image

Vijf beveiligingsmaatregelen die het CBP eist

vrijdag 5 september 2014, 10:26 door Ot van Daalen, 17 reacties

Als je verantwoordelijk bent voor security, zal je niet altijd makkelijk budget krijgen voor je plannen. Gelukkig is er één extra argument om je collega’s mee te overtuigen als je persoonsgegevens verwerkt: bedrijven zijn dan namelijk op basis van het privacyrecht verplicht hun beveiliging op orde te hebben. En de privacytoezichthouder handhaaft die verplichting ook. Hier zijn vijf maatregelen die het College bescherming persoonsgegevens (CBP) afdwingt.

1. Versleutelde communicatie. Het CBP richtte samen met de Canadese privacytoezichthouder haar pijlen op WhatsApp. De toezichthouders startten een onderzoek, onder meer omdat WhatsApp de communicatie tussen de app en de server niet versleutelde. Het bedrijf heeft naar aanleiding hiervan haar software aangepast, zodat die communicatie nu wel versleuteld is.

2. Goede wachtwoorden. WhatsApp was al eerder in het nieuws gekomen omdat zij de wachtwoorden van gebruikers genereerde aan de hand van het MAC-adres of het IMEI-nummer van het apparaat van de gebruiker. Dat was makkelijk te achterhalen voor een aanvaller, en maakte dat een account dus makkelijk kon worden overgenomen. Ook dit heeft WhatsApp tijdens het onderzoek aangepast.

3. Two factor-authenticatie. In een ander onderzoek heeft het CBP huisartsenposten op de vingers getikt omdat toegang tot medische dossiers zonder two factor-authenticatie was geïmplementeerd. Dit is op basis van de toepasselijke informatiebeveiligingsstandaard voor de medische sector wel verplicht.

4. Maatregelen tegen SQL-injecties en XSS-aanvallen. Dat je verplicht bent maatregelen te nemen tegen dit soort veel voorkomende aanvallen, blijkt uit een onderzoek van het CBP naar een aantal hogescholen. Daarin stelde het vast dat de hogescholen geen maatregelen hadden genomen tegen deze aanvallen en daarom in strijd handelden met hun beveiligingsplicht.

5. Maar misschien nog wel het belangrijkste: je bent verplicht een informatiebeveiligingsbeleid op te stellen. Daarin beschrijf je aan de hand van de gegevens die je verwerkt en de risico’s die je identificeert de maatregelen die je moet nemen (zoals de hierboven besproken maatregelen). En ook die verplichting dwingt het CBP af, zoals blijkt uit dit voorbeeld van een handhavingsactie bij een ziekenhuis. Bij zo’n informatiebeveiligingsbeleid bieden de Richtsnoeren beveiliging persoonsgegevens van het CBP belangrijke handvatten.

Het is dus sterk aan te raden om als je persoonsgegevens verwerkt zo’n informatiebeveiligingsbeleid op te stellen en te implementeren.

Ot van Daalen is advocaat en oprichter van advocatenkantoor Digital Defence dat is gespecialiseerd in security- en privacyrecht. Daarvoor was hij oprichter en directeur van de digitale burgerrechtenbeweging Bits of Freedom. Hij werkt ook als onderzoeker privacy- en securityrecht bij het Instituut voor Informatierecht aan de Universiteit van Amsterdam.

Reacties (17)
05-09-2014, 10:51 door Erik van Straten
Vanaf welke situatie gelden de eisen van het CBP, d.w.z. waar ligt de grens?

Voorbeeld: de meeste mensen hebben een verzameling PII (Personally Identifying Information) op hun smartphone. In veel gevallen is die informatie niet versleuteld en/of er is geen of een zwak wachtwoord nodig om bij die gegevens te komen. Gebruikers installeren allerlei apps die dergelijke gegevensverzamelingen verspreiden, vaak zonder gebruik te maken van geauthenticeerde en versleutelde verbindingen (zie bijv. https://www.security.nl/posting/400862/Honderden+Android+apps+controleren+SSL-certificaten+niet). Backups maken ze o.a. in iCloud en daarbij werkt 2FA Two factor-authenticatie nog niet (zie http://techcrunch.com/2014/09/02/apples-two-factor-authentication-doesnt-protect-icloud-backups-or-photo-streams/).

