Vanaf welke situatie gelden de eisen van het CBP, d.w.z. waar ligt de grens?

Voorbeeld: de meeste mensen hebben een verzameling PII (Personally Identifying Information) op hun smartphone. In veel gevallen is die informatie niet versleuteld en/of er is geen of een zwak wachtwoord nodig om bij die gegevens te komen. Gebruikers installeren allerlei apps die dergelijke gegevensverzamelingen verspreiden, vaak zonder gebruik te maken van geauthenticeerde en versleutelde verbindingen (zie bijv. https://www.security.nl/posting/400862/Honderden+Android+apps+controleren+SSL-certificaten+niet). Backups maken ze o.a. in iCloud en daarbij werkt 2FA Two factor-authenticatie nog niet (zie http://techcrunch.com/2014/09/02/apples-two-factor-authentication-doesnt-protect-icloud-backups-or-photo-streams/).

Ik ken geen mensen die een informatiebeveiligingsbeleid hebben opgesteld voor hun smartphone.

In hoeverre zijn de bedrijven die dergelijke apps en smartphones maken verantwoordelijk indien PII niet conform de eisen van CBP wordt verwerkt, of ligt de verantwoordelijkheid bij de eindgebruiker? In dat laatste geval, in hoeverre is die eindgebruiker verplicht om zich in de risico's te verdiepen?

Is het wellicht zo dat bedoelde eisen alleen gelden als er commercieel gebruik gemaakt wordt van PII? Zo ja, hoe zit het dan met organisaties zonder winstoogmerk (denk aan vrijwilligers)?

Het is mooi dat het CBP (al dan niet met hulp van andere organisaties) WhatsApp zover gekregen heeft, maar dit is niet meer dan een druppel op een gloeiende plaat als je ziet hoeveel meldingen er (bijna dagelijks) zijn over ongeautoriseerd gekopieerde PII. Zeker als je dat afzet tegen het aantal bekeuringen dat wordt uitgedeeld. Beveiligen loont onvoldoende.

Hoewel ik volledig achter de motieven van het CBP sta, denk ik dat in de huidige situatie (zeg maar gerust puinhoop), de eisen van het CBP onrealistisch en, rekening houdend met hoe de meeste eindgebruikers zelf met PII omgaan, disproportioneel zijn.

Een diepgaande beschrijving en analyse van SSL en TLS is "Bulletproof SSL and TLS" van Ivan Ristic, uitgegeven door Feisty Duck.


Doen we en vanaf volgende maand is het initiele wachtwoord hier weer een paar tekens langer. Dat stopt de gebruiker echter niet om zelf een veel eenvoudiger wachtwoord te gebruiken. Ik ben aan het kijken of we de gebruiker kunnen helpen met controles op basis van bijvoorbeeld https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/.


We hebben heir testen mee gedaan, maar dan laat men de devices die een OTP genereren op buro liggen met een post-it met het wachtwoord. In een aantal gevallen gebruiken we nu een IP adres als extra controle. Maar dat is alleen mogelijk voor het eigen netwerk en met monitoring op IP, MAC en switchpoort.


In het implementatieplan van ons informatiebeveiligingsbeleid is opgenomen dat we alle (nieuwe) software, zowel gekocht als zelf gebouwd, onderwerpen aan penetratietesten e.d.


ACK, maar een informatiebeveiligingsbeleid is niets zonder implementatieplan. Een beleid is mooi voor CBP en hoger management. Die kunnen dan zeggen dat er beleid is.

Peter

Erik als je vind dat er te veel mensen zich druk maken over wat techniek, dan ben ik het met je eens.
Als je vind dat een privacybeleid onzin is. Dan geloof ik je niet, ben het ten zeerste met je oneens.

Het CBP (DNB NZA en andere reguleerders) is op het moment gewoon een wassen neus. Er zijn aardig wat regels dat een informatiebeveiligingsbeleid aanwezig moet zijn. Neem Nora Nen7510 ISO27k er is heel veel.

Handhavend optreden gebeurt niet. Volg het nieuws en je ziet de gevolgen er van allemaal langskomen.
Het niet voldoen aan de verplichtingen is financieel veel aantrekkelijker, er gebeurd toch niets.

NEE! Een privacybeleid is essentieel in zeer veel situaties, maar zolang de rest van de wereld regels aan hun laars lapt en dat gedoogd wordt, hebben tegenstanders van privacymaatregelen steekhoudende argumenten om ook hun schouders op te halen.

