbescherming.
De GDPR is de General Data Protection Regulation.
Deze twee zijn het zelfde.

EU Cybersecurity Act
The Cybersecurity Act strengthens the EU Agency for Cybersecurity (ENISA) and establishes a cybersecurity certification framework for products and services.

Wet computercriminaliteit III
Dit wetsvoorstel versterkt in het wetboek van Strafrecht (Sr) en het wetboek van Strafvordering (Sv) de opsporing en vervolging van computercriminaliteit.

UAVG
Dit wetsvoorstel regelt de uitvoering van de AVG. Dit heeft extra toevoeging op landelijk niveau.

NIS2
De NIS2-richtlijn stelt een uniform rechtskader vast om de cyberbeveiliging in 18 kritieke sectoren in de hele EU te handhaven. Het roept de lidstaten ook op nationale cyberbeveiligingsstrategieën vast te stellen en met de EU samen te werken voor grensoverschrijdende reactie en handhaving.

CRA
De CRA is de Cyber Resilience Act.

DORA
De DORA is de Digital Operational Resilience Act.

4.1.2. Regelgevende instanties

Rijksinspectie Digitale Infrastructuur
Zij houden toezicht op de veiligheid van de Nederlandse digitale infrastructuur en handhaven de regels uit de Wbni en de NIS2-richtlijn.

National Cyber Security Centre
Dit centrum deelt informatie over digitale dreigingen en coördineert de aanpak bij grootschalige cyberaanvallen op de vitale infrastructuur en de overheid.

Autoriteit Persoonsgegevens
De Nederlandse toezichthouder op de privacy. Zij behandelen meldingen van datalekken waarbij persoonsgegevens betrokken zijn en zien toe op de naleving van de AVG.

4.2. Tooling en standaarden

**4.2.1. Bedrijfs rollen

Chief Information Security Officer - CISO
Een leidinggevende positie in een organisatie met brede verantwoordelijkheden op het gebied van informatiebeveiliging en risicomanagement. Hier zijn de kernaspecten:

• Informatiebeveiliging
• Risicomanagement
• Compliance
• Beleid
• Incident response
• Teamleiding

Systeem Beheerder
die verantwoordelijk is voor het beheer, onderhoud en de beveiliging van de IT-infrastructuur, zoals servers, netwerken en werkstations.

4.2.2. Documentatie

BOW-Tie
Een BOW-tie is een diagram waarbij je in kaart brengt hoe iets kan gebeuren, en wat de gevolgen ervan kunnen zijn. Dit wordt vooral gebruikt in de context van security. Ook kan je in dit diagram aangeven hoe je je verdedigt / beveiligt met maatregelen.
Zie 1.6.2.3. BOW-TIE diagram

Risicoanalyse
Bij een risicoanalyse breng je alle mogelijke risico’s van een project in kaart. Dit kan je doen aan de hand van een risicomatrix. Je kijkt tijdens een risicoanalyse vooral naar het totaalplaatje van een risico: Kans x Effect x Blootstelling.
Zie 1.6.1. Opdracht A.

Risicomatrix
Een risicomatrix is een tabel waarin je Kans x Effect tegenover elkaar zet, nadenkt over de menselijke impact, de financiële impact en de juridische impact tegenover de kans. Hierover komt een score. En deze scores geef je ook een kleur. Vanuit een risicomatrix werk je verder om een plan op te stellen om de zware risico’s te mitigeren.
Zie 1.6.1. Opdracht A.

