De keten uitgedaagd. Beveiliging van informatieketens. College 8 van 11 door Iris Koetsenruijter Jacques Urlus Nitesh Bharosa

Transcriptie

1 De keten uitgedaagd Beveiliging van informatieketens College 8 van 11 door Iris Koetsenruijter Jacques Urlus Nitesh Bharosa

2 mr. Iris Koetsenruijter Werkzaam bij Thauris Vanaf 2011 betrokken via Logius Bijdrage mogen leveren aan het boek De keten uitgedaagd Jacques Urlus RE CISA BBA Werkzaam bij Ordina Sinds 2005 fulltime werkzaam met XBRL Beheerder van Vanaf 2011 betrokken via Logius Reviewer van het boek De keten uitgedaagd

3 SBR als opgave SBR als oplossing 15 april 20 mei 24 juni 26 augustus 23 september 1 april 6 mei 3 juni 1 juli 9 september 7 oktober

4 Hier kwamen we vandaan 4

5 Schets van de oplossing

6 Het beveiligingsvraagstuk is veelzijdig: het gaat om informatie-uitwisseling en verwerking waarbij de informatie bedrijfsgevoelig kan zijn (en dus vertrouwelijk); de informatie bestemd is voor specifieke overheidspartijen of specifieke ondernemingen; de overheidspartijen de informatie opvragen en verstrekken in het kader van de uitvoering van hun wettelijke taken; informatie verplicht door ondernemingen moet worden aangeleverd; informatie door gemachtigde tussenpersonen (bijvoorbeeld accountants) namens belanghebbenden kan worden aangeleverd en opgevraagd; de uitwisseling geautomatiseerd plaatsvindt (system-to-system). 6

7 Agenda voor vanavond Centrale vraag: Hoe is informatiebeveiliging in het kader van SBR geborgd? I. Wat zijn de vereisten? a) Context b) Dreigingen c) Vigerende wettelijke kaders II. Hoe geven we in SBR invulling aan de vereisten? a) Generieke middelen b) Toepassing op I-processen 7

8 Context: bij berichtuitwisseling willen A en B zekerheden Afzender A Bestuursorgaan B

9 Viertal man-in-the-middle dreigingen A B A B C 1. Interruptie C 2. Interceptie A B A B C 3. Modificatie C 4. Fabricatie

10 Literatuur: zorg voor Identificatie: in de keten toewijzen van een identiteit Authenticatie: controle of een opgegeven bewijs van identiteit overeenkomt met echtheidskenmerken Autorisatie: verlenen en controleren van de bevoegdheid tot het uitvoeren van een handeling 10

11 De vormgeving van identificatie, authenticatie en autorisatie processen (en middelen) hangt af van: 1. de aard van de transactie en de gevolgen ervan (zoals financiële of juridische gevolgen) 2. de stand der techniek 3. de vigerende wettelijke kaders 11

12 Wettelijk kader Met de Wet elektronisch bestuurlijk verkeer (Webv) zijn bepalingen toegevoegd aan de Algemene wet bestuursrecht (Awb). Deze wet bevat algemene regels betreffende het verkeer langs elektronische weg tussen burgers/bedrijven en bestuursorganen. De wetgever licht toe dat het gebruik van papier bepaalde waarborgen met zich meebrengt, en wil dat aan elektronische berichten vergelijkbare eisen worden gesteld. 12

13 Betrouwbaarheid en vertrouwelijkheid Berichten die langs elektronische weg door bestuursorganen worden verzonden, dienen in voldoende mate beveiligd te zijn. Eveneens dienen berichten die aan een bestuursorgaan worden gestuurd, door dat bestuursorgaan van de hand te kunnen worden gewezen indien het bestuursorgaan vermoedt dat het bericht in onvoldoende mate is beveiligd. In dit wetsvoorstel wordt deze eis tot uitdrukking gebracht door te spreken van betrouwbaarheid en vertrouwelijkheid. Memorie van toelichting, p. 15 Betrouwbaar en vertrouwelijk In de wet is het als volgt geformuleerd: Art. 2:14 lid 3 Awb Indien een bestuursorgaan een bericht elektronisch verzendt, dan dient dit op een voldoende betrouwbare en vertrouwelijke manier te geschieden, gelet op de aard en inhoud van het bericht en het doel waarvoor het wordt gebruikt. Art. 2:15 lid 3 Awb Een bestuursorgaan kan een elektronisch verzonden bericht weigeren voor zover de betrouwbaarheid en de vertrouwelijkheid van dit bericht onvoldoende is gewaarborgd, gelet op de aard en inhoud van het bericht en het doel waarvoor het wordt gebruikt. 13

14 Beginselen maken betrouwbaarheid en vertrouwelijkheid concreet 1. Authenticiteit 2. Integriteit 3. Onweerlegbaarheid 4. Transparantie 5. Beschikbaarheid 6. Flexibiliteit 7. Exclusiviteit 14

15 1.Authenticiteit de mate van zekerheid over de oorsprong van het document zijn de gegevens echt, is het bericht van de als afzender aangeduide persoon afkomstig? authenticiteit kan ook betekenen dat de bron van (opgeslagen) gegevens bekend en geverifieerd is (Klingenberg, 2011). de authenticiteit moet ook achteraf en duurzaam vast te stellen zijn. bij het streven naar een hoge mate van authenticiteit wil je weten of de identiteit van de afzender klopt. Een veelgebruikte maatregel hiervoor wordt authenticatie genoemd: het controleren van zowel de identiteit van de afzender als de oorsprong van het document 15

16 2. Integriteit De zekerheid dat gegevens volledig zijn en niet onbevoegd of door technische fouten of een storing zijn gewijzigd. Met andere woorden, de mate waarin kan worden uitgesloten dat een document onderweg gewijzigd of onbevoegd gemanipuleerd wordt. Integriteit ziet ook toe op een goede werking van de ingerichte systemen: structurele juistheid en volledigheid van de verwerking en opslag van gegevens. Integriteit, net als authenticiteit en de andere genoemde beginselen, bevordert de rechtszekerheid (Klingenberg, 2011). 16

17 3. Onweerlegbaarheid (non-repudiation) De mate waarin niet door een afzender onterecht kan worden ontkend dat een bericht van hem is uitgegaan of de ontvanger onterecht kan ontkennen dat het bericht is ontvangen. 17

18 4. Transparantie kan op twee manieren worden geïnterpreteerd: 1 transparantie over een gevolgd proces van informatieverwerking; 2 transparantie over de algemene werking van het systeem en welke middelen worden toegepast. Beide interpretaties sluiten elkaar overigens niet uit. De memorie van toelichting bij de wet volgt de eerste interpretatie en stelt dat transparantie staat voor de mogelijkheid dat wijzigingen van de gegevens achteraf kