DDoS-aanvallen en de rol van de interne auditfunctie

UIT DE IT-AUDITOR
Dit artikel is eerder gepubliceerd op deitauditor.nl

‘Distributed denial of service’ (DDoS) is een vorm van DoS waarbij een bepaalde dienst (bijvoorbeeld een website) niet beschikbaar wordt gemaakt door deze te bestoken met veel netwerkverkeer vanuit een groot aantal verschillende bronnen (‘distributed’). Het resultaat is dat deze diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten van een organisatie.

Een DDoS-aanval kan de ICT en de daarvan afhankelijke processen van een organisatie verstoren. Criminelen zetten dit soort aanvallen meestal in om via afpersing geld te verdienen door organisaties te dreigen met een aanval.

Incidenten bij financiële instellingen

Omdat de slagingskans en schade van een DDoS-aanval in het algemeen vrij groot zijn, zijn financiële markten interessante targets voor criminelen. Volgens een onderzoeksrapport van Akamai was meer dan 40% van de DDoS-aanvallen in 2018 en 2019 gericht op financiële instellingen. Bovendien steeg de afgelopen drie jaar het percentage DDoS-incidenten bij financiële instellingen wereldwijd met 32%. Het opvallendste incident in 2020 was dat bij de Nieuw-Zeelandse aandelenbeurs (NZX). De NZX werd in augustus 2020 twee dagen achter elkaar platgelegd door een DDoS-aanval, waardoor het niet meer mogelijk was om te handelen.

Volgens een publicatie van het Nationaal Cyber Security Centrum (NCSC) ontvingen verschillende organisaties afpersingmails waarin wordt gedreigd met een DDoS-aanval. Uit deze publicatie blijkt dat het volume van de DDoS-aanvallen voor Nederlandse maatstaven uitzonderlijk groot is en de aanvallen tot 250 Gbps (Gigabit per seconde) kunnen oplopen. Ter indicatie: in 2019 was de grootste aanval in Nederland 124 Gbps. Het volume per aanval neemt dus flink toe. Deze incidenten leiden onontkoombaar tot een pijnlijke vraag: lopen financiële instellingen in Nederland steeds meer het risico te worden getroffen door DDoS-aanvallen?

Rol van de interne auditfunctie

Interne auditfuncties (IAF) dragen bij aan de realisatie van de organisatiedoelstellingen. Als objectieve waarnemer verschaffen ze aanvullende zekerheid over de effectiviteit en de beheersing van de bedrijfsvoering. Hun taak omvat uitvoeren van audits, en het senior management, het bestuur en de auditcommissie hierover rapporteren en adviseren. Daarom kunnen de IAF’s toegevoegde waarde leveren door de toetsing van de DDoS-beheersmaatregelen die zijn getroffen om de continuïteits- en beschikbaarheidsdoelstellingen in de financiële instellingen te realiseren (zie figuur 1).

Auditjaarplan

IAF’s moeten een op risicoanalyse gebaseerd auditjaarplan opstellen om de prioriteiten van de IAF te bepalen (IIA Standaarden 2010 – Planning). Deze risico’s worden gewogen in het licht van de doelstellingen van de organisatie. Gezien de omvang van de dreiging kunnen IAF’s in hun risicoanalyse voor het jaar 2021 toenemende DDoS-risico’s bij de financiële instellingen in overweging nemen.

Evalueren risicomanagement

IAF’s zijn verantwoordelijk voor de beoordeling van de effectiviteit van de processen (risicomanagement- en -beheersmaatregelen) in organisaties. Interne auditors bij financiële instellingen kunnen het management een holistische aanpak bieden door de kwetsbaarheden voor DDoS-aanvallen te identificeren en de toereikendheid van detecterende maatregelen en herstelwerkzaamheden te toetsen. Zo kunnen interne auditors het management inzicht verschaffen in de DDoS-risico’s op de bedrijfsprocessen, systemen, assets en data.

In het kader van de consultingrol van interne audit kunnen IAF’s samenwerken met de ICT-afdeling en de informatiebeveiligingsafdeling om de key risk indicators (KRI’s) rondom het DDoS-domein te ontwikkelen en monitoren.

