TLP

TLP staat voor Traffic Light Protocol en is een classificatiesysteem dat aangeeft hoe gevoelige informatie mag worden gedeeld binnen en tussen organisaties. Het protocol werd in het begin van de jaren 2000 ontwikkeld door het Britse National Infrastructure Security Co-ordination Centre en is inmiddels de internationale standaard voor het delen van cybersecurity-informatie. Het NCSC gebruikt TLP actief bij het delen van dreigingsinformatie met Nederlandse organisaties en verwacht dat ontvangers zich aan de aangegeven classificatie houden.

TLP is bewust eenvoudig gehouden om breed toepasbaar te zijn. Het is geen formeel classificatieschema zoals staatsgeheim of vertrouwelijk in de overheidscontext, maar een pragmatisch systeem dat het delen van informatie juist bevordert door duidelijke afspraken te maken over de verspreidingskring. Zonder TLP delen organisaties vaak te weinig informatie uit angst voor onbedoelde verspreiding, of juist te veel zonder duidelijke grenzen. TLP lost dit dilemma op door vier heldere niveaus te definiëren die iedereen in de cybersecurity-gemeenschap begrijpt en hanteert, van CERT-teams tot commerciele beveiligingsbedrijven en overheidsinstanties.

Waarom is TLP belangrijk?

Het delen van dreigingsinformatie is essentieel voor effectieve cybersecurity, maar brengt risico's met zich mee wanneer gevoelige informatie bij de verkeerde ontvangers terechtkomt. TLP biedt een gestandaardiseerde taal waarmee de afzender precies kan aangeven wie de informatie mag ontvangen en wat de ontvanger ermee mag doen. Dit vertrouwen is de basis voor effectieve samenwerking tussen organisaties, sectoren en landen in de strijd tegen cyberdreigingen.

In de praktijk wordt TLP gebruikt bij het uitwisselen van threat intelligence, kwetsbaarheidsmeldingen, incidentrapportages en waarschuwingen. Wanneer het NCSC een waarschuwing verstuurt over een actief misbruikte kwetsbaarheid, geeft de TLP-classificatie aan of je deze informatie alleen intern mag gebruiken, mag delen met partners in je keten, of publiek mag verspreiden. Het respecteren van de TLP-classificatie is cruciaal voor het behoud van vertrouwen: als ontvangers informatie breder delen dan bedoeld, zullen bronnen in de toekomst minder informatie delen, wat de gehele cybersecurity-gemeenschap schaadt.

Sinds versie 2.0, gepubliceerd door FIRST in augustus 2022, kent TLP vier kleurniveaus die elk een specifieke verspreidingskring definiëren. Deze versie verving het eerdere TLP:WHITE door TLP:CLEAR en voegde TLP:AMBER+STRICT toe als extra restrictief niveau. CISA adopteerde versie 2.0 officieel op 1 november 2022, en inmiddels is versie 2.0 wereldwijd de gangbare standaard bij CERT-teams, ISACs, overheden en beveiligingsorganisaties.

Hoe pas je TLP toe?

TLP kent vier kleurniveaus met elk een duidelijke verspreidingsregel die bepaalt wie de informatie mag ontvangen en hoe breed deze gedeeld mag worden. TLP:RED is het meest restrictieve niveau: informatie mag alleen worden gedeeld met de directe ontvangers die in de vergadering of op de mailinglijst aanwezig zijn. Je mag TLP:RED-informatie niet doorsturen, niet opslaan in gedeelde systemen en niet bespreken met collega's die niet expliciet zijn uitgenodigd. Dit niveau wordt gebruikt voor uiterst gevoelige informatie over actieve dreigingen waarbij bredere verspreiding de bron of lopende operaties in gevaar zou brengen.

TLP:AMBER staat de ontvanger toe om de informatie te delen binnen de eigen organisatie en met directe partners of klanten die de informatie nodig hebben om zichzelf te beschermen, op basis van het 'need-to-know' principe. Je deelt TLP:AMBER-informatie niet publiek en niet met partijen die er geen directe noodzaak voor hebben. De variant TLP:AMBER+STRICT beperkt dit verder tot alleen de eigen organisatie, zonder dat partners of klanten de informatie mogen ontvangen.

