Responsprocedure voor gegevensincidenten

Pdf-versie downloaden

Inleiding

Het onderhouden van een veilige en betrouwbare omgeving voor klantgegevens heeft in Google Cloud de hoogste prioriteit. Google hanteert een toonaangevend programma voor gegevensbeveiliging om klantgegevens te beschermen. Hierin combineren we strikte procedures, een team van wereldklasse en een gegevensbeveiliging- en privacyinfrastructuur met meerdere lagen. Dit artikel behandelt de principes van Google bij het beheren van en reageren op gegevensincidenten voor Google Cloud.

Reageren op incidenten is een belangrijk aspect van het algehele beveiligings- en privacyprogramma van Google. We hanteren een nauwgezette procedure voor het beheren van gegevensincidenten. In deze procedure worden de acties, escalaties, risicobeperking en melding beschreven van mogelijke incidenten die van invloed zijn op de vertrouwelijkheid, integriteit of beschikbaarheid van klantgegevens.

Bij Google wordt een gegevensincident gedefinieerd als een inbreuk op de beveiliging van Google die leidt tot onbedoelde of onwettige vernietiging, verlies, wijziging en ongeautoriseerde vrijgave van of toegang tot klantgegevens in systemen die worden beheerd door of anderszins onder controle staan van Google. Hoewel Google stappen onderneemt om voorzienbare bedreigingen voor gegevens en systemen aan te pakken, worden mislukte pogingen of activiteiten die geen inbreuk maken op de beveiliging van klantgegevens niet als gegevensincident beschouwd. Voorbeelden hiervan zijn: mislukte inlogpogingen, pings, scans van poorten, DoS-aanvallen (denial of service) en andere netwerkaanvallen op firewalls of netwerksystemen.

Klantgegevens beveiligen met Google

De beveiliging van klantgegevens is van groot belang, maar de beveiliging is altijd het resultaat van de samenwerking tussen Google en de klant. Google beveiligt de onderliggende cloudinfrastructuur en services en de klanten beveiligen hun apps, apparaten en systemen wanneer deze gebruikmaken van de cloudinfrastructuur van Google. Google biedt klanten begeleiding en meerdere beveiligingsfuncties zodat beveiligingsmethoden van Google-kwaliteit kunnen worden toegepast:

  • Identiteits- en toegangsbeheer

  • Standaard gegevensversleuteling tijdens opslag en overdracht, waarvoor de klant geen actie hoeft te ondernemen.

  • Authenticatie in meerdere stappen, waaronder een phishing-resistente hardwaresleutel als tweede stap

  • Een reeks netwerkbeveiligingsopties, waaronder VPC (Virtual Private Cloud) en gedeelde VPC, ingebouwde DDoS-bescherming voor SaaS (Software as a Service), PaaS-oplossingen (Platform as a Service) en de optie om deze ook voor IaaS-oplossingen (Infrastructure as a Service) te gebruiken

  • Gedetailleerde controlelogboekregistratie

Voor meer informatie over het beveiligen van de cloud door Google, raadpleegt u het document Overzicht van het beveiligingsontwerp van de infrastructuur van Google en de bijbehorende NEXT '18-presentatie over beveiliging of gaat u naar de Google Cloud-site over beveiliging.

Google biedt klanten inzicht in de services die ze gebruiken in Google Cloud. Klanten kunnen met behulp van het beveiligingscentrum voor G Suite problemen met Gmail, Drive, apparaten, OAuth en gebruikersaccounts voorkomen, opsporen en verhelpen. Op dezelfde manier kunnen klanten voor GCP met behulp van het Cloud Security Command Center inzicht krijgen in de bedrijfsmiddelen, kwetsbaarheden, risico's en het beleid binnen hun organisatie.

Van hun zijde moeten klanten beveiligingsfuncties correct configureren om aan hun eigen behoeften te voldoen, software-updates installeren, netwerkbeveiligingszones en firewalls instellen en ervoor zorgen dat eindgebruikers hun accountinloggegevens beveiligen en geen gevoelige gegevens aan onbevoegden bekendmaken.

Afbeelding 1 laat zien hoe de verantwoordelijkheid verschuift tussen de klant en Google op basis van hoeveel beheerde services door de klant worden geleverd. Naarmate de klant overstapt van oplossingen op locatie naar IaaS-, PaaS- en SaaS-cloudcomputingproducten, beheert Google meer van de algehele cloudservice en heeft de klant minder beveiligingsverantwoordelijkheden.

Voor meer informatie over cloudbeveiligingsconfiguraties moeten klanten de betreffende productdocumentatie raadplegen.