Wat ik bedoel te zeggen is dat het CBP enerzijds goed werk doet, maar doordat er nauwelijks gehandhaaft wordt zij een roepende in de woestijn zijn. Zolang burgers niet de straat opgaan voor betere privacybescherming (ze doen het tegenovergestelde, zie het gebruik van smartphones) en internationaal overheden dit niet gaan afdwingen, verandert er niets en gaat de noodzakelijke cultuuromslag (software en beheer zullen daar ook duurder door worden) niet plaatsvinden. Ik denk dat we het met elkaar eens zijn...

Dat is helemaal niet vastgesteld. Er bestaat voor zover ik weet ook niet zoiets als "eisen van het CBP". Enige echte eis vanuit de WBP is:

Waar dit achtergrond artikel over gaat zijn voorbeelden waar het CBP specifieke verwerkers heeft aangesproken dat hun beveiliging niet 'passend' was.

Dat geeft natuurlijk enig inzicht in wat het CBP 'passend' vindt en dat is nuttig voor eenieder die zich afvraagt hoe hij het beste te werk kan gaan, maar het zijn in feite wel allemaal op zichzelf staande uitspraken.

Een parallel trekken naar hoe jij als particulier het adresboek in je telefoon moet beveiligen is dan ook wat twijfelachtig.

Zie bijvoorbeeld het punt over two-factor authenticatie. Een standaard vanuit de sector schrijft dat voor, dus spreekt het CBP een organisatie binnen die sector er op aan dat hun beveiliging niet passend is bij gebrek aan 2FA. Dat is in zekere zin dus geen eis van het CBP, laat staan dat 2FA in algemene zin een eis van het CBP is voor elke vorm van verwerking van PII.

Ik denk dat het belangrijkste regeltje uit dit artikel is om de richtsnoeren beveiliging persoonsgegevens van het CBP te volgen:
http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf

Ik geloof dat ook. Punt 5 van het artikel id het enige wat er echt toe doet. 1 t/m 4 zijn wat technische details die aan de orde kunnen komen bij de invulling van dat beleid. Nu zie je techneuten van alles aan het proberen als "het moet" af te dwingen terwijl dat beleid ontbreekt, niet gedragen wordt of onbekend zou zijn.

Vraag aan de heer van Daalen; waar staat dit of is dit terug te vinden?

In het document Richtsnoeren voor de verwerking van persoonsgegevens http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf (opvolger van de AV23, achtergrondstudies) staat geen van deze maatregelen als zodanig vermeld (met mogelijk als uitzondering, het informatiebeveiligingsbeleid)

Hier de letterlijke tekst uit het document (pagina 24):

"...Bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens hanteert het cbp als
uitgangspunt een aantal beveiligingsmaatregelen die binnen het vakgebied informatiebeveiliging
gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn. Het gaat om de
volgende maatregelen:
- beleidsdocument voor informatiebeveiliging
- toewijzen van verantwoordelijkheden voor informatiebeveiliging
- beveiligingsbewustzijn
- fysieke beveiliging van apparatuur
- toegangsbeveiliging
- logging en controle
- correcte verwerking in toepassingssystemen
- beheer van technische kwetsbaarheden
- incidenten beheer
- afhandeling van datalekken en beveiligingsincidenten
- continuïteitsbeheer

Voor zover bij mij bekend, verplicht het CBP nergens concrete maatregelen, zelfs niet als je ze een situatie voor legt met de vraag welke maatregelen zij verplicht blijven ze vaag, verwijzen ze allerlei kanten op of verwijzen ze naar bovengenoemde document wel is het CBP concreet over het maken van een risicoanalyse.

Het CBP is toezichthouder van de Wet Bescherming Persoonsgegevens, zij controleren slechts zoals zij de wet interpreteren. Of dit juist wordt gedaan is in bovengenoemde gevallen, volgens mij, niet bevestigd door een rechter.

U spreekt ook over een verplichting in een informatiebeveiligingsstandaard voor de medische sector. Welke informatiebeveiligingsstandaard betreft dit? Ik ben bekend met de normen reeks NEN7510 maar hierin staan dergelijke concrete maatregelen niet als zodanig benoemd, ook de ISO27001 beschrijft geen van deze maatregelen dus danig als verplichting. Best practices bieden mogelijkheden tot oplossing maar zijn nergens verplicht....