TLP:GREEN is geschikt voor informatie die binnen de bredere cybersecurity-gemeenschap of je sector mag worden gedeeld, maar niet publiek toegankelijk mag zijn. Denk aan gesloten forums, sectorale mailinglijsten of besloten platformen van ISACs waar leden dreigingsinformatie uitwisselen. Je plaatst TLP:GREEN-informatie niet op publieke websites, social media of openbaar doorzoekbare databases.

TLP:CLEAR, voorheen TLP:WHITE, betekent dat er geen beperkingen zijn op de verspreiding van de informatie. De informatie mag publiek worden gedeeld via websites, social media, persberichten of elk ander kanaal. Dit niveau wordt gebruikt voor algemene waarschuwingen, best practices en informatie die juist breed verspreid moet worden om zo veel mogelijk organisaties te bereiken en te beschermen.

Bij het verzenden van informatie markeer je het TLP-niveau duidelijk in het onderwerp van een e-mail, de kop van een document of de header van een bericht. De markering 'TLP:AMBER' of 'TLP:RED' moet onmiskenbaar zichtbaar zijn zodat ontvangers direct weten welke regels gelden voor de verspreiding en verwerking van de ontvangen informatie.

TLP in de praktijk

Een concreet voorbeeld: het NCSC ontdekt dat een kritieke kwetsbaarheid in een veelgebruikt Nederlands softwareproduct actief wordt misbruikt. Het NCSC stuurt een waarschuwing met TLP:AMBER aan alle organisaties in de betrokken sector. Deze organisaties mogen de informatie intern verspreiden naar hun IT-teams om de kwetsbaarheid te verhelpen, en mogen hun directe toeleveranciers waarschuwen als die ook kwetsbaar zijn. Ze mogen de details echter niet publiek delen of op sociale media plaatsen, omdat dit aanvallers zou helpen om de kwetsbaarheid breder te misbruiken voordat patches zijn uitgerold bij alle betrokken organisaties.

Een ander voorbeeld: een security-onderzoeker presenteert op een besloten bijeenkomst details over een nieuwe aanvalstechniek die nog niet publiek bekend is. De presentatie wordt gemarkeerd als TLP:RED, wat betekent dat aanwezigen de informatie niet mogen delen buiten de groep aanwezigen. Dit stelt de onderzoeker in staat om vertrouwelijke details te delen die helpen bij de verdediging, zonder het risico dat aanvallers de informatie oppikken en de techniek breder gaan inzetten voordat verdedigingsmaatregelen beschikbaar zijn.

Veelgestelde vragen over TLP

Is TLP juridisch bindend?

TLP is geen wettelijk kader maar een vrijwillige afspraak gebaseerd op vertrouwen en professionele ethiek. Het niet respecteren van TLP-classificaties heeft geen directe juridische consequenties, maar kan wel leiden tot uitsluiting van informatie-uitwisselingsnetwerken en ernstige reputatieschade binnen de cybersecurity-gemeenschap.

Wat is het verschil tussen TLP:AMBER en TLP:AMBER+STRICT?

TLP:AMBER staat het delen toe met de eigen organisatie en directe partners of klanten die de informatie nodig hebben op basis van need-to-know. TLP:AMBER+STRICT beperkt het delen tot uitsluitend de eigen organisatie, zonder dat externe partners of klanten de informatie mogen ontvangen.

Wanneer gebruik je TLP:RED?

TLP:RED gebruik je voor uiterst gevoelige informatie die alleen bestemd is voor de directe ontvangers die in de vergadering of op de distributielijst staan. Typische gevallen zijn details over actieve dreigingen, lopende opsporingsonderzoeken of kwetsbaarheden waarvoor nog geen patch beschikbaar is.

Wie bepaalt het TLP-niveau?

De afzender van de informatie bepaalt het TLP-niveau bij verzending. Als ontvanger kun je niet zelf het niveau verlagen. Als je twijfelt of je informatie mag delen, neem dan contact op met de oorspronkelijke afzender om het beoogde verspreidingsniveau te bevestigen.

Wordt TLP in Nederland breed gebruikt?

Ja. Het NCSC, CERT-teams, ISACs, overheidsinstanties en commerciele beveiligingsbedrijven in Nederland gebruiken TLP standaard bij het delen van dreigingsinformatie. Het protocol is een voorwaarde voor deelname aan de meeste informatie-uitwisselingsinitiatieven in de Nederlandse cybersecurity-sector.

Meer weten over informatieclassificatie? Bekijk Consultancy & Advies op IBgidsNL.