Het CyberFundamentals Framework
Voor een sterkere cybersecurity
Het Centrum voor Cybersecurity België (CCB) heeft het Cyberfundamentals Framework uitgebracht om organisaties te helpen zich voor te bereiden op NIS2. Het framework bevat een reeks concrete maatregelen om gegevens te beveiligen, het risico op veelvoorkomende cyberaanvallen te verminderen en de cyberweerbaarheid van een organisatie te vergroten. In deze blog lees je er meer over.
Het CyberFundamentals Framework
Het CyberFundamentals Framework, ook bekend als CyFun, is een framework dat wordt gebruikt in het kader van cybersecurity en informatiebeveiliging. Het doel van dit framework is om organisaties en individuen te helpen bij het begrijpen en implementeren van de basisprincipes van cybersecurity om hun digitale gegevens te beschermen tegen cyberdreigingen. Het CyberFundamentals Framework is geen officiële standaard of norm op zichzelf. Het model is gebaseerd op en gekoppeld aan vier veelgebruikte cybersecurityraamwerken en -normen, namelijk:
- Het NIST Cybersecurity Framework: Het CyberSecurity Framework (CSF) is ontwikkeld door het National Institute of Standards and Technology (NIST). Het is een veelgebruikt raamwerk voor cybersecurity met vijf kernfuncties: Identificeren, Beschermen, Detecteren, Reageren en Herstellen. Organisaties kunnen het NIST Framework als basis gebruiken en aanvullen met specifieke maatregelen en beleid op basis van hun behoeften omdat het framework zelf geen specifieke maatregelen bevat maar naar standaarden verwijst. Zie ook mijn eerdere blog ‘Het NIST CyberSecurity Framework als kans?’.
- De ISO 27001: De ISO 27001 is een internationale norm voor informatiebeveiliging. Het biedt een gestructureerd kader voor het beheren van informatiebeveiliging binnen organisaties. Daarnaast is er de ISO 27002, een nadere uitwerking van de ISO 27001 annex A, die meer details geeft over de implementatie van een Information Security Management System (ISMS). De ISO 27001 biedt een uitgebreidere benadering voor het identificeren, evalueren en beheren van informatiebeveiligingsrisico’s dan het CyberFundamentals Framework.
- CIS Critical Security Controls: De CIS Controls van het Center for Internet Security (CIS) zijn een set van 20 specifieke acties en maatregelen die organisaties kunnen nemen om hun cybersecurity te versterken. Ze richten zich op de bescherming van digitale gegevens tegen bekende aanvalsvectoren. Deze controls kunnen als een gedetailleerde implementatie van het CyberFundamentals Framework worden beschouwd, waarbij elk van de 20 controls overeenkomt met specifieke stappen voor beveiliging en bescherming.
- De IEC 62443: De IEC 62443 is een reeks internationale normen en technische specificaties die gericht zijn op de beveiliging van industriële automatisering en controlesystemen, ook wel Operational Technology (OT) genoemd. Het is een gedetailleerd raamwerk dat specifiek gericht is op de beveiliging van industriële systemen en kan dienen als aanvulling op of een verdere uitwerking van beveiligingsprincipes binnen het CyberFundamentals Framework, vooral voor organisaties die betrokken zijn bij industriële automatisering.
Dit zijn enkele belangrijke raamwerken en normen die organisaties kunnen gebruiken om hun cybersecurity te verbeteren en digitale gegevens te beschermen.
Informatiebeveiliging versus cybersecurity
De termen ‘informatiebeveiliging’ en ‘cybersecurity’ worden vaak door elkaar gebruikt, maar ze hebben verschillende betekenissen en toepassingen:
- Informatiebeveiliging gaat over het beschermen van alle soorten informatie, ongeacht de locatie waar ze zijn opgeslagen. Het kan dus gaan om zowel digitale als fysieke informatie, zoals papieren documenten. Informatiebeveiliging richt zich niet alleen op bescherming tegen digitale bedreigingen, maar ook tegen menselijke fouten, natuurrampen en andere incidenten die de beschikbaarheid, integriteit en vertrouwelijkheid (ook wel BIV) van informatie kunnen aantasten. Het hoofddoel van informatiebeveiliging is ervoor te zorgen dat informatie beschikbaar is wanneer dat nodig is, dat de integriteit van de informatie wordt gehandhaafd en dat de informatie alleen toegankelijk is voor geautoriseerde personen.
- Cybersecurity is een specifiek onderdeel van informatiebeveiliging dat zich richt op de bescherming van digitale informatie en systemen tegen buitenstaanders en hackers. Hierbij gaat het om de beveiliging van computers, netwerken, servers, software en gegevens die elektronische worden verzonden en opgeslagen. Cybersecurity richt zich op specifieke aspecten van informatiebeveiliging, zoals het beschermen tegen malware, het voorkomen van ongeoorloofde toegang tot systemen, het beheren van kwetsbaarheden en het reageren op cyberincidenten. Het hoofddoel van cybersecurity is het minimaliseren van de risico’s die verband houden met digitale bedreigingen en ervoor te zorgen dat de digitale gegevens en systemen van een organisatie veilig en operationeel blijven.
Kortom, informatiebeveiliging omvat alle aspecten van het beschermen van informatie, terwijl cybersecurity specifiek gericht is op de bescherming van digitale informatie en systemen tegen cyberdreigingen.
De niveaus en belangrijkste maatregelen
Basisbeveiligingsniveaus en kernmaatregelen
Het CyberFundamentals Framework maakt onderscheid tussen drie verschillende beveiligingsniveaus: Basis, Belangrijk en Essentieel. Deze niveaus zijn vergelijkbaar met de beveiligingsniveaus (Security Levels) in de IEC 62443 standaard. Daarnaast is er ook een startersniveau, genaamd ‘Small’.