Ik ben reeds 5 jaar bezig om enige nuttige informatie uit het CBP te krijgen, zowel per telefoon als per email, maar heb nog nooit één concreet antwoord gekregen, ze verwijzen je veelal naar andere loketten die je weer terug verwijzen ...... (doet me hier altijd een beetje aan denken: https://www.youtube.com/watch?v=n9o1E222iFQ). Voor als nog heb ik het beeld van het CBP dat het vooral voor de "bühne" is, ik kan overigens geen enkel voorbeeld vinden waarin het CPB gehandhaafd heeft. Het is altijd "op de vingers tikken" terwijl als ik de wet overschrijd wordt ik nooit op de vingers getikt maar krijg je direct een boete ..... (iets met monniken en kappen ... afijn)

Functionarissen binnen organisaties hebben behoefte aan concrete informatie, mogelijk dat dit topic daar meer duidelijkheid kan geven....

Dank voor de link!

Ik ben de laatste tijd veel docs over password policies aan het verzamelen. Een van de betere vond ik gisteren, ik raad je aan ernaar te kijken: http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf (bron: http://www.theregister.co.uk/2014/09/04/scared_of_password_brute_force_microsoft_says_just_give_up/). Nb. dat document is mede van de hand van Paul C. van Oorschot, Canadese prof en co-auteur van het "Handbook of Applied Cryptography", dus niet "Microsoft only".

@Orion84: ik heb ook even bij recente EU docs gekeken of daar recentelijk heldere eisen of krachtige richtlijnen zijn gepubliceerd, maar kwam niet verder dan https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/big_data verwijzend naar dit document: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Big%20data/14-07-11_EDPS_Report_Workshop_Big_data_EN.pdf (ik heb onderstreept): Don't hold your breath...

Compliance-driven Security = geen security... het is voldoen aan je eisen van de verzekeringsmaatschappij en van klanten (die vaak niet eens weten waar het om gaat). Er komt zoveel meer kijken bij echte veiligheid. DIt is allemaal een wasse enus uiteindelijk. Eenvoudig te omzeilen.

Wij gebruiken Vasco DIgipass met een app op de mobiele telefoon (die bij installatie van een key voorzien wordt).
Gebruikers laten alles slingeren behalve hun telefoon. Die zit aan ze vast geplakt. Dus dat werkt vrij goed.
Enige vervelende als het geen smartphone is, is dat de klok gelijk moet staan en er niet aan gerommeld moet worden.
(bijv als de zomertijd ingaat de juiste procedure volgen)

@predjuh, Je heb helemaal gelijk nog bij CBP nog bij de anderen reglueerders zul je iets vinden over wat voor technische details dan ook. Wat ze beschreven is het doel wat je moet zien te bereiken. Niets anders.
Daarom is het vaststellen van dat beveiligingsbeleid belangrijk. Het legt de verantwoording op de juiste plek. De top.

Dat hele gedoe van wat technische nerds die op eigen houtje gaan bepalen hoe het zou moeten, kan heel nuttig zijn, maar ook zo fout en verkeerd als wat.

Deze verplichtingen vloeien voort uit beschikkingen van het CBP tegen verwerkers (zoals WhatsApp, hogescholen, etc.).

- Het WhatsApp onderzoek kan je hier vinden: http://www.cbpweb.nl/Pages/pb_20130128-whatsapp.aspx
- De beschikking over huisartsenposten en two-factor authenticatie hier: http://www.cbpweb.nl/downloads_med/z2012-00623_DB-Haarlemmermeer.pdf
- De beschikking over hogescholen en XSS/SQL-injectie hier: http://www.cbpweb.nl/downloads_rapporten/rap_2013_beveiliging-persoonsgegevens-studenten-hogeschool-utrecht.pdf
- De beschikking over een ziekenhuis en informatiebeveiligingsbeleid hier: http://www.cbpweb.nl/downloads_pb/pb_20101122_rijnland_ziekenhuis_rapport.pdf


Dit is inderdaad NEN 7510. Het CBP schrijft daarover in haar beschikking:


Je geeft aan dat het moeilijk is om nuttig advies van het CBP te krijgen. Het CBP zal doorgaans niet van tevoren aangeven of een bepaalde maatregel wel of niet verplicht is: het is aan een organisatie zelf om daarvoor een goed onderbouwd beleid te ontwikkelen en dat te implementeren. Als je dat vervolgens overtuigend richting het CBP kan brengen, dan is het risico dat het CBP vervolgens zal handhaven heel klein.