Verantwoordelijkheidsdiagram

Reactie op gegevensincidenten

Het incidentresponsprogramma van Google wordt beheerd door teams van deskundige incidentrespondenten in veel gespecialiseerde functies, zodat elke respons goed is afgestemd op de specifieke aspecten van elk incident. Afhankelijk van de aard van het incident kunnen de werkzaamheden van het professionele responsteam het volgende omvatten:

  • Cloudincidentbeheer
  • Product-engineering
  • Site Reliability Engineering
  • Beveiliging en privacy in de cloud
  • Digitaal forensisch onderzoek
  • Wereldwijd onderzoek
  • Signaaldetectie
  • Beveiligings-, privacy- en productadvies
  • Vertrouwen en veiligheid
  • Technologie tegen misbruik
  • Klantenondersteuning

Vakexperts van deze teams zijn op verschillende manieren betrokken. Incidentbeheerders coördineren bijvoorbeeld de incidentrespons en, indien nodig, spoort het team voor forensisch onderzoek actuele aanvallen op en voert het forensisch onderzoek uit. Productengineers proberen de impact voor klanten te beperken en bieden oplossingen om het probleem voor de betreffende producten op te lossen. Het juridisch team werkt samen met leden van het betreffende beveiligings- en privacyteam om de strategie van Google met betrekking tot het verzamelen van bewijsmateriaal te implementeren. Daarnaast nemen ze contact op met wetshandhavingsautoriteiten en toezichthouders van de overheid en geven ze advies inzake juridische kwesties en vereisten. Supportmedewerkers reageren op vragen van klanten en verzoeken om aanvullende informatie en hulp.

Teamopzet

Wanneer we een incident melden, wijzen we een incidentbeheerder aan die de respons en oplossing van het incident coördineert. De incidentbeheerder selecteert specialisten uit verschillende teams en vormt een responsteam. In afbeelding 2 hieronder wordt een standaard responsorganisatie weergegeven. De incidentbeheerder delegeert de verantwoordelijkheid voor het beheren van de verschillende aspecten van het incident aan deze professionals en beheert het incident vanaf het moment van de melding tot de afsluiting. In afbeelding 2 wordt de organisatie van verschillende rollen en hun verantwoordelijkheden tijdens de incidentrespons getoond. .

Organisatie van gegevensincidentresponsteams

Responsprocedure voor gegevensincidenten

Elk gegevensincident is uniek en het doel van de responsprocedure voor gegevensincidenten is om de gegevens van klanten te beschermen, de normale service zo snel mogelijk te herstellen en te voldoen aan zowel wettelijke als contractuele nalevingsvereisten. De procedure van het incidentresponsprogramma van Google is als volgt:

Workflow voor incidentrespons

Identificatie

Vroege en nauwkeurige identificatie van incidenten is de sleutel tot een gedegen en effectief incidentbeheer. De nadruk in deze fase ligt op het controleren van beveiligingsgebeurtenissen om mogelijke gegevensincidenten op te sporen en te melden.

Het incidentdetectieteam van Google maakt gebruik van geavanceerde detectietools, signalen en waarschuwingsmechanismen die een vroege indicatie geven van mogelijke incidenten.

Dit zijn de bronnen van Google voor het detecteren van incidenten:

  • Geautomatiseerde analyse van netwerk- en systeemlogboeken: met geautomatiseerde analyse van netwerkverkeer en systeemtoegang kunnen verdachte, onrechtmatige of ongeautoriseerde activiteiten worden vastgesteld en naar beveiligingsmedewerkers van Google worden geëscaleerd

  • Tests: het beveiligingsteam van Google scant actief op beveiligingsbedreigingen met behulp van penetratietests, kwaliteitsbewakingsmaatregelen (quality assurance of QA), inbraakdetectie en beoordelingen van softwarebeveiliging

  • Controle van de interne code: met de controle van de broncode worden verborgen kwetsbaarheden en ontwerpfouten blootgelegd en wordt gecontroleerd of belangrijke beveiligingscontroles zijn geïmplementeerd

  • Productspecifieke tools en processen: er worden zoveel mogelijk geautomatiseerde tools gebruikt die specifiek zijn voor de teamfunctie, zodat Google incidenten op productniveau beter kan detecteren

  • Detectie van afwijkend gebruik: Google maakt gebruik van veel lagen van machinelearning-systemen om onderscheid te maken tussen veilige en afwijkende gebruikersactiviteiten voor browsers, apparaten, aanmeldingen voor toepassingen en andere gebruiksgebeurtenissen

  • Beveiligingswaarschuwingen van datacenter- en/of werkplekservices: beveiligingswaarschuwingen in datacenters scannen op incidenten die de infrastructuur van het bedrijf kunnen beïnvloeden

  • Google-medewerkers: een Google-medewerker merkt een afwijking op en meldt deze

  • Beloningsprogramma voor kwetsbaarheden van Google: mogelijke technische kwetsbaarheden in browserextensies, mobiele apps en web-apps van Google die de vertrouwelijkheid of integriteit van gebruikersgegevens beïnvloeden, worden soms gemeld door externe beveiligingsonderzoekers

Coördinatie

Wanneer een incident wordt gemeld, bekijkt en evalueert de beschikbare respondent het incidentrapport om te bepalen of er sprake is van een mogelijk gegevensincident en zet deze de incidentresponseprocedure van Google in gang.