Evalueren beheersmaatregelen

Het NCSC adviseert om zowel technische als organisatorische maatregelen te treffen als bescherming tegen DDoS-aanvallen. Een DDoS-aanval is niet helemaal te voorkomen. Het werk van de interne auditor richt zich dan ook niet zozeer op de maatregelen die zijn getroffen om DDoS-aanvallen te voorkomen, maar vooral op de doeltreffendheid en doelmatigheid van de technische en organisatorische beheersmaatregelen die getroffen zijn om de impact van DDoS-aanvallen te beperken en om de processen en systemen te herstellen na een DDoS-aanval.

De afgelopen drie jaar steeg het percentage DDoS-incidenten bij financiële instellingen wereldwijd met 32%

Organisatorische beheersmaatregelen

Preventief moeten organisaties processen implementeren in lijn met hun informatiebeveiligingsbeleid, om DDoS-risico’s te identificeren en te beheersen. Voor de inrichting van processen die DDoS-bedreigingen detecteren, kunnen financiële instellingen gebruikmaken van internationaal geaccepteerde raamwerken zoals MITRE ATT&CK.

Financiële instellingen moeten ook processen inrichten en plannen vaststellen die worden geactiveerd bij detectie van een DDoS-incident. Deze processen en plannen bevatten in elk geval maatregelen om het incident te stoppen, de negatieve impact te beperken, de schade te herstellen en hier goed over te communiceren met stakeholders.

In het kader van de organisatorische maatregelen kunnen de IAF’s bij financiële instellingen het bestuur redelijke zekerheid bieden over de doeltreffendheid van de processen voor ‘threat intelligence’, logging en monitoring, capaciteitsmanagement, incidentmanagement en businesscontinuïteit. Maar alleen de organisatorische maatregelen zijn niet toereikend om de DDoS-risico’s te mitigeren, er zijn ook technische maatregelen nodig.

Technische beheersmaatregelen

Interne auditors moeten voldoende kennis bezitten van de belangrijkste informatietechnologische risico’s en beheersmaatregelen om de hen toegewezen werkzaamheden te kunnen uitvoeren (IIA Standaarden 1210.A3). Financiële instellingen moeten meerdere technische maatregelen treffen om de ICT-infrastructuur te beschermen tegen DDoS-aanvallen. Enkele voorbeelden zijn ‘system hardening’, het doorvoeren van de meest recente updates en het gebruik van ‘web application firewalls’, ‘dedicated network firewalls’ en ‘loadbalancers’.

IAF’s kunnen het bestuur redelijke zekerheid bieden dat de benodigde technische maatregelen zijn opgenomen in verschillende lagen van de infrastructuur, zoals applicaties, diensten, servers en netwerk en dat deze maatregelen doeltreffend zijn. Startpunt hiervoor is de risicoanalyse van DDoS-dreigingen en technische analyses door de ICT-afdeling en de informatiebeveiligingsafdeling. Het toetsen of de beveiligingsconfiguraties in het netwerk overeenstemmen met best practices en interne baselines kan een goed begin zijn om het beveiligingsniveau van de internetverbonden componenten indirect omhoog te brengen.

Het toetsen of de beveiligingsconfiguraties in het netwerk overeenstemmen met best practices en interne baselines kan een goed begin zijn

Communicatie met bestuur

Het hoofd van de IAF moet in de periodieke en ad-hocrapportages aan de directie en de raad van commissarissen de belangrijkste DDoS-risico’s en ontbrekende/ontoereikende maatregelen onder de aandacht brengen. De inhoud van de rapportages hangt af van de potentiële impact van DDoS-aanvallen en daarmee de hoogte van het risico en de mate van urgentie voor het nemen van maatregelen door het senior management en het bestuur (IIA Standaard 2060).

Samenvatting aanbevelingen

Interne auditors bij financiële instellingen kunnen veel betekenen om DDoS-risico’s te mitigeren. De aanbevelingen voor de IAF’s uit dit artikel samengevat:

• Neem de toenemende DDoS-risico’s op in het audit universe.
• Help het management om de DDoS-kwetsbaarheden te identificeren door audit- en consulting-opdrachten.
• Toets de doeltreffendheid van de organisatorische maatregelen in processen zoals ’threat intelligence’, logging en monitoring, capaciteitsmanagement, incidentmanagement en businesscontinuïteitsmanagement en rapporteer hierover aan het bestuur.
• Evalueer de genomen technische maatregelen in verschillende lagen van de infrastructuur in overeenstemming met het advies van het NCSC.
• Breng de belangrijkste blootstellingen aan DDoS-risico’s en noodzakelijke maatregelen onder de aandacht van het bestuur.