Ik ken geen mensen die een informatiebeveiligingsbeleid hebben opgesteld voor hun smartphone.

In hoeverre zijn de bedrijven die dergelijke apps en smartphones maken verantwoordelijk indien PII niet conform de eisen van CBP wordt verwerkt, of ligt de verantwoordelijkheid bij de eindgebruiker? In dat laatste geval, in hoeverre is die eindgebruiker verplicht om zich in de risico's te verdiepen?

Is het wellicht zo dat bedoelde eisen alleen gelden als er commercieel gebruik gemaakt wordt van PII? Zo ja, hoe zit het dan met organisaties zonder winstoogmerk (denk aan vrijwilligers)?

Het is mooi dat het CBP (al dan niet met hulp van andere organisaties) WhatsApp zover gekregen heeft, maar dit is niet meer dan een druppel op een gloeiende plaat als je ziet hoeveel meldingen er (bijna dagelijks) zijn over ongeautoriseerd gekopieerde PII. Zeker als je dat afzet tegen het aantal bekeuringen dat wordt uitgedeeld. Beveiligen loont onvoldoende.

Hoewel ik volledig achter de motieven van het CBP sta, denk ik dat in de huidige situatie (zeg maar gerust puinhoop), de eisen van het CBP onrealistisch en, rekening houdend met hoe de meeste eindgebruikers zelf met PII omgaan, disproportioneel zijn.
05-09-2014, 10:53 door Anoniem
1. Versleutelde communicatie.

Een diepgaande beschrijving en analyse van SSL en TLS is "Bulletproof SSL and TLS" van Ivan Ristic, uitgegeven door Feisty Duck.

2. Goede wachtwoorden.

Doen we en vanaf volgende maand is het initiele wachtwoord hier weer een paar tekens langer. Dat stopt de gebruiker echter niet om zelf een veel eenvoudiger wachtwoord te gebruiken. Ik ben aan het kijken of we de gebruiker kunnen helpen met controles op basis van bijvoorbeeld https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/.

3. Two factor-authenticatie.

We hebben heir testen mee gedaan, maar dan laat men de devices die een OTP genereren op buro liggen met een post-it met het wachtwoord. In een aantal gevallen gebruiken we nu een IP adres als extra controle. Maar dat is alleen mogelijk voor het eigen netwerk en met monitoring op IP, MAC en switchpoort.

4. Maatregelen tegen SQL-injecties en XSS-aanvallen.

In het implementatieplan van ons informatiebeveiligingsbeleid is opgenomen dat we alle (nieuwe) software, zowel gekocht als zelf gebouwd, onderwerpen aan penetratietesten e.d.

5. Maar misschien nog wel het belangrijkste: je bent verplicht een informatiebeveiligingsbeleid op te stellen.

ACK, maar een informatiebeveiligingsbeleid is niets zonder implementatieplan. Een beleid is mooi voor CBP en hoger management. Die kunnen dan zeggen dat er beleid is.

Peter
05-09-2014, 11:56 door Anoniem
Erik als je vind dat er te veel mensen zich druk maken over wat techniek, dan ben ik het met je eens.
Als je vind dat een privacybeleid onzin is. Dan geloof ik je niet, ben het ten zeerste met je oneens.

Het CBP (DNB NZA en andere reguleerders) is op het moment gewoon een wassen neus. Er zijn aardig wat regels dat een informatiebeveiligingsbeleid aanwezig moet zijn. Neem Nora Nen7510 ISO27k er is heel veel.

Handhavend optreden gebeurt niet. Volg het nieuws en je ziet de gevolgen er van allemaal langskomen.
Het niet voldoen aan de verplichtingen is financieel veel aantrekkelijker, er gebeurd toch niets.
05-09-2014, 13:36 door Erik van Straten
Door Anoniem: Erik als je vind dat er te veel mensen zich druk maken over wat techniek, dan ben ik het met je eens.
Als je vind dat een privacybeleid onzin is ...
NEE! Een privacybeleid is essentieel in zeer veel situaties, maar zolang de rest van de wereld regels aan hun laars lapt en dat gedoogd wordt, hebben tegenstanders van privacymaatregelen steekhoudende argumenten om ook hun schouders op te halen.

