Beveiligingsincident

Een beveiligingsincident is een gebeurtenis die erop kan wijzen dat de systemen of gegevens van een organisatie zijn gecompromitteerd of dat de maatregelen die zijn getroffen om ze te beschermen, hebben gefaald.

In de IT is een gebeurtenis alles wat van betekenis is voor systeemhardware of -software en een incident is een gebeurtenis die de normale bedrijfsvoering verstoort. Beveiligingsevents worden gewoonlijk onderscheiden van beveiligingsincidenten door de mate van ernst en het bijbehorende potentiële risico voor de organisatie.

Als bijvoorbeeld een enkele gebruiker de toegang tot een gevraagde dienst wordt geweigerd, kan dat worden beschouwd als een beveiligingsgebeurtenis, omdat er een mogelijkheid is dat het duidt op een gecompromitteerd systeem, maar de mislukte toegang kan ook worden veroorzaakt door een heleboel andere dingen en die enkele gebeurtenis heeft doorgaans geen ernstige gevolgen voor de organisatie. Als echter grote aantallen gebruikers de toegang wordt geweigerd, betekent dat waarschijnlijk dat er een ernstiger probleem is, zoals een denial of service (DoS) aanval, dus die gebeurtenis kan worden geclassificeerd als een beveiligingsincident.

Volgens NIST Special Publication 800-61 is een beveiligingsincident de schending van een expliciet of impliciet beveiligingsbeleid.

Voorbeelden van beveiligingsincidenten:

  • Pogingen van onbevoegde bronnen om toegang te krijgen tot systemen of gegevens.
  • Onvoorziene verstoring van een dienst of ontzegging van een dienst.
  • Geoorloofde verwerking of opslag van gegevens.
  • Geoorloofde wijzigingen in systeemhardware, firmware of software.

Processen en producten die zijn ontworpen om te helpen bij het beheer van beveiligingsincidenten zijn onder meer incident response planning (IRP), training in beveiligingsbewustzijn en SIEM (Security Information and Event Management).