Risico en dreigings register
Met enige regelmaat lezen we over dingen die ernstig fout zijn gelopen. In het kader van risk-management spreken we dan over een ‘gematerialiseerd risico.’ Deze berichten vormen een belangrijke bron van informatie om tot relevante risico’s te komen voor jouw organisatie.
Dit overzicht is bedoeld als referentielijst en is niet bedoeld als definitieve lijst van ‘oorzaak gevolg maatregel’ relaties. Een risicouitwerking (risk modelling) vereist altijd een diepte analyse en maatwerk per organisatie.
De lijst wordt doorlopend aangevuld en kan overlap bevatten (cascades).
De diepteanalyse en het daaruit voortvloeidende ontwerp van maatregelen is de diensverlening en meerwaarde die Crucialis u levert.
Register
| Thema | Risico scenario’s | Maatregelen |
| Brand | mensen, gebouwen, en derden, rook, hitte, bestrijding (EV in autogarages). | Brandcompartimenten, brandwerende materialen, brandmeldinstallaties, brandmiddelen, BHV, RI&E, ontruimingsoefeningen, blusoefeningen. |
| Klimaat(regelingen), Natuurrampen | Hitte, Kou, Luchtvochtigheid, uitval, onbereikbaarheid, natuurbranden, overstromingen. | Inspecties, Plaatsing (IT)systemen, Monitoring, Protocollen, Verzekeringen Contractbepalingen |
| Water | Defecte sprinklers, lekages leidingen, brandbestreiding, Sabotage, gezondheid | Inspecties, Plaatsing (IT)systemen, Monitoring, Protocollen, Verzekeringen Contractbepalingen |
| Sneeuw | Gladheid, gewicht (daken/panden), vallend (vrachtwagens, overkappingen, rigels) |
Inspecties,
|
| Vuilopbouw | Brandgevaar, Stof(explosies), mechanische (bewegende) componenten, gezondheid (stof), Corrosie, veiligheidsinstallaties, printer(stof). | Inspecties, Inrichting, Protocollen, |
| Ramp in omgeving | Astbes, nabij gelegen gevaarlijke industrie, risicovolle strategische objecten, transformatoren, gasverdeelstation | Inrichting, Protocollen, |
| Evenementen in omgeving | Toegangbeperking, gevaar voor derden, Demonstraties, rellen. | Inrichting, Protocollen, |
| Uitval net voorzieningen | Geen zicht, gevaarlijke situaties, gezondheid, veiligheid, niet werken van veiligheidsinstallaties, geen blusmiddelen, productieverstoringen, communicatievoorzieningen, liftinstallaties. | Inrichting, Protocollen, noodvoorzieningen |
| Uitval interne voorzieningen | Stroom, Telefoon, Koeling, Verwarming, Beluchting, Ventilatie, Water, Riool, Gas, Meldinstallaties (brand, inbraak, domotica), liftinstallaties, sprinkler installaties, noodkleppen. | Inrichting, Protocollen, |
| Uitval voorzieningen derden | Uitval van cloud diensten, netvoorzieningen 3e aanbieders, concentratierisico’s (alle diensten zelfde datacenter), | Inrichting, Protocollen, RI&E |
| Elektromagnetische straling | Gevoelige elektronica, onvoldoende scheiding tussen voeding en datakabels, onjuiste plaatsing accesspoints, onvoldoende of onjuiste aarding metale gestellen | Inrichting, Protocollen, Normen (NEN1010), Kooi van farrady |
| Spionage | Vrij toegankelijke informatie, onjuiste afscherming, geen contractuele afspraken (NDA), onvoldoende monitoring. | Inrichting, protocollen, ISO27002, NEN7510-2, IEC62443, screening van personeel, 4-ogen principes, rol/job roulatie van kritieke rollen. |
| Afluisteren | Afluisteren van gevoelige informatie, gebrek aan bewustzijn, organisatiecultuur, koffie automaat gesprek, wandelgangen informatie systemen, | bewustzijn, protocollen, organisatiegedrag beinvloeding. |
| Diefstal | Documenten, datadragers, apparaten en systemen, intellectueel eigendom | Registratie, toegangsbeheer, 4 ogen principes, taakscheiding, protocollen, goedkeuringsprocedures, monitoring. |