Wat ik bedoel te zeggen is dat het CBP enerzijds goed werk doet, maar doordat er nauwelijks gehandhaaft wordt zij een roepende in de woestijn zijn. Zolang burgers niet de straat opgaan voor betere privacybescherming (ze doen het tegenovergestelde, zie het gebruik van smartphones) en internationaal overheden dit niet gaan afdwingen, verandert er niets en gaat de noodzakelijke cultuuromslag (software en beheer zullen daar ook duurder door worden) niet plaatsvinden. Ik denk dat we het met elkaar eens zijn...
05-09-2014, 13:54 door Orion84 - Bijgewerkt: 05-09-2014, 14:07
Door Erik van Straten: Vanaf welke situatie gelden de eisen van het CBP, d.w.z. waar ligt de grens?
Dat is helemaal niet vastgesteld. Er bestaat voor zover ik weet ook niet zoiets als "eisen van het CBP". Enige echte eis vanuit de WBP is:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Waar dit achtergrond artikel over gaat zijn voorbeelden waar het CBP specifieke verwerkers heeft aangesproken dat hun beveiliging niet 'passend' was.

Dat geeft natuurlijk enig inzicht in wat het CBP 'passend' vindt en dat is nuttig voor eenieder die zich afvraagt hoe hij het beste te werk kan gaan, maar het zijn in feite wel allemaal op zichzelf staande uitspraken.

Een parallel trekken naar hoe jij als particulier het adresboek in je telefoon moet beveiligen is dan ook wat twijfelachtig.

Zie bijvoorbeeld het punt over two-factor authenticatie. Een standaard vanuit de sector schrijft dat voor, dus spreekt het CBP een organisatie binnen die sector er op aan dat hun beveiliging niet passend is bij gebrek aan 2FA. Dat is in zekere zin dus geen eis van het CBP, laat staan dat 2FA in algemene zin een eis van het CBP is voor elke vorm van verwerking van PII.

Ik denk dat het belangrijkste regeltje uit dit artikel is om de richtsnoeren beveiliging persoonsgegevens van het CBP te volgen:
http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf
05-09-2014, 14:00 door Anoniem
Ik geloof dat ook. Punt 5 van het artikel id het enige wat er echt toe doet. 1 t/m 4 zijn wat technische details die aan de orde kunnen komen bij de invulling van dat beleid. Nu zie je techneuten van alles aan het proberen als "het moet" af te dwingen terwijl dat beleid ontbreekt, niet gedragen wordt of onbekend zou zijn.
05-09-2014, 14:00 door Preddie - Bijgewerkt: 05-09-2014, 14:12
Vraag aan de heer van Daalen; waar staat dit of is dit terug te vinden?

In het document Richtsnoeren voor de verwerking van persoonsgegevens http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf (opvolger van de AV23, achtergrondstudies) staat geen van deze maatregelen als zodanig vermeld (met mogelijk als uitzondering, het informatiebeveiligingsbeleid)

Hier de letterlijke tekst uit het document (pagina 24):

"...Bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens hanteert het cbp als
uitgangspunt een aantal beveiligingsmaatregelen die binnen het vakgebied informatiebeveiliging
gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn. Het gaat om de
volgende maatregelen:
- beleidsdocument voor informatiebeveiliging
- toewijzen van verantwoordelijkheden voor informatiebeveiliging
- beveiligingsbewustzijn
- fysieke beveiliging van apparatuur
- toegangsbeveiliging
- logging en controle
- correcte verwerking in toepassingssystemen
- beheer van technische kwetsbaarheden
- incidenten beheer
- afhandeling van datalekken en beveiligingsincidenten
- continuïteitsbeheer

Voor zover bij mij bekend, verplicht het CBP nergens concrete maatregelen, zelfs niet als je ze een situatie voor legt met de vraag welke maatregelen zij verplicht blijven ze vaag, verwijzen ze allerlei kanten op of verwijzen ze naar bovengenoemde document wel is het CBP concreet over het maken van een risicoanalyse.

