ISMS Copilot
ISO 27001-begrippenlijst

Wat is een Dreiging in ISO 27001?

Overzicht

Een dreiging is elke mogelijke oorzaak van een ongewenst incident dat kan leiden tot schade aan uw informatiesystemen of organisatie. In ISO 27001:2022 is het identificeren van dreigingen een fundamenteel onderdeel van de risicobeoordeling (Clausule 6.1.2) en bepaalt het welke beveiligingsmaatregelen u moet implementeren.

Het begrijpen van dreigingen helpt u bij het beoordelen van de waarschijnlijkheid en impact van risico's voor uw informatie-assets.

Dreigingen in de praktijk

Tijdens de risicobeoordeling identificeert u dreigingen die misbruik kunnen maken van kwetsbaarheden in uw bedrijfsmiddelen en beveiligingsincidenten kunnen veroorzaken. Dreigingen kunnen zijn:

  • Opzettelijk: Doelbewuste acties door actoren (hackers, malafide insiders, concurrenten)

  • Onopzettelijk: Onbedoelde acties die schade veroorzaken (fouten van werknemers, verkeerde configuraties)

  • Omgeving: Natuurlijke gebeurtenissen of fysieke omstandigheden (brand, overstromingen, stroomuitval)

Dreigingen maken gebruik van kwetsbaarheden om risico's te creëren. Een kwetsbaarheid zonder een geloofwaardige dreiging vormt mogelijk een minimaal risico, terwijl een dreiging zonder een kwetsbaarheid om te misbruiken geen schade kan aanrichten.

Categorieën van dreigingen

Cyberdreigingen

Dreigingen gericht op digitale systemen en gegevens:

  • Malware: Virussen, ransomware, trojans, spyware

  • Phishing: Social engineering om inloggegevens of gevoelige informatie te stelen

  • Distributed Denial of Service (DDoS): Systemen overbelasten om de beschikbaarheid te verstoren

  • Advanced Persistent Threats (APT's): Geavanceerde, gerichte aanvallen

  • SQL-injectie en webaanvallen: Misbruik maken van kwetsbaarheden in applicaties

  • Zero-day exploits: Aanvallen die gebruikmaken van voorheen onbekende kwetsbaarheden

Voorbeeld: Een ransomware-dreiging zou misbruik kunnen maken van een niet-gepatchte serverkwetsbaarheid (A.8.8) om bedrijfskritische gegevens te versleutelen, wat leidt tot financieel verlies en operationele verstoring.

Menselijke dreigingen

Dreigingen waarbij mensen betrokken zijn:

  • Malafide insiders: Werknemers of contractanten die opzettelijk gegevens stelen of systemen saboteren

  • Social engineering: Gebruikers manipuleren om beveiligingsmaatregelen te omzeilen

  • Misbruik van bevoegdheden: Geautoriseerde gebruikers die hun toegangsrechten overschrijden

  • Onbedoelde fouten: Per ongeluk verwijderen van gegevens, verkeerde configuratie, of het verzenden van gevoelige informatie naar verkeerde ontvangers

Voorbeeld: Een medewerker die op een phishing-e-mail klikt, kan inloggegevens verstrekken die ongeoorloofde toegang tot klantgegevens mogelijk maken (tegengegaan door bewustwordingstraining A.6.3 en MFA A.5.17).

Fysieke dreigingen

Dreigingen voor fysieke assets en faciliteiten:

  • Diefstal: Stelen van laptops, servers, back-upmedia

  • Ongeautoriseerde toegang: Indringers die beveiligde zones betreden

  • Vandalisme: Opzettelijke schade aan apparatuur

  • Natuurrampen: Aardbevingen, overstromingen, branden

  • Infrastructuurstoringen: Stroomuitval, HVAC-storingen, waterschade

Voorbeeld: Brand in een datacenter bedreigt de beschikbaarheid van servers (geadresseerd door fysieke beveiligingsmaatregelen A.7.1-A.7.14 en back-upprocedures A.8.13).

Dreigingen door derden

Dreigingen van leveranciers, partners en dienstverleners:

  • Supply chain-aanvallen: Gecompromitteerde software of hardware van leveranciers

  • Storingen bij clouddiensten: Uitval van de provider of beveiligingsinbreuken

  • Nalatigheid van contractanten: Derden die er niet in slagen beveiligingsmaatregelen te handhaven

Voorbeeld: Een datalek bij een cloudprovider waardoor klantgegevens op straat komen te liggen (verzacht door beveiligingsbeoordelingen van leveranciers A.5.19-A.5.23 en contractuele beveiligingseisen).