| Verlies | Documenten, datadragers, apparaten, systemen, mensen | Remote wipe, overdraagbare processen, inrichting, protocollen. |
| Gebrek aan planning | Negatieve effecten tijdens onderhoud, door proces opzweepeffecten, door gebrek aan gebruiksmiddelen, door gebrek aan reservemiddelen, door gebrek aan of onjuiste ontwerpcriteria. | Inventarisatie, inkoop, resource planning, protocollen. |
| Openbaarmaking gevoelige informatie | Gebrek aan procedure voor publicatie, Onvoldoende beheersing van (fysieke en digitale) informatiebronnen, Diefstal/data exfiltratie, meelezen, afluisteren, shoulder surfing, opslag buiten EU. | |
| Onbetrouwbare bronnen | Onjuiste of ongegronde besluitvorming, aannames, reputatieschade, AI, Onjuiste patches en updates, illegale software, inbreuk op intellectueel eigendom derden, spoofing email, systeem inbreuken, data manipulatie. | Inventarisaties, inkoop procedures, 4-ogen principes, scheiding van taken, protocollen. |
| Manipulatie hard- en software | Verborgen software verwerkingen, inbreuk van privacy, wegsluizen gevoelige informatie, dead-switch algoritmen, technische schuld kritieke bewerkingen, onbekende systeemzwakten. | testen, controles, procedures, contractuele afspraken, bewustzijn, scheiding van taken, monitoring, driehoekscontroles |
| Manipulatie van informatie | (On)bewuste onjuiste invoer van medewerkers, systeem misbruik extern, MitM aanvallen, onjuiste bewerkingen, datakwaliteitafbreuk, social engineering. | 4 ogen principe, protocollen, controles achteraf, monitoring, steekproeven, arbeidscontracten, acceptable use policies, code of conducts. |
| Onbevoegde toegang tot systemen | hack pogingen, data exfiltratie, backdoors, beheertoegang, follow the sun risico’s, leveranciertoegang. | toegangbeperkende maatregelen, monitoring, contractafspraken, protocollen (wijzigingsbeheer), toezicht, penetratietesten. |
| Systeemverstoringen | Nalatigheid, onjuist gebruik, technische corruptie, onvoldoende onderhoud, onjuist onderhoud, defecte componenten. | Inventarisaties, Procedures, protocollen, draaiboeken, onderhoudsplanning |
| Falen van systemen | Onjuiste werking van systemen door slijtage, ontwerp fouten, onvoorziene situaties. | Inspecties, leren van historische incidenten, leren van publieke berichtgeving, toepassen wijzigen in regelgeving, updates, doorvoeren van aanpassingen. |
| Gebrek aan middelen | Personeel, kennis, geld, ruimte, capaciteit, productie, ingredienten, voorzieningen. | Inventarisatie, leren van historische incidenten, forecasting. |
| Overtreding van wet en of regelgeving | Boetes, reputatie, aansprakelijkstelling derden, leveranciers, sanctielijsten, meld-zorg plichten, wijziging wetgeving. | Inventarisatie W&R, toezicht, procedures en protocollen, leverancierbeheersing. |
| Misbruik van rechten en permissies | Onterecht of onjuist gebruik van beheertoegang, toegang tot gevoelige stuursystemen, Gebruik andermans toegangspas of credentials, afwijken van protocol, social engineering, onvoldoende afscherming van kritieke systemen (accidental walk ins), onvoldoende monitoring/bewaking. | Zonebeleid, inventarisatie kritieke systemen en toegang, leveranciersbeheersing, procedures en protocollen, scheiding van systemen, processen en rollen. |
| Misbruik van permissies | cascaderende toegang onnodige applicatiefuncties, hop-in voor andere functies/rollen, onvoldoende mogelijkheid rolscheiding toe te passen binnen applicaties of processen, sabotage, dwalingen, onjuiste besluitvorming | RBAC ontwerp, functie profielen, RACI, testing, monitoring, procedures, protocollen, 4-ogen principe, scheiding van taken en rollen, selectiecriteria, inkoop, leverancierbeheersing, penetratietesten. |