Het CBP is toezichthouder van de Wet Bescherming Persoonsgegevens, zij controleren slechts zoals zij de wet interpreteren. Of dit juist wordt gedaan is in bovengenoemde gevallen, volgens mij, niet bevestigd door een rechter.

U spreekt ook over een verplichting in een informatiebeveiligingsstandaard voor de medische sector. Welke informatiebeveiligingsstandaard betreft dit? Ik ben bekend met de normen reeks NEN7510 maar hierin staan dergelijke concrete maatregelen niet als zodanig benoemd, ook de ISO27001 beschrijft geen van deze maatregelen dus danig als verplichting. Best practices bieden mogelijkheden tot oplossing maar zijn nergens verplicht....

Ik ben reeds 5 jaar bezig om enige nuttige informatie uit het CBP te krijgen, zowel per telefoon als per email, maar heb nog nooit één concreet antwoord gekregen, ze verwijzen je veelal naar andere loketten die je weer terug verwijzen ...... (doet me hier altijd een beetje aan denken: https://www.youtube.com/watch?v=n9o1E222iFQ). Voor als nog heb ik het beeld van het CBP dat het vooral voor de "bühne" is, ik kan overigens geen enkel voorbeeld vinden waarin het CPB gehandhaafd heeft. Het is altijd "op de vingers tikken" terwijl als ik de wet overschrijd wordt ik nooit op de vingers getikt maar krijg je direct een boete ..... (iets met monniken en kappen ... afijn)

Functionarissen binnen organisaties hebben behoefte aan concrete informatie, mogelijk dat dit topic daar meer duidelijkheid kan geven....
05-09-2014, 15:18 door Erik van Straten
Door Anoniem: Ik ben aan het kijken of we de gebruiker kunnen helpen met controles op basis van bijvoorbeeld https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
Dank voor de link!

Ik ben de laatste tijd veel docs over password policies aan het verzamelen. Een van de betere vond ik gisteren, ik raad je aan ernaar te kijken: http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf (bron: http://www.theregister.co.uk/2014/09/04/scared_of_password_brute_force_microsoft_says_just_give_up/). Nb. dat document is mede van de hand van Paul C. van Oorschot, Canadese prof en co-auteur van het "Handbook of Applied Cryptography", dus niet "Microsoft only".

@Orion84: ik heb ook even bij recente EU docs gekeken of daar recentelijk heldere eisen of krachtige richtlijnen zijn gepubliceerd, maar kwam niet verder dan https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/big_data verwijzend naar dit document: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Big%20data/14-07-11_EDPS_Report_Workshop_Big_data_EN.pdf (ik heb onderstreept):
Door European Data Protection Supervisor op 2 Juni 2014:
[...]
The various separate enforcement bodies operate against a background of different cultures and powers. Data protection authorities have varying and still relatively modest power to apply sanctions, for example, but on the other hand their constitutional independence is entrenched in the Charter of Fundamental Rights. Consumer protection authorities have widely varying enforcement powers across the Member States, are often under-resourced, and are required to 'patrol the gaps' where sectoral authorities (e.g. for telecommunications) do not regulate.

Where large retailers, social platforms and telecoms collect vast amount of personal data which are often aggregated by other firms, there is a clear risk of abuse. This will normally fall within the reach of data protection and consumer protection enforcement. Therefore, consumer protection and data protection authorities have a common interest in helping the individual realise the value of their own data. For consumer protection and data protection authorities, however, it is challenge enough for them to work together within existing cooperation structures.
[...]
Laws may currently be applied effectively to address visible large scale abuses. But the laws seem not to cover the incremental ‘day-by-day drops into the ocean of data’ which are assembled to construct user profiles, where even seemingly innocuous data can reveal sensitive information. This process will be accelerated as more and more devices go online, which will in turn intensify the need for privacy by design, high standards of data security and data minimisation.