Wanneer het incident eenmaal is bevestigd, wordt het incident overgedragen aan een incidentbeheerder die de aard van het incident evalueert en een gecoördineerde aanpak voor de respons toepast. In dit stadium wordt als onderdeel van de respons de beoordeling van het incident voltooid, zo nodig het ernstniveau ervan aangepast en het vereiste incidentresponsteam met de juiste operationele/technische leidinggevenden geactiveerd die de feiten beoordelen en vaststellen welke belangrijke aspecten moeten worden onderzocht. We wijzen een leidinggevende voor het product en een leidinggevende voor juridische zaken aan die beslissen hoe de respons moet zijn. De incidentbeheerder wijst de verantwoordelijken voor het onderzoek aan en de feiten worden verzameld.

Veel aspecten van de respons van Google zijn afhankelijk van de ernstbeoordeling die is gebaseerd op belangrijke feiten die worden verzameld en geanalyseerd door het incidentresponsteam. Het kan hierbij gaan om de volgende aspecten:

  • Kans op schade voor klanten, derden en Google

  • Aard van het incident (zijn de gegevens bijvoorbeeld mogelijk vernietigd, opgehaald of onbeschikbaar)

  • Type gegevens dat mogelijk bij het incident is betrokken

  • Impact van het incident op het gebruik van de service door klanten

  • Status van het incident (is het incident bijvoorbeeld geïsoleerd, nog gaande of onder controle)

De incidentbeheerder en andere leidinggevenden evalueren deze factoren regelmatig opnieuw tijdens de responsprocedure wanneer nieuwe informatie boven tafel komt, zodat aan de respons van Google de juiste resources en urgentie worden toegewezen. Aan gebeurtenissen met de belangrijkste impact wordt het hoogste ernstniveau toegewezen. Er wordt een leidinggevende voor de communicatie benoemd om een communicatieplan met andere leidinggevenden te ontwikkelen.

Oplossing

In dit stadium ligt de focus op het onderzoeken van de hoofdoorzaak, het beperken van de impact van het incident, het oplossen van de directe beveiligingsrisico's (als die er zijn), het implementeren van de benodigde fixes als onderdeel van de oplossing en het herstellen van de getroffen systemen, gegevens en services.

De betreffende gegevens worden waar mogelijk in de oorspronkelijke staat hersteld. Afhankelijk van wat redelijk en noodzakelijk is bij een bepaald incident, kan Google een aantal verschillende stappen ondernemen om een incident op te lossen. Het kan bijvoorbeeld nodig zijn om een technisch of forensisch onderzoek in te stellen om de hoofdoorzaak van een probleem te achterhalen of om de impact op de klantgegevens vast te stellen. Google kan proberen om kopieën van de gegevens op te halen uit de back-upkopieën van Google als de gegevens ondeugdelijk zijn gewijzigd of vernietigd.

Een belangrijk aspect van het herstellen is het informeren van klanten wanneer hun gegevens worden beïnvloed door incidenten. Belangrijke feiten worden gedurende het incident geëvalueerd om te bepalen of het incident de gegevens van klanten heeft beïnvloed. Als klanten op de hoogte moeten worden gesteld, zet de incidentbeheerder de kennisgevingsprocedure in gang. De leidinggevende voor de communicatie ontwikkelt een communicatieplan met de informatie die wordt verstrekt door de leidinggevende voor het product en de leidinggevende voor juridische zaken, informeert de betrokkenen en ondersteunt verzoeken van klanten na de kennisgeving met behulp van ons supportteam.

Google streeft ernaar om de klant te voorzien van een snelle, duidelijke en nauwkeurige kennisgeving die de volgende elementen bevat: de details van het gegevensincident die bekend zijn, de stappen die Google heeft ondernomen om de mogelijke risico's tegen te gaan en de acties die door Google aan klanten worden aanbevolen om het incident aan te pakken. We doen ons best om een duidelijk beeld te scheppen van het incident, zodat klanten hun eigen meldingsverplichtingen kunnen beoordelen en nakomen.