| Afpersing | Misbruik van gevoelige informatie of kennis. Onvrede in de organisatie, persoonlijk gewin, vendor lock in, | Vertrouwenspersoon, klokkenluiderregelingen, code of conduct, arbeidsovereenkomsten, leveranciersbeheersing, bedrijfscultuur, VOG |
| Fraude | spookfacturen, manipulatie van logbestanden, gebruik niet herleidbare accounts, voortrekken van leveranciers of oplossingen, onvrede, reputatieschade. | proces inventarisaties, procedures, 4 ogen principe, scheiding van taken en rollen, steekproeven, zorgvuldige besluitvorming |
| Sabotage | Toegang tot kwetsbare systemen, gelegenheid, dreigingen buitenaf, accidental walk in, onvrede, concurrentie, onbetrouwbare leveranciers, perverted incentives (winst door bewuste schade) | Inventarisatie, ontwerp en inrichting, zone-beleid, inspecties, leverancierbeheer, personeelbeheer, VOG. |
| Personeel uitval/beschikbaarheid | Vertrek, ziekte, pandemieen, ongevallen, overlijden, concurrentie (head hunting), leveranciers (overname gekwalificeerd personeel), schaarste arbeidsmarkt. | HRM processen, ziektebegeleiding, overdracht, gedocumenteerde procedures, werving, resource planning, contactbeperkingen, boete clausules overname, insourcing. |
| Aanslagen | Vitale infrastructuur, maatschappelijke onrust, reputatieschade, onvrede, buitenlandse vestigingen (USA). | Inventarisatie, ontwerp en inrichting, monitoring, bewustwording, protocollen, contact met overheidsinstanties, contact met belangengroepen |
| Coersie, Afpersing en corruptie | Misbruik van (gelekte) gevoelige informatie of kennis. Onvrede in de organisatie, persoonlijk gewin, persoonlijke voorkeuren, hoge functionarissen, politiek actieve medewerkers (PEPs). | Vertrouwenspersoon, klokkenluiderregelingen, code of conduct, arbeidsovereenkomsten, leveranciersbeheersing, 4 ogen principe, scheiding van taken, meldcultuur, VOG |
| Identiteitsdiefstal | Goedkeuringsprocessen (via email of alternatief medium), onvoldoende verificatie van identiteit. | |
| Communicatie uitval | Mensen, systemen zijn niet langer instaat te communiceren door de uitval van communicatiemiddelen. Uitval internet, uitval mobiele netwerken, signal jamming. | Alternatieve aanpakken en procedures. Papieren processen. darkfibers, walky talkies, meshtastic alternatieven, etc. |
| Uitval (informatie) systemen | Uitval van ondersteunende informatiesystemen, documentatie, bedieningsinstructies, contactinformatie enzovoorts. | Incident response draaiboeken waarin verschillende scenario’s zijn beschreven en uitgewerkt (ISO22301) |
| Onvoldoende strategische voorraad | Strategische voorraden zijn niet voorhanden of zijn onderdeel van een onvoorspelbare/onzekere supplychain waardoor de continuiteit van de organisatie in gevaar komt. | Strategisch voorraad beheer. ABC-analyse, Vendor Managed Inventories, Dual sourcing strategieen (stakeholder management). Speltheorie (verticale contracten, keten strategieen). |
| Personele schaarste | Personeel in kritieke rollen zijn niet (langer) voorhanden door (definitieve) uitval, oproep of schaarste in de markt. | Training, job-rol roulatie, samenwerkingsverbanden, personeelsontwikkeling, strategische werving. |
| Datalek (diefstal / verlies) | Als gevolg van een breach is gevoelige persoonsgegevens gelekt waardoor de veiligheid en privacy van betrokkenen niet langer door de organisatie gewaarborgd kan worden. | Proces inventarisaties, informatie classificaties, DPIAs, Incident response procedures, communicatieplannen, technische maatregelen, contractuele maatregelen, operationele maatregelen. |