Je kan die terughoudendheid van het CBP om concrete adviezen te geven ook positief zien: het betekent dat organisaties meer vrijheid hebben om hun informatiebeveiligingsbeleid aan te passen aan hun specifieke wensen en eisen.

@Ot van Daalen
Dit is een site die door veel technische nerds bezocht wordt. Ze missen over het algemeen een binding met bedrijfsdoelen en zijn met eigen ideeën bezig.
Ze zoeken argumenten om die eigen ideeën er door te krijgen. Het klinkt leuk: “het moet van CBP”, “het moet van SOX” , Het moet van Edit Schippers” maar mist de nodige ondergrond.

Je ziet hier vragen langskomen over het invulling van passwordpolicies terwijl je kan zien dat het niet past op de organisatie met de achterliggende gegevens.
Er wordt een argument gezocht om zoiets door te drukken. Ik ken ze ook waarbij IT-ers dwars tegen vastgestelde richtlijnen in het informatiebeveiligingsbeleid ingaan.

Een voorbeeld:
Gebruikers mogen maar één account hebben. In richtlijnen staat echter dat het gebruik van elk account tot één persoon te herleiden moet zijn. Voor beheerders wordt gesteld dat die een apart account moeten gebruiken voor de gevoelige beheerstaken. Het gevolg is dat een persoon meerder accounts kan hebben en in sommige gevallen meerdere accounts gebruikt.
Denk je dat IT-er zich verdiepen in wat er staat en er over nadenken? Vergeet het maar, er wordt alleen gezocht naar bevestiging van de eigen insteek.


Je voorbeelden via CBP handhaving zijn leuk maar erg beperkt in aantal. Ik zie geen argument dat het topmanagement de bestuurders zal overtuigen. Die hebben andere doelen, voornamelijk financiële.
Hoe er met datasecurity omgegaan wordt is wonderlijk:
Het falen haalt wel eens het nieuws. http://nl.wikipedia.org/wiki/Groene_Hart_Ziekenhuis , http://tweakers.net/nieuws/85912/kamerlid-vervolgd-wegens-computervredebreuk-medische-systemen.html Beide zijn voorbeelden van het missen van een 2factor authenticatie. Dat zou volgens CBP niet mogen voorkomen met dat soort gegevens.
Er zijn er veel meer maar verdwijnen snel uit zoekmachines. De standaard reacties lijken te zijn: “klaag de melder aan” , “verbeteringskosten om het wel goed te doen is schade”.

Aller eerst hartelijk dank voor je antwoord. Het is inderdaad moeilijk om concrete informatie te krijgen van het CBP, het is een beetje alsof je aan een agent vraagt hoe hard je mag rijden een weg en die antwoord; "...dat zeg ik niet maar als je te hard rijdt krijg je van mij een boete..." Natuurlijk begrijp ik dat de wijze waarop de regels zijn opgesteld een bepaalde vrijheid creëren maar ook ruimte voor andere interpretatie terwijl eenduidigheid zaken makkelijker maakt, immers stellen we voor een auto ook harde eisen aan veiligheidsmaatregelen voor deze de weg op mag en hebben voor gewoon een duidelijk limiet voor de snelheid. Het zou wat zijn als iedereen aan de hand van een zelf gemaakte risicoanalyse mag bepalen welke of zij gordels in hun auto zetten en wat de maximum snelheid is die waar gereden mag worden.....

Ik kan het misschien gemist hebben, maar volgens mij betreffen de verwijzingen onderzoeken en conclusies zoals het CBP het wet interpreteert en geen uitspraken van een rechter die heeft bevestigd dat de wet op de juiste manier is geïnterpreteerd door het CBP.

Ik heb de genoemde documenten er eens bij gepakt, maar kan de concrete verplichting van two-factor authenticatie niet terug vinden, ik citeer (NEN7510:2004):

"11.2.3 Keuze van authenticatiewijze
Er moet minimaal een wachtwoordsysteem worden gebruikt om de identiteit van een gebruiker bij toegang te verifiëren. Naast wachtworden kunnen andere technologieën voor gebruikersidentificatie en authenticatie worden toegepast, zoals biometrie en het gebruik van identificatietekens (hardware tokens). Door het toepassen van "smartcards" kan meer zekerheid worden verkregen (sterkere authenticatie). De keuze van een passende authenticatiewijze moet op basis van een risicoanalyse worden bepaald. Bijzonder aandacht moet daarbij worden geschonken aan toegang via externe verbinding en openbare netwerken."