MAPGOOD-model
MAPGOOD is een andere methode voor een risicoanalyse. MAPGOOD is erop gericht om risico’s vanuit verschillende invalshoeken te benaderen. MAPGOOD hanteert daarbij de volgende invalshoeken:

• Mens
• Apparatuur
• Programmatuur
• Gegevens
• Organisatie
• Omgeving
• Diensten

Laten we kijken naar mens als voorbeeld: Je moet hierbij bijvoorbeeld denken aan de gebruikers zelf, applicatiebeheerders en functioneel beheerders. Er wordt gekeken naar het mogelijk wegvallen van mensen, het onopzettelijk foutief handelen van mensen en het opzettelijk foutief handelen van mensen.
Link: Normity.nl

Crisisplan / Crisis Management plan
Een crisisplan is een groot plan waarin je op zoek gaat naar risico’s, en je er op voorbereidt.

1. Je identificeert je crisisleiderschapsteam
2. Beoordeel het risico
3. Bepaal gevolgen voor het bedrijf
4. Plan de reactie
5. Maak het plan robuust
6. Update het plan

Een crisisplan moet het volgende bevatten:

• Risicoanalyse
• Activeringsprotocol
• Contacten voor noodgevallen
• Reactieprocedures
• Strategie voor externe crisiscommunicatie
• Evaluatie na de crisis

Link: Asana.com

Business Continuity Plan - BCP
Een set aan documenten die preventief worden uitgewerkt om in geval van ramp een organisatie toe te laten zijn kritieke diensten te blijven leveren op een vooraf bepaald aanvaardbaar niveau binnen een bepaalde tijd.
Een BCP is een belangrijk onderdeel van het BCM van een organisatie. In een BCP zit een BIA. Aan de hand van het BIA ga je een stappenplan uitwerken voor verschillende crisissituaties. Een BCP is dus het praktische uitvoeringsdocument van BCM, gebaseerd op inzichten uit het BIA.
Zie 2.7.1. Business Continuity Plan
Link: Wikipedia.org

Business Continuity Management - BCM
BCM is het overkoepelende managementproces dat ervoor zorgt dat een organisatie bestand is tegen rampen en verstoringen. Het is niet zomaar een document, maar een cyclisch proces dat continu wordt verbeterd.
BCM bestaat uit meerdere fasen:

1. Strategische fase: Bepalen van BCM-doelstellingen en risicobeleid
2. BIA (Business Impact Analyse): Identificeren van kritieke processen en impacts
3. BCP (Business Continuity Plan): Uitwerken van concrete maatregelen en procedures
4. Implementatie: Trainen van personeel en inbedding in organisatie
5. Testen en oefenen: Regelmatig valideren of alles werkt
6. Onderhoud: Bijwerken van plannen als zaken veranderen

Link: Wikipedia.org

Business Impact Analyse - BIA
Een systematische analyse waarbij kritieke bedrijfsprocessen, hun afhankelijkheden en potentiële impacts worden geïdentificeerd en gekwantificeerd. De BIA bepaalt welke systemen en diensten prioriteit hebben bij herstel na een ramp. Tijdens een BIA worden belangrijke parameters vastgesteld zoals:

• RTO (Recovery Time Objective): maximale tijd tot herstel van een dienst
• RPO (Recovery Point Objective): maximaal aanvaardbaar gegevensverlies
• MTD (Maximum Tolerable Downtime): maximale onderbrekingsduur

De BIA vormt de informatiebasis voor het BCM en dient als input voor de BCP. Zonder BIA kunnen prioriteiten niet goed worden bepaald en kunnen resources inefficiënt worden ingezet.
Zie 2.7.1.1. Business Impact Analysis
Link: Wikipedia.org

**4.2.3. Security Standaarden

ISO/IEC 27005 RISK MANAGEMENT PROCESS

NIST SP-800-30 RISK ASSESSMENT PROCESS

FAIR (OPENFAIR)

4.2.4. Maatregelen

Organisatorische beheersmaatregelen
Maatregelen gericht op processen en bedrijfsvoering. Voorbeelden:

• Duidelijke procedures en richtlijnen
• Scheiding van taken (wie goedkeurt, wie voert uit)

Dit valt onder de 4 types van beheersmaatregelen die gebaseerd zijn op het type/vorm van de maatregel.
Zie 1.7.1.1. ISO 27002 Maatregelen