| Datalek (Gevoelige data) | Als gevolg van een datalek kan gevoelige informatie lekken waarmee de organisatie kan worden afgeperst. | Overzicht van gevoelige informatie en passende maatregelen om lekken en de impact van lekken te voorkomen. |
| Datalek (Logdata) | Als gevolg van het onvoldoende filteren van logregels kan een situatie ontstaan dat gevoelige informatie kan zijn opgenomen in logbestanden. Denk aan gebruikers en wachtwoordgegevens. | Beperk logging tot dat wat nodig is voor de navolgbaarheid en analyse van problemen. Log allen gepseudonimiseerde informatie indien dit nodig is. |
| Datalek (Ongeoorloofde toegang) | Als gevolg van onjuiste toegangscontroles of het ontbreken ervan kunnen onbevoegden toegang krijgen tot informatie die niet voor hen bedoeld zijn. | Overzicht van gevoelige informatie, hun locaties en de wijze waarop deze moeten zijn beveiligd met toegangscontroles en RBAC. |
| Datalek (Data Persistentie) | Als gevolg van data-persistentie (kopieen, geheugen, caching) kan een situatie ontstaan waarbij gevoelige informatie toegankelijk is of gemaakt kan worden door personen die daar geen toegang toe zouden mogen hebben. | Beperken van fysieke toegang, tijdig schonen van opslag cache en andere gepersisteerde data, versleuteling. |
| Datalek (Cross-sessie-leaks) | Als gevolg van een onjuist geconfigureerde multi-tenant, multi-sessie systemen of het onvoldoende isoleren van sessies, kunnen situaties ontstaan dat gebruikers gevoelige informatie van elkaar krijgen te zien zonder dat ze daar toegang toe zouden mogen hebben. | Software kwaliteitscontroles, test vereisten, acceptatietesten. |
| AI (Instruction Hijacking) | Als gevolg van het bewust manipuleren van de AI prompt kunnen situaties ontstaan dat veiligheidsinstructies aan de AI omzeild kunnen worden en ongewenst gedrag uitgelokt kan worden. | Prompt-filtering, prompt boundries, user input filtering. |
| AI (Jailbreak prompts) | Als gevolg van het bewust manipuleren van de AI prompt kunnen situaties ontstaan dat de AI-agent instructies uitvoert die schadelijk zijn voor het systeem waarop deze draait. | Beperken van de AI capaciteiten. |
| AI (Context overrides) | Als gevolg van het (on)bewust manipuleren van de AI prompt kunnen situaties ontstaan waarin de AI onvoldoende of geen rekening meer houdt met de context waarin het zich begeeft of de persona die is toegewezen. | |
| AI (Data exfiltratie) | Als gevolg van het niet of onvoldoende beheersen van de toegang die AI (RAG) heeft tot bedrijfsdata kunnen situaties ontstaan dat bedrijfsinformatie via de AI lekt naar gebruikers voor wie deze niet bedoeld zijn. | |
| AI (Hallucinatie) | Als gevolg van het probabilistische karakter van AI kunnen situaties ontstaan waarbij AI een willekeurig en niet op feiten gebaseerd antwoord genereert die door de gebruiker als waar wordt gezien. | |
| AI (Stille fouten) | Als gevolg van het probabilistische karakter van AI kunnens situaties ontstaan waarbij het antwoord van AI onvolledig is en cruciale informatie in het antwoord ontbreekt waarbij het antwoord door de ontvanger als volledig wordt gezien. | |
| AI (Bias) | Als gevolg van probabilistische karakter van AI kunnen situaties ontstaan waarbij ongewenste statistische bias in de trainingsdata ook in de antwoorden van de AI tot uiting komen. | Wat statistisch waar is, is niet altijd de gewenste of geaccepteerde uitkomst van een AI prompt. |
| AI (Model drifting) | ||
| AI (Prompt drifting) | ||
| AI (Economical DDOS) | ||
–