Afsluiting

Na de succesvolle herstelwerkzaamheden en oplossing van een gegevensincident evalueert het incidentresponsteam de lessen die uit het incident zijn getrokken. Wanneer het incident kritieke problemen veroorzaakt, kan de incidentbeheerder een post-mortem analyse in gang zetten. Gedurende deze procedure beoordeelt het incidentresponsteam de oorzaken van het incident en de respons van Google en stelt het belangrijke verbeterpunten vast. In sommige gevallen kan dit leiden tot besprekingen met de verschillende teams voor het product, de engineering en operationele activiteiten en tot verbeteringen aan het product. Als het incident om een follow-up vraagt, ontwikkelt het incidentresponsteam een actieplan voor het uitvoeren van die werkzaamheden en wijst het projectmanagers aan die leiding moeten geven aan het langetermijnproject. Het incident wordt afgesloten nadat de herstelwerkzaamheden zijn afgerond.

Voortdurende verbetering

Bij Google streven we ernaar om van elk incident te leren en preventieve maatregelen toe te passen om toekomstige incidenten te voorkomen.

De bruikbare inzichten uit de incidentanalyse stellen ons in staat om onze tools, trainingen en procedures, het algehele gegevensbeschermingsprogramma van Google met betrekking tot de beveiliging en privacy, het beveiligingsbeleid en/of de respons te verbeteren. De belangrijkste lessen stellen ons ook beter in staat om prioriteiten te stellen voor technische werkzaamhedenen en het ontwikkelen van betere producten.

De Google-medewerkers op het gebied van beveiliging en privacy verbeteren het beveiligingsprogramma door de beveiligingsplannen van het bedrijf voor alle netwerken, systemen en services te controleren en bieden projectspecifiek advies aan de product- en engineeringteams. Ze maken gebruik van machine learning, gegevensanalyse en andere moderne methoden om verdachte activiteiten op de netwerken van Google te controleren, bedreigingen van de informatiebeveiliging aan te pakken, routinebeoordelingen en -controles van de beveiliging uit te voeren, en ze schakelen externe deskundigen in voor regelmatige beveiligingsevaluaties. Daarnaast probeert ons fulltime team, dat we de naam Project Zero hebben gegeven, om gerichte aanvallen te voorkomen door bugs te melden bij softwareleveranciers en ze in een externe database te registreren.

Google houdt regelmatig trainingen en bewustmakingscampagnes om innovatie op het gebied van beveiliging en gegevensprivacy te stimuleren. Medewerkers die zich specifiek bezighouden met de incidentrespons zijn getraind in forensisch onderzoek en in het omgaan met bewijsmateriaal, waaronder het gebruik van eigen tools en die van derden. Incidentresponsprocessen en -procedures worden getest voor belangrijke gebieden, zoals systemen waarin gevoelige klantgegevens zijn opgeslagen. Bij deze tests wordt rekening gehouden met verschillende scenario's, waaronder interne bedreigingen en softwarekwetsbaarheden. Zo kunnen we ons beter voorbereiden op privacy- en beveiligingsincidenten.

De processen van Google worden regelmatig getest als onderdeel van onze ISO-27017-, ISO-27018-, ISO-27001-, PCI-DSS-, SOC 2- en FedRAMP-programma's om onze klanten en toezichthouders onafhankelijke verificatie van onze beveiliging, privacy en naleving te bieden. Een uitgebreidere lijst met certificeringen van derden voor Google Cloud vindt u hier.

Overzicht

Zoals hierboven gedetailleerd is beschreven, hanteert Google een incidentresponsprogramma van wereldklasse dat de volgende belangrijke kenmerken heeft:

  • Een procedure gebaseerd op toonaangevende methoden voor het oplossen van incidenten die zo is afgestemd dat het op de schaal van Google efficiënt kan worden toegepast

  • Baanbrekende controlesystemen, gegevensanalyse en machine learning-services om incidenten proactief te detecteren en onder controle te houden

  • Speciale vakexperts die kunnen worden ingezet om op elk type of grootte van gegevensincident te reageren

  • Een beproefde procedure om getroffen klanten onmiddellijk op de hoogte te stellen, in overeenstemming met de verplichtingen van Google in onze servicevoorwaarden en klantovereenkomsten

Het beveiligen van gegevens staat centraal bij Google. We investeren voortdurend in ons algehele beveiligingsprogramma, resources en expertise, waardoor onze klanten erop kunnen vertrouwen dat we effectief reageren bij een incident, hun gegevens beschermen en de hoge betrouwbaarheid bieden die klanten van een Google-service verwachten.