Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.3.5
3.3.5 Veerkracht
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660947:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie t.a.v. deze andere drie beveiligingsdoelen §3.3.2, 3.3.3 en 3.3.4.
Björck e.a. 2015, p. 311; Conklin & Shoemaker 2017, introduction.
Zie bijv. Conklin & Shoemaker 2017, introduction. De waarborging van veerkracht heeft, met andere woorden, een ex post werking, terwijl die van de andere beveiligingsdoelen ook een sterke een ex ante werking heeft. Overigens kunnen ook de maatregelen die in het kader van de eerder besproken beveiligingsdoelen worden getroffen, zien op het beperken van schadelijke gevolgen. Het gaat dan echter meer om de gevolgen voor het object zelf, en minder om die voor de functionaliteit van de daarop draaiende bedrijfsprocessen (veelal zal dit echter wel gelijk lopen). Zie §3.5.3.
Bishop e.a. 2011, §3; Björck e.a. 2015, p. 311; Royal Academy of Engineering 2018, §3.2.2.
Zie bijv. de inventarisatie in Cherdantseva & Hilton 2013, tabel 2, waaruit blijkt dat veerkracht niet als beveiligingsdoel wordt omschreven. Zie voor het onderscheid tussen beveiliging en veerkracht Bishop e.a. 2011, §2.1; Björck e.a. 2015, p. 313.
Zie bijv. Royal Academy of Engineering 2018, §4.3. Om deze reden beschrijf ik veerkracht als een beveiligingselement in plaats van een beveiligingsdoel. Overigens komt in de toevoeging van ‘cyber’ ook tot uiting dat veerkracht zich richt op de beveiliging van systemen. Zie over de verschillende beveiligingsvakgebieden §3.2.1.
Zie hierover ook nog de laatste alinea van deze paragraaf.
Zie over de term beveiligingsinbreuk ook §1.4.2. en §3.3.1.
Zie over dit soort inbreuken §3.3.4.
Björck e.a. 2015, p. 311; Linkov & Kott 2019, §2.
Zie over de relatie tussen veerkracht aan de ene kant en integriteit en vertrouwelijkheid aan de andere kant: Bishop e.a. 2011.
Blijkens art. 32 lid 1 onder b AVG moeten verwerkingsverantwoordelijken en verwerkers ter beveiliging van persoonsgegevens, waar passend, ook de veerkracht van verwerkingssystemen en -diensten op permanente basis garanderen.1 Veerkracht is daarmee het enige beveiligingselement dat geen onderdeel is van de CIA triade, maar wel tezamen met de beveiligingsdoelen hieruit voorkomt in de AVG-beveiligingsbepalingen.2
Verwerkingssystemen en -diensten zijn veerkrachtig indien ze gedurende en na afloop van een beveiligingsaanval de gewenste resultaten blijven geven. Hiertoe moeten ze zonder onderbreking blijven functioneren en anders relatief eenvoudig weer werkzaam zijn.3 Veerkracht heeft een andere ratio dan de traditionele informatiebeveiligingsdoelen. Waar vertrouwelijkheid, integriteit en beschikbaarheid zijn gericht op de beveiliging van een object (zoals informatie of software), richt veerkracht zich op de continuïteit van de bedrijfsprocessen die met deze objecten worden verricht. Op veerkracht gerichte maatregelen beogen deze continuïteit te waarborgen als deze door een beveiligingsaanval in het geding komt, en zijn zo gericht op het voorkomen van verdere bedrijfsschade (zie ook §3.5.4). Anders dan veel maatregelen die in het kader van andere beveiligingsdoelen worden getroffen, zien zij dus altijd op de situatie na een beveiligingsincident.4 Zij kunnen bijvoorbeeld bewerkstelligen dat een systeem, ondanks een Distributed Denial of Service-aanval, blijft functioneren doordat er alternatieve systeemonderdelen worden ingeschakeld. Het groeiende besef dat het onmogelijk is beveiligingsincidenten geheel uit te sluiten, heeft meegebracht dat informatiebeveiligingsspecialisten steeds meer interesse voor veerkracht hebben gekregen.5
Niet alle beveiligingsspecialisten rekenen de waarborging van veerkracht tot het informatiebeveiligingsdomein.6 Sommigen zien het, juist vanwege het hierboven behandelde aparte karakter van dit element, niet als een beveiligingsdoel, maar als een apart vakgebied; ‘cyber resilience’.7 Omdat de precieze categorisering van veerkracht van weinig belang is voor de uiteindelijke vormgeving van persoonsgegevensbeveiliging of de invulling van de AVG-beveiligingsbepalingen, ga ik hierop niet verder in.
In de AVG wordt veerkracht alleen gerelateerd aan de beveiliging van verwerkingssystemen en -diensten, niet aan die van persoonsgegevens. Ook dit heeft te maken met de ratio van dit beveiligingselement. Hoewel persoonsgegevens een essentiële rol kunnen spelen binnen bedrijfsprocessen, verrichten zij die zelf niet. Daarom wordt er in de regel niet gesproken over ‘veerkrachtige persoonsgegevens’.8
Maatregelen die zien op de veerkracht van verwerkingssystemen en -diensten beperken de gevolgen van beveiligingsinbreuken voor deze systemen en diensten. Zij zijn hierdoor nauw gerelateerd aan de maatregelen die deze beveiligingsinbreuken (inbreuken op de beschikbaarheid, integriteit en vertrouwelijkheid van deze systemen en diensten) tegengaan en herstellen.9
Een beschikbaarheidsinbreuk die de functionaliteit van een beveiligingsobject aantast, heeft op het eerste oog het grootste effect op de continuïteit van de daarvan afhankelijke bedrijfsprocessen.10 Om deze bedrijfsprocessen te laten draaien, zullen de aangetaste objecten weer beschikbaar moeten worden gemaakt of moeten worden vervangen. Net als sommige beschikbaarheidsmaatregelen zullen veerkrachtsmaatregelen er dus op zijn gericht om, indien een essentieel onderdeel van de (ICT-)infrastructuur beschadigd raakt, dit onderdeel te herstellen of alternatieve (ICT-)infrastructuur te activeren.11 Er bestaat dan ook overlap tussen maatregelen die in het kader van de beschikbaarheid van gegevens worden getroffen en maatregelen die zien op veerkracht.
Ook integriteitsinbreuken kunnen de functionaliteit en resultaten van verwerkingssystemen en -diensten aantasten. Zo kan de verwijdering of vernietiging van een essentieel onderdeel van (ICT-)infrastructuur de continuïteit van de daarmee verrichte processen sterk hinderen (zie ook §3.3.4). Een inhoudelijke of functionele aanpassing kan er bovendien voor zorgen dat deze systemen of diensten (bijvoorbeeld door foutieve instellingen) niet meer tot de gewenste resultaten leiden. Een veerkrachtig systeem zal zulke (door integriteitsinbreuken veroorzaakte) functionaliteitsproblemen herstellen door de aanpassing bijvoorbeeld te detecteren en automatisch ongedaan te maken.12