Binnen deze beveiligingsniveaus worden algemene maatregelen aangeboden die van toepassing zijn op alle soorten organisaties. Deze maatregelen bieden doorgaans effectieve bescherming door gebruik te maken van bestaande technologieën en processen. Indien nodig worden deze maatregelen aangepast en verfijnd. Er zijn echter bepaalde controles die speciale aandacht vereisen, deze worden aangeduid als kernmaatregelen.
Niveau Small (startersnivevau)
Het niveau ‘Small’ biedt een eerste inschatting van beveiliging en is vooral geschikt voor kleine organisaties of organisaties met beperkte technische kennis. Hier ligt de focus op basismaatregelen voor informatiebeveiliging, zoals het gebruik van firewalls, antivirussoftware en software-updates. Meer informatie en een overzicht van de basismaatregelen zijn de vinden bij het Nationaal Cyber Security Centrum (NCSC): Basismaatregelen NCSC.
Niveau Basis (standaardniveau)
Het niveau ‘Basis’ omvat standaardmaatregelen voor informatiebeveiliging die van toepassing zijn op alle organisaties. Deze maatregelen bieden effectieve beveiliging en maken gebruik van bestaande technologieën en processen. Indien nodig worden maatregelen aangepast en verfijnd. Voor meer informatie en kernmaatregelen wordt verwezen naar het NIST Cybersecurity Framework, specifiek deel Identify (ID) en Protect (PR) met enkele kernmaatregelen uit Detect (DE), Respond (RS) en Recover (RC). Zie bijlage A ‘Lijst van kernmaatregelen voor het zekerheidsniveau Basis’.
Niveau Belangrijk (uitgebreid niveau)
Het niveau ‘Belangrijk’ is ontworpen om niet alleen bekende cybersecurityrisico’s aan te pakken, maar ook om het risico op gerichte cyberaanvallen door actoren met gebruikelijke vaardigheden en middelen tot een minimum te beperken. Voor gedetailleerde informatie en aanvullende maatregelen wordt verwezen naar het NIST Cybersecurity Framework, met de nadruk op alle delen (ID, PR, DE, RS en RC) en aanvullende maatregelen in bijlage B ‘Lijst van aanvullende kernmaatregelen voor het zekerheidsniveau Belangrijk’ (inclusief aanvullingen op bijlage A).
Niveau Essentieel (geavanceerd niveau)
Het niveau ‘Essentieel’ gaat nog een stap verder en is bedoeld om organisaties te beschermen tegen geavanceerde cyberaanvallen door actoren met uitgebreide vaardigheden en middelen. Voor uitgebreide richtlijnen en aanvullende maatregelen wordt verwezen naar het NIST Cybersecurity Framework, waarbij alle richtlijnen worden opgenomen. Kernmaatregelen Essentieel worden vermeld in bijlage C ‘Lijst van aanvullende kernmaatregelen voor het zekerheidsniveau Essentieel’ (inclusief aanvullingen op bijlage A en B).
Op basis van historische gegevens heeft het CCB een analyse uitgevoerd op succesvolle cyberaanvallen met behulp van geanonimiseerde gegevens. Hieruit blijkt dat maatregelen op het niveau ‘Basis’ 82% van de aanvallen kunnen afdekken, maatregelen op niveau ‘Belangrijk’ 94% van de aanvallen kunnen afdekken en maatregelen op het niveau ‘Essentieel’ dekken 100% van de aanvallen.
Op basis van deze aanvallen zijn er voor elk beveiligingsniveau (Basis, Belangrijk en Essentieel) specifieke kernmaatregelen bepaald. Deze zijn zorgvuldig geselecteerd om bescherming te bieden tegen bekende cyberaanvallen die relevant zijn voor het desbetreffende beveiligingsniveau. Het idee achter deze aanpak is dat organisaties eerst de kernmaatregelen moeten implementeren die overeenkomen met hun beveiligingsniveau, alvorens andere maatregelen te overwegen. Dit helpt organisaties bij het prioriteren van tegenmaatregelen op basis van hun specifieke beveiligingsbehoeften. Het zorgt ervoor dat organisaties eerst de meest kritische en effectieve maatregelen implementeren om zich te beschermen tegen de meest voorkomende en ernstige cyberaanvallen.
Hulpmiddelen voor toepassing
Om het gebruik van het CyberFundamentals Framework gemakkelijker te maken, zijn er verschillende handige tools beschikbaar in het Engels om organisaties te ondersteunen bij de implementatie ervan:
- CyFun Selection Tool:Dit is een nuttig hulpmiddel voor risicobeoordeling. Het ondersteunt organisaties bij het nemen van weloverwogen beslissingen bij het kiezen van het juiste CyberFundamentals Assurance Level.
- CyFun Self-Assessment tool: Deze Excel-tool ondersteunt organisaties bij het uitvoeren van zelfevaluaties. Het bevat spider-diagrammen voor waardevolle inzichten en managementrapportages. Het helpt organisaties bij het herkennen van sterke en zwakke punten in hun aanpak voor cybersecurity en geeft richting voor verbetering.
- CyberFundamentals Framework mapping:Deze Excel-tool biedt een overzicht van de vereisten van het CyberFundamentals Framework, inclusief verbanden met andere cybersecurityraamwerken en -normen. Het helpt het organisaties begrijpen hoe het CyberFundamentals Framework zich verhoudt tot bestaande normen en richtlijnen.
Kort samengevat is het CyberFundamentals Framework een waardevol model dat de sterke punten van volwassenheid, een raamwerk en internationale standaarden combineert. Deze combinatie maakt het een effectief instrument voor organisaties om hun aanpak voor cybersecurity te versterken en te verbeteren.