This event has generated momentum for discussing these issues. Now that 'the genie is out of the bottle,' the EDPS would be pleased to continue to act as a conduit for ideas and further discussion.
[...]
Don't hold your breath...
05-09-2014, 16:13 door Anoniem
Compliance-driven Security = geen security... het is voldoen aan je eisen van de verzekeringsmaatschappij en van klanten (die vaak niet eens weten waar het om gaat). Er komt zoveel meer kijken bij echte veiligheid. DIt is allemaal een wasse enus uiteindelijk. Eenvoudig te omzeilen.
05-09-2014, 16:26 door Anoniem
Door Anoniem:
3. Two factor-authenticatie.

We hebben heir testen mee gedaan, maar dan laat men de devices die een OTP genereren op buro liggen met een post-it met het wachtwoord.r

Wij gebruiken Vasco DIgipass met een app op de mobiele telefoon (die bij installatie van een key voorzien wordt).
Gebruikers laten alles slingeren behalve hun telefoon. Die zit aan ze vast geplakt. Dus dat werkt vrij goed.
Enige vervelende als het geen smartphone is, is dat de klok gelijk moet staan en er niet aan gerommeld moet worden.
(bijv als de zomertijd ingaat de juiste procedure volgen)
05-09-2014, 22:01 door Anoniem
@predjuh, Je heb helemaal gelijk nog bij CBP nog bij de anderen reglueerders zul je iets vinden over wat voor technische details dan ook. Wat ze beschreven is het doel wat je moet zien te bereiken. Niets anders.
Daarom is het vaststellen van dat beveiligingsbeleid belangrijk. Het legt de verantwoording op de juiste plek. De top.

Dat hele gedoe van wat technische nerds die op eigen houtje gaan bepalen hoe het zou moeten, kan heel nuttig zijn, maar ook zo fout en verkeerd als wat.
06-09-2014, 00:05 door Ot van Daalen - Bijgewerkt: 06-09-2014, 00:07
Door Predjuh: Vraag aan de heer van Daalen; waar staat dit of is dit terug te vinden?

Deze verplichtingen vloeien voort uit beschikkingen van het CBP tegen verwerkers (zoals WhatsApp, hogescholen, etc.).

- Het WhatsApp onderzoek kan je hier vinden: http://www.cbpweb.nl/Pages/pb_20130128-whatsapp.aspx
- De beschikking over huisartsenposten en two-factor authenticatie hier: http://www.cbpweb.nl/downloads_med/z2012-00623_DB-Haarlemmermeer.pdf
- De beschikking over hogescholen en XSS/SQL-injectie hier: http://www.cbpweb.nl/downloads_rapporten/rap_2013_beveiliging-persoonsgegevens-studenten-hogeschool-utrecht.pdf
- De beschikking over een ziekenhuis en informatiebeveiligingsbeleid hier: http://www.cbpweb.nl/downloads_pb/pb_20101122_rijnland_ziekenhuis_rapport.pdf


U spreekt ook over een verplichting in een informatiebeveiligingsstandaard voor de medische sector. Welke informatiebeveiligingsstandaard betreft dit? Ik ben bekend met de normen reeks NEN7510 maar hierin staan dergelijke concrete maatregelen niet als zodanig benoemd, ook de ISO27001 beschrijft geen van deze maatregelen dus danig als verplichting. Best practices bieden mogelijkheden tot oplossing maar zijn nergens verplicht....

Dit is inderdaad NEN 7510. Het CBP schrijft daarover in haar beschikking:


Volgens NEN 7510 en -7512 moet de authenticatie bestaan uit twee afzonderlijke kenmerken (twee-factor authenticatie).

Je geeft aan dat het moeilijk is om nuttig advies van het CBP te krijgen. Het CBP zal doorgaans niet van tevoren aangeven of een bepaalde maatregel wel of niet verplicht is: het is aan een organisatie zelf om daarvoor een goed onderbouwd beleid te ontwikkelen en dat te implementeren. Als je dat vervolgens overtuigend richting het CBP kan brengen, dan is het risico dat het CBP vervolgens zal handhaven heel klein.

Je kan die terughoudendheid van het CBP om concrete adviezen te geven ook positief zien: het betekent dat organisaties meer vrijheid hebben om hun informatiebeveiligingsbeleid aan te passen aan hun specifieke wensen en eisen.
07-09-2014, 11:58 door Anoniem
@Ot van Daalen
Dit is een site die door veel technische nerds bezocht wordt. Ze missen over het algemeen een binding met bedrijfsdoelen en zijn met eigen ideeën bezig.
Ze zoeken argumenten om die eigen ideeën er door te krijgen. Het klinkt leuk: “het moet van CBP”, “het moet van SOX” , Het moet van Edit Schippers” maar mist de nodige ondergrond.