Dit is afkomstig voor uit de NEN7510, deze is (volgens mij) verplicht voor zorgorganisaties maar niet voor organisatie die medische gegevens verwerken, immers hoeven die geen zorgorganisaties te zijn. Overigens heeft u het over "toegang tot medische dossiers", ik ken geen ziekenhuis dat two-factor-authenticatie gebruikt voor de toegang tot bijv. het archief. Soms hangen medische dossiers (geheel of gedeeltelijk) aan het eind van het bed of liggen ze opgestapeld en onbeheerd ergens op een balie, er is dan in mijn optiek geen sprake van beveiligde toegang, laat staan of de gegevens in dat dossiers überhaupt worden gecontroleerd nadat deze onbeheerd zijn achtergelaten.

De NEN7512 zegt iets meer over het minimale niveau, echter is deze (volgens mij) niet verplicht in de zorg maar meer een "richtlijn".

Maar goed als de NEN7512:2005 inhoudelijk bekijk, wordt hier gesproken over 4 authenticatie methoden, van een gebruikersnaam en wachtwoord tot aan certificaten. Het minimale niveau wordt vervolgens gekoppeld aan deze risicoanalyse. Echter ontbreekt een methode voor deze analyse, vanuit welke optiek de analyse uitgevoerd dient te worden, "herstelbaarheid" wordt niet gedefinieerd (hoe hestel je bijv. een ongeautoriseerde toegang tot gegevens?, je kunt de kans tot herhaling mogelijk beperken, maar "het incident" kun je niet herstellen).

Nu zullen professionals wel goede risicoanalyses uitvoeren maar kom ik het vaak zat tegen dat men met goede intenties een risicoanalyse heeft opgesteld en vervolgens gesteld dat "Hacking/Ongeautoriseerde toegang" tot een zeer klein risico behoord aan gezien zijn organisatie de afgelopen 25 jaar nog niet een dergelijk incident heeft meegemaakt... (achteraf: mede omdat er geen degelijk detectie mechanisme was)... deze beste meneer dacht werkelijk dat hij zijn zaakje top in orde had en feitelijk heeft hij alles gedaan wat in de normen staat maar een expert zal er bij staan te lachen......

ik ben meer voorstander van een concrete benadering, waarbij je gewoon beschrijft welke gegevens in welke situatie aan welke beveiligingsmaatregelen moeten voldoen. Zoals; persoonsgegevens moeten minimaal 128 bit AES versleuteld tijdens opslag, transport en buiten de bewerking of gebruik van de gegevens.

Dank! Het CBP formuleert het dan iets te stellig...


TFA is bij uitstek een toegangsmaatregel voor digitale dossiers. Voor papieren dossiers geldt overigens ook gewoon een beveiligingsplicht - het rondslingeren van dossiers zoals je het beschrijft is natuurlijk niet o.k.


Be careful what you wish for...Voor je het weet heb je als security-expert veel minder ruimte om je vak goed te bedrijven, en is er ook minder ruimte voor maatwerk :)

Eens - op dit moment is negatieve publiciteit eigenlijk de belangrijkste prikkel. In de toekomst zal het CBP ook omzetgerelateerde boetes kunnen opleggen. Dán ontkomt het bestuuer er niet aan ontkomen om rekening te houden met de eisen van het CBP.

Ot, hartelijk dank voor je antwoorden.

Ik ben het overigens met je eens dat de genoemde maatregelen tot de basis moeten horen maar tot nu toe is het voor veel mensen al complexe materie om uit te vogelen waaraan ze precies moeten voldoen, hier is nog een boel winst te behalen. Het kan zelfs natuurlijk zo zijn dat door het CBP genoemde criteria uit een andere hoek afkomstig zijn; zoals bijv. een branchspecifieke wetten of richtlijnen.

Natuurlijk geven meer concretere regels minder ruimte, maar ze scheppen wel helderheid en maken het makkelijker om aandacht binnen organisaties te krijgen. Audits op normen zoals NEN7510 of ISO27001 bekijken vooral de procesgang (management) rondom de informatiebeveiliging maar niet naar de daadwerkelijk beveiliging zelf. Een organisatie die keurig een ISMS heeft en volgt maar een kritiek lek op haar infrastructuur heeft kan zo een NEN7510 certificaat krijgen, een pentest is bijvoorbeeld geen onderdeel audit.


iig bedankt voor je bijdrage @ security.nl en je werk voor BoF