Initiatieven voor
Als nationale autoriteit voor cyberveiligheid heeft het CCB verschillende initiatieven ontwikkeld voor specifieke doelgroepen die hier worden gepresenteerd.
Het Traffic Light Protocol (TLP)
Het Centrum voor Cybersecurity België (CCB) maakt gebruik van het “Traffic Light Protocol”, kortweg TLP. Dit protocol is ontwikkeld om de uitwisseling van informatie op een veilige manier te vergemakkelijken en aan te moedigen.
Wat is TLP?
Het protocol vereist dat de persoon die informatie verstuurt, deze een kleur toekent aan de hand van een kleurcode. Deze kleur geeft aan of en op welke manieren deze informatie verder mag worden verspreid. Iemand die informatie ontvangt en van mening is dat bepaalde informatie op grotere schaal kan worden verspreid, moet eerst toestemming vragen aan de afzender.
Waarom TLP gebruiken?
Het CCB werkt nauw samen met verschillende (internationale) organisaties om cyberincidenten te identificeren en de reacties op die incidenten te coördineren. Dergelijke activiteiten vereisen vertrouwen tussen alle betrokken partijen. Duidelijke regels en afspraken voor het delen van informatie kunnen dit wederzijdse vertrouwen waarborgen. Wij vinden het daarom van het grootste belang dat TLP correct wordt toegepast en nageleefd.
Het TLP biedt een eenvoudig en intuïtief schema om aan te geven wanneer en hoe gevoelige informatie kan worden verspreid binnen de wereldwijde cyberbeveiligingsgemeenschap.
Het delen van deze informatie zorgt voor een frequentere en effectievere samenwerking tussen CCB en haar partners.
Wie maakt gebruik van TLP?
Naast CCB maken tal van openbare diensten en particuliere bedrijven over de hele wereld gebruik van TLP:
- Nationale en organisatorische Computer Emergency Response Teams (CERT) en Computer Security Incident Response Teams (CSIRT)
- Internationale normalisatie- en coördinatie-instanties
- Particuliere sector en cybersecurityleveranciers
- Overheidsinlichtingendiensten en wetshandhavingsinstanties
Kleuren en hun betekenissen
De vier TLP-labels zijn: TLP:RED, TLP:AMBER, TLP:GREEN en TLP:CLEAR:
In augustus 2022 werd versie 2 uitgebracht door FIRST, de ontwikkelaar van TLP. Er zijn twee belangrijke wijzigingen ten opzichte van de eerste versie:
- TLP:WHITE wordt vervangen door TLP:CLEAR
- TLP:AMBER+STRICT wordt geïntroduceerd om aan te geven dat informatie alleen binnen de organisatie van de ontvanger mag worden gedeeld.
Gebruik
Volgens FIRST zijn de richtlijnen voor het gebruik van TLP als volgt:
In berichten (e-mail, chat):
Berichten met een TLP-label moeten het TLP-label van de informatie bevatten, evenals eventuele aanvullende beperkingen, direct voor de informatie zelf. Het TLP-label moet in de onderwerpregel van de e-mail worden vermeld. Geef indien van toepassing aan waar de tekst eindigt waarop het TLP-label van toepassing is.
In documenten:
Documenten met een TLP-label moeten het TLP-label van de informatie en eventuele aanvullende beperkingen in de koptekst van elke pagina vermelden. Het TLP-label moet in een lettertype van 12 punten of groter worden weergegeven voor gebruikers met een verminderd gezichtsvermogen. Het wordt aanbevolen om TLP-labels rechts uit te lijnen.
De norm van FIRST schrijft voor dat kleuren op een zwarte achtergrond moeten worden gebruikt. De CCB wijkt echter soms om praktische redenen af van deze eis.
In schriftelijke vorm mogen alle TLP-labels GEEN spaties bevatten en MOETEN ze in hoofdletters worden geschreven. TLP-labels MOETEN in hun oorspronkelijke vorm blijven, zelfs wanneer ze in andere talen worden gebruikt: de inhoud kan worden vertaald, maar de labels niet.
🔴 TLP:RED (ROOD)
Alleen voor de ogen en oren van individuele ontvangers, geen verdere openbaarmaking.
Bronnen kunnen TLP:RED gebruiken wanneer informatie niet effectief kan worden gebruikt zonder aanzienlijk risico voor de privacy, reputatie of activiteiten van de betrokken organisaties.
Ontvangers mogen TLP:RED-informatie daarom niet met anderen delen. In de context van een vergadering is TLP:RED-informatie bijvoorbeeld beperkt tot degenen die bij de vergadering aanwezig zijn.