Je ziet hier vragen langskomen over het invulling van passwordpolicies terwijl je kan zien dat het niet past op de organisatie met de achterliggende gegevens.
Er wordt een argument gezocht om zoiets door te drukken. Ik ken ze ook waarbij IT-ers dwars tegen vastgestelde richtlijnen in het informatiebeveiligingsbeleid ingaan.

Een voorbeeld:
Gebruikers mogen maar één account hebben. In richtlijnen staat echter dat het gebruik van elk account tot één persoon te herleiden moet zijn. Voor beheerders wordt gesteld dat die een apart account moeten gebruiken voor de gevoelige beheerstaken. Het gevolg is dat een persoon meerder accounts kan hebben en in sommige gevallen meerdere accounts gebruikt.
Denk je dat IT-er zich verdiepen in wat er staat en er over nadenken? Vergeet het maar, er wordt alleen gezocht naar bevestiging van de eigen insteek.


Je voorbeelden via CBP handhaving zijn leuk maar erg beperkt in aantal. Ik zie geen argument dat het topmanagement de bestuurders zal overtuigen. Die hebben andere doelen, voornamelijk financiële.
Hoe er met datasecurity omgegaan wordt is wonderlijk:
Het falen haalt wel eens het nieuws. http://nl.wikipedia.org/wiki/Groene_Hart_Ziekenhuis , http://tweakers.net/nieuws/85912/kamerlid-vervolgd-wegens-computervredebreuk-medische-systemen.html Beide zijn voorbeelden van het missen van een 2factor authenticatie. Dat zou volgens CBP niet mogen voorkomen met dat soort gegevens.
Er zijn er veel meer maar verdwijnen snel uit zoekmachines. De standaard reacties lijken te zijn: “klaag de melder aan” , “verbeteringskosten om het wel goed te doen is schade”.
08-09-2014, 13:34 door Preddie
Door Ot van Daalen:
Door Predjuh: Vraag aan de heer van Daalen; waar staat dit of is dit terug te vinden?

Deze verplichtingen vloeien voort uit beschikkingen van het CBP tegen verwerkers (zoals WhatsApp, hogescholen, etc.).

- Het WhatsApp onderzoek kan je hier vinden: http://www.cbpweb.nl/Pages/pb_20130128-whatsapp.aspx
- De beschikking over huisartsenposten en two-factor authenticatie hier: http://www.cbpweb.nl/downloads_med/z2012-00623_DB-Haarlemmermeer.pdf
- De beschikking over hogescholen en XSS/SQL-injectie hier: http://www.cbpweb.nl/downloads_rapporten/rap_2013_beveiliging-persoonsgegevens-studenten-hogeschool-utrecht.pdf
- De beschikking over een ziekenhuis en informatiebeveiligingsbeleid hier: http://www.cbpweb.nl/downloads_pb/pb_20101122_rijnland_ziekenhuis_rapport.pdf


U spreekt ook over een verplichting in een informatiebeveiligingsstandaard voor de medische sector. Welke informatiebeveiligingsstandaard betreft dit? Ik ben bekend met de normen reeks NEN7510 maar hierin staan dergelijke concrete maatregelen niet als zodanig benoemd, ook de ISO27001 beschrijft geen van deze maatregelen dus danig als verplichting. Best practices bieden mogelijkheden tot oplossing maar zijn nergens verplicht....

Dit is inderdaad NEN 7510. Het CBP schrijft daarover in haar beschikking:


Volgens NEN 7510 en -7512 moet de authenticatie bestaan uit twee afzonderlijke kenmerken (twee-factor authenticatie).

Je geeft aan dat het moeilijk is om nuttig advies van het CBP te krijgen. Het CBP zal doorgaans niet van tevoren aangeven of een bepaalde maatregel wel of niet verplicht is: het is aan een organisatie zelf om daarvoor een goed onderbouwd beleid te ontwikkelen en dat te implementeren. Als je dat vervolgens overtuigend richting het CBP kan brengen, dan is het risico dat het CBP vervolgens zal handhaven heel klein.