Mensgerichte beheersmaatregelen
Maatregelen gericht op gedrag en bewustzijn van medewerkers. Voorbeelden:

• Training en scholing
• Bewustwordingscampagnes

Dit valt onder de 4 types van beheersmaatregelen die gebaseerd zijn op het type/vorm van de maatregel.
Zie 1.7.1.1. ISO 27002 Maatregelen

Fysieke beheersmaatregelen
Maatregelen gericht op fysieke veiligheid en toegang. Voorbeelden:

• Beveiligingscamera’s
• Toegangscontrole (sleutels, badges)

Dit valt onder de 4 types van beheersmaatregelen die gebaseerd zijn op het type/vorm van de maatregel.
Zie 1.7.1.1. ISO 27002 Maatregelen

Technologische beheersmaatregelen
Maatregelen gericht op IT-systemen en digitale veiligheid. Voorbeelden:

• Wachtwoordbeveiliging en inloggegevens
• Firewalls en antivirussoftware

Dit valt onder de 4 types van beheersmaatregelen die gebaseerd zijn op het type/vorm van de maatregel.
Zie 1.7.1.1. ISO 27002 Maatregelen

Preventieve maatregelen
Maatregelen gericht op voorkomen dat risico’s zich voordoen. Voorbeelden:

• Training en scholing van medewerkers (mensgerecht)
• Toegangscontrole met badges (fysiek)

Dit valt onder de 3 types van beheersmaatregelen die gebaseerd zijn op het moment/functie van de maatregel.
Zie 1.7.1.4. Insider Threats

Detectieve maatregelen
Maatregelen gericht op opsporen van incidenten en afwijkingen. Voorbeelden:

• Monitoring en logging van systeemactiviteiten (technologisch)
• Beveiligingscamera’s en inspectieronden (fysiek)

Dit valt onder de 3 types van beheersmaatregelen die gebaseerd zijn op het moment/functie van de maatregel.
Zie 1.7.1.4. Insider Threats

Response / Herstelmaatregelen
Maatregelen gericht op reageren en herstellen na een incident of probleem. Voorbeelden:

• Incident management procedures (organisatorisch)
• Backup- en herstelplannen (technologisch)

Dit valt onder de 3 types van beheersmaatregelen die gebaseerd zijn op het moment/functie van de maatregel.
Zie 1.7.1.4. Insider Threats

**4.3. Algemene termen

Informational Technology

Operational Technology

Multi Factor Authentication

OSINT

Social Engineering

Malware

Randsomeware

Trojan

Hacktivism

Darkweb

Blackhat

Whitehat

Blue Teaming

Red Teaming

Deepfakes

Pass-keys

Hardening

Firewall

Data Flow Diagram - DFD

Threat Model

Threat Actors

Security Controls

Security Headers

Clipjacking

Netwerksegmentatie

Whitelist

Blacklist
Attack Surface Analysis
CIA Triad
Secure by design
Secure by default
Privacy by design
Privacy by default
Netwerksegmentatie
SAST
DAST
SBOM
CVE
CVSS
CMMI
Sjoemelsoftware
Soft Controls
Soft controls zijn maatregelen die genomen kunnen worden in een organisatie om er voor te zorgen dat er een andere bedrijfscultuur gaat heersen.
Zie 1.5. Workshop 3

---

References

Read the full version here.

Link to original

---

References

• Groeidocument is the outdated version of this file.

• avans documenten

  ID: M202512181408
  Status: MOC
  Tags: Avans, projects

  avans documenten

  Voor avans moet ik veel inleveren, als groeps verband, maar ook prive. Maar ook moeten we veel bestanden maken voor ons zelf, om te zorgen dat het project voorspoedig verloopt. Aan de tags van het bestand kun je zien voor wel project en welk jaar het was.

  ---

  Link to original