🟠 TLP:AMBER (ORANJE)
Beperkte openbaarmaking, ontvangers mogen deze informatie alleen verspreiden binnen hun organisatie en aan hun klanten op basis van ‘need-to-know’.
Bronnen kunnen TLP:AMBER gebruiken wanneer informatie ondersteuning vereist om effectief te kunnen worden gebruikt, maar een risico vormt voor de privacy, reputatie of activiteiten als deze buiten de betrokken organisaties wordt gedeeld.
Ontvangers mogen TLP:AMBER-informatie delen met leden van hun eigen organisatie en haar klanten, maar alleen op basis van need-to-know om hun organisatie en haar klanten te beschermen en verdere schade te voorkomen.
Opmerking: als de bron het delen wil beperken tot alleen de organisatie, moet hij TLP:AMBER+STRICT specificeren.
TLP:AMBER+STRICT
Dezelfde regels als TLP:AMBER zijn van toepassing (zie hierboven), maar TLP:AMBER+STRICT beperkt het delen tot alleen de organisatie.
🟢TLP:GREEN (GROEN)
Beperkte openbaarmaking, ontvangers mogen deze informatie binnen hun gemeenschap verspreiden.
Bronnen kunnen TLP:GREEN gebruiken wanneer informatie nuttig is om het bewustzijn binnen hun bredere gemeenschap te vergroten.
Ontvangers mogen TLP:GREEN-informatie delen met collega's en partnerorganisaties binnen hun gemeenschap, maar niet via openbaar toegankelijke kanalen. TLP:GREEN-informatie mag niet buiten de gemeenschap worden gedeeld.
Opmerking: wanneer “gemeenschap” niet is gedefinieerd, ga dan uit van de cyberbeveiligings-/defensiegemeenschap.
⚪ TLP:CLEAR
Ontvangers mogen deze informatie wereldwijd verspreiden, er is geen beperking op openbaarmaking.
Bronnen mogen TLP:CLEAR gebruiken wanneer informatie een minimaal of geen voorzienbaar risico op misbruik met zich meebrengt, in overeenstemming met de toepasselijke regels en procedures voor openbare bekendmaking. Onder voorbehoud van de standaardregels inzake auteursrecht mag TLP:CLEAR-informatie zonder beperkingen worden gedeeld.
-
Wanneer informatie wordt gedeeld in TLP:GREEN, wat wordt dan bedoeld met de term “gemeenschap”?
Bij het labelen van informatie als TLP:GREEN moet de afzender de gemeenschap definiëren. Wij definiëren een gemeenschap als een beperkte groep entiteiten en/of personen. Gemeenschappen kunnen een deelgroep zijn, een industriesector, de wetshandhavingsgemeenschap, enz. Als dit label niet aanwezig is, wordt aangenomen dat de gemeenschap de cyberbeveiligings-/defensiegemeenschap is.
-
Hoe deel ik TLP:AMBER-informatie met moederorganisaties, dochterondernemingen of klanten?
TLP:AMBER-gegevens kunnen worden gedeeld met moederorganisaties, dochterondernemingen of klanten zoals beschreven in het protocol. Voordat de informatie met deze entiteiten wordt gedeeld, moet het label echter worden gewijzigd in TLP:AMBER+STRICT om te voorkomen dat zij de informatie zonder toestemming van de oorspronkelijke afzender verder delen met hun gelieerde organisaties.
Als een cyberbeveiligingsleverancier bijvoorbeeld TLP:AMBER-informatie ontvangt, kan hij deze delen met enkele van zijn belangrijkste klanten. Om te voorkomen dat de informatie buiten de vastgestelde beperkingen wordt gedeeld, labelt de cyberbeveiligingsleverancier deze eerst met TLP:AMBER-STRICT. Als gevolg hiervan kunnen de klanten van de leverancier de informatie niet verder delen.
Houd er rekening mee dat als de oorspronkelijke auteur de informatie met een grotere gemeenschap had willen delen, hij het label TLP:GREEN zou hebben gebruikt.
-
Hoe deel ik informatie als geen van de TLP-labels geschikt is voor mijn behoeften?
Als afzender kunt u aanvullende regels voor het delen van informatie toevoegen aan het TLP-label. Op die manier kunt u het delen van informatie beperken tot bepaalde organisaties, landen, enz.
-
Wat moet ik doen als ik informatie echt met een bepaalde partij moet delen, maar dat momenteel niet kan vanwege de geldende beperking?
Als ontvanger kunt u de maker van de informatie vragen of hij de informatie zelf met de betrokken partij kan delen, of anders de TLP-code en/of de toegepaste aanvullende beperkingen wijzigen.