Je kan die terughoudendheid van het CBP om concrete adviezen te geven ook positief zien: het betekent dat organisaties meer vrijheid hebben om hun informatiebeveiligingsbeleid aan te passen aan hun specifieke wensen en eisen.

Aller eerst hartelijk dank voor je antwoord. Het is inderdaad moeilijk om concrete informatie te krijgen van het CBP, het is een beetje alsof je aan een agent vraagt hoe hard je mag rijden een weg en die antwoord; "...dat zeg ik niet maar als je te hard rijdt krijg je van mij een boete..." Natuurlijk begrijp ik dat de wijze waarop de regels zijn opgesteld een bepaalde vrijheid creëren maar ook ruimte voor andere interpretatie terwijl eenduidigheid zaken makkelijker maakt, immers stellen we voor een auto ook harde eisen aan veiligheidsmaatregelen voor deze de weg op mag en hebben voor gewoon een duidelijk limiet voor de snelheid. Het zou wat zijn als iedereen aan de hand van een zelf gemaakte risicoanalyse mag bepalen welke of zij gordels in hun auto zetten en wat de maximum snelheid is die waar gereden mag worden.....

Ik kan het misschien gemist hebben, maar volgens mij betreffen de verwijzingen onderzoeken en conclusies zoals het CBP het wet interpreteert en geen uitspraken van een rechter die heeft bevestigd dat de wet op de juiste manier is geïnterpreteerd door het CBP.

Ik heb de genoemde documenten er eens bij gepakt, maar kan de concrete verplichting van two-factor authenticatie niet terug vinden, ik citeer (NEN7510:2004):

"11.2.3 Keuze van authenticatiewijze
Er moet minimaal een wachtwoordsysteem worden gebruikt om de identiteit van een gebruiker bij toegang te verifiëren. Naast wachtworden kunnen andere technologieën voor gebruikersidentificatie en authenticatie worden toegepast, zoals biometrie en het gebruik van identificatietekens (hardware tokens). Door het toepassen van "smartcards" kan meer zekerheid worden verkregen (sterkere authenticatie). De keuze van een passende authenticatiewijze moet op basis van een risicoanalyse worden bepaald. Bijzonder aandacht moet daarbij worden geschonken aan toegang via externe verbinding en openbare netwerken."

Dit is afkomstig voor uit de NEN7510, deze is (volgens mij) verplicht voor zorgorganisaties maar niet voor organisatie die medische gegevens verwerken, immers hoeven die geen zorgorganisaties te zijn. Overigens heeft u het over "toegang tot medische dossiers", ik ken geen ziekenhuis dat two-factor-authenticatie gebruikt voor de toegang tot bijv. het archief. Soms hangen medische dossiers (geheel of gedeeltelijk) aan het eind van het bed of liggen ze opgestapeld en onbeheerd ergens op een balie, er is dan in mijn optiek geen sprake van beveiligde toegang, laat staan of de gegevens in dat dossiers überhaupt worden gecontroleerd nadat deze onbeheerd zijn achtergelaten.

De NEN7512 zegt iets meer over het minimale niveau, echter is deze (volgens mij) niet verplicht in de zorg maar meer een "richtlijn".

Maar goed als de NEN7512:2005 inhoudelijk bekijk, wordt hier gesproken over 4 authenticatie methoden, van een gebruikersnaam en wachtwoord tot aan certificaten. Het minimale niveau wordt vervolgens gekoppeld aan deze risicoanalyse. Echter ontbreekt een methode voor deze analyse, vanuit welke optiek de analyse uitgevoerd dient te worden, "herstelbaarheid" wordt niet gedefinieerd (hoe hestel je bijv. een ongeautoriseerde toegang tot gegevens?, je kunt de kans tot herhaling mogelijk beperken, maar "het incident" kun je niet herstellen).