Dreigingen evolueren voortdurend. Uw risicobeoordeling moet regelmatig worden herzien (op geplande momenten en wanneer er belangrijke wijzigingen optreden) om nieuwe dreigingen te identificeren, zoals opkomende malwarevarianten of geopolitieke risico's.

Dreigingsbeoordeling in de risicobeoordeling

Bij het uitvoeren van een risicobeoordeling (Clausule 6.1.2) evalueert u dreigingen door rekening te houden met:

  • Bron van de dreiging: Wie of wat de dreiging kan veroorzaken (cybercriminelen, concurrenten, natuurlijke gebeurtenissen)

  • Motivatie: Waarom ze uw organisatie als doelwit zouden kiezen (financieel gewin, spionage, verstoring)

  • Capaciteit: Hun vaardigheidsniveau en middelen

  • Waarschijnlijkheid: De kans dat de dreiging zich materialiseert en een kwetsbaarheid uitbuit

Voorbeeld dreigingsscenario:

  • Asset: Database met klantbetalingen

  • Kwetsbaarheid: Zwak wachtwoordbeleid (geen MFA)

  • Dreiging: Externe hacker die uit is op financieel gewin

  • Risico: Ongeautoriseerde toegang tot betalingsgegevens, resulterend in een datalek en boetes van toezichthouders

  • Behandeling: Implementeer MFA (A.5.17), een sterk wachtwoordbeleid (A.5.17) en encryptie (A.8.24)

Threat Intelligence

ISO 27001:2022 Annex A bevat A.5.7 (Threat Intelligence) als een nieuwe beheersmaatregel die organisaties verplicht om dreigingsinformatie te verzamelen en te analyseren om relevante dreigingen te begrijpen.

Bronnen van threat intelligence:

  • Nationale cybersecurity-agentschappen (zoals het NCSC)

  • Informatiedelingsgroepen uit de sector (ISAC's)

  • Commerciële threat feeds en beveiligingsleveranciers

  • Dark web monitoring diensten

  • Incidentrapporten van vergelijkbare organisaties

Gebruik ISMS Copilot om relevante dreigingen voor uw sector en assets te identificeren, dreigingsscenario's voor risicobeoordelingen te genereren of dreigingen te koppelen aan de juiste Annex A-maatregelen.

Dreiging vs. Kwetsbaarheid vs. Risico

Deze termen zijn gerelateerd, maar verschillend:

  • Dreiging: De potentiële oorzaak van een incident (bijv. een ransomware-aanval)

  • Kwetsbaarheid: Een zwakte die kan worden misbruikt (bijv. niet-gepatchte software)

  • Risico: De combinatie van dreiging, kwetsbaarheid, waarschijnlijkheid en impact (bijv. een hoog risico dat ransomware niet-gepatchte servers versleutelt, wat de bedrijfsvoering verstoort)

Beheersmaatregelen adresseren risico's door:

  • Kwetsbaarheden te verminderen (bijv. patchbeheer A.8.8)

  • Dreigingen te detecteren of te blokkeren (bijv. malwarebescherming A.8.7)

  • De impact te beperken als een dreiging slaagt (bijv. back-ups A.8.13)

Veelvoorkomende dreigingen per sector

Financiële diensten

Advanced persistent threats, phishing gericht op inloggegevens van klanten, DDoS-aanvallen, handel met voorkennis, toezicht door regelgevende instanties.

Gezondheidszorg

Ransomware gericht op patiëntsystemen, diefstal van medische dossiers, misbruik van interne toegang, kwetsbaarheden in medische apparatuur.

Detailhandel/E-commerce

Diefstal van betaalkaartgegevens, credential stuffing, supply chain-aanvallen, DDoS tijdens piekverkopen, frauduleuze transacties.

SaaS/Technologie

API-misbruik, accountovernames, datalekken, insider threats, verkeerde cloudconfiguraties, zero-day exploits.

Documenteer geïdentificeerde dreigingen in uw risicoregister en koppel elke dreiging aan assets, kwetsbaarheden en geselecteerde maatregelen. Werk het register bij wanneer nieuwe dreigingen opduiken.

Gerelateerde termen

Was dit nuttig?