Nu zullen professionals wel goede risicoanalyses uitvoeren maar kom ik het vaak zat tegen dat men met goede intenties een risicoanalyse heeft opgesteld en vervolgens gesteld dat "Hacking/Ongeautoriseerde toegang" tot een zeer klein risico behoord aan gezien zijn organisatie de afgelopen 25 jaar nog niet een dergelijk incident heeft meegemaakt... (achteraf: mede omdat er geen degelijk detectie mechanisme was)... deze beste meneer dacht werkelijk dat hij zijn zaakje top in orde had en feitelijk heeft hij alles gedaan wat in de normen staat maar een expert zal er bij staan te lachen......

ik ben meer voorstander van een concrete benadering, waarbij je gewoon beschrijft welke gegevens in welke situatie aan welke beveiligingsmaatregelen moeten voldoen. Zoals; persoonsgegevens moeten minimaal 128 bit AES versleuteld tijdens opslag, transport en buiten de bewerking of gebruik van de gegevens.
08-09-2014, 14:31 door Ot van Daalen
Door Predjuh:
Ik heb de genoemde documenten er eens bij gepakt, maar kan de concrete verplichting van two-factor authenticatie niet terug vinden, [...]

Dank! Het CBP formuleert het dan iets te stellig...


ik ken geen ziekenhuis dat two-factor-authenticatie gebruikt voor de toegang tot bijv. het archief. Soms hangen medische dossiers (geheel of gedeeltelijk) aan het eind van het bed of liggen ze opgestapeld en onbeheerd ergens op een balie, er is dan in mijn optiek geen sprake van beveiligde toegang, laat staan of de gegevens in dat dossiers überhaupt worden gecontroleerd nadat deze onbeheerd zijn achtergelaten.

TFA is bij uitstek een toegangsmaatregel voor digitale dossiers. Voor papieren dossiers geldt overigens ook gewoon een beveiligingsplicht - het rondslingeren van dossiers zoals je het beschrijft is natuurlijk niet o.k.


ik ben meer voorstander van een concrete benadering, waarbij je gewoon beschrijft welke gegevens in welke situatie aan welke beveiligingsmaatregelen moeten voldoen. Zoals; persoonsgegevens moeten minimaal 128 bit AES versleuteld tijdens opslag, transport en buiten de bewerking of gebruik van de gegevens.

Be careful what you wish for...Voor je het weet heb je als security-expert veel minder ruimte om je vak goed te bedrijven, en is er ook minder ruimte voor maatwerk :)
08-09-2014, 14:33 door Ot van Daalen
Door Anoniem: @Ot van Daalen
Je voorbeelden via CBP handhaving zijn leuk maar erg beperkt in aantal. Ik zie geen argument dat het topmanagement de bestuurders zal overtuigen. Die hebben andere doelen, voornamelijk financiële.

Eens - op dit moment is negatieve publiciteit eigenlijk de belangrijkste prikkel. In de toekomst zal het CBP ook omzetgerelateerde boetes kunnen opleggen. Dán ontkomt het bestuuer er niet aan ontkomen om rekening te houden met de eisen van het CBP.
08-09-2014, 17:23 door Preddie
Ot, hartelijk dank voor je antwoorden.

Ik ben het overigens met je eens dat de genoemde maatregelen tot de basis moeten horen maar tot nu toe is het voor veel mensen al complexe materie om uit te vogelen waaraan ze precies moeten voldoen, hier is nog een boel winst te behalen. Het kan zelfs natuurlijk zo zijn dat door het CBP genoemde criteria uit een andere hoek afkomstig zijn; zoals bijv. een branchspecifieke wetten of richtlijnen.

Natuurlijk geven meer concretere regels minder ruimte, maar ze scheppen wel helderheid en maken het makkelijker om aandacht binnen organisaties te krijgen. Audits op normen zoals NEN7510 of ISO27001 bekijken vooral de procesgang (management) rondom de informatiebeveiliging maar niet naar de daadwerkelijk beveiliging zelf. Een organisatie die keurig een ISMS heeft en volgt maar een kritiek lek op haar infrastructuur heeft kan zo een NEN7510 certificaat krijgen, een pentest is bijvoorbeeld geen onderdeel audit.


iig bedankt voor je bijdrage @ security.nl en je werk voor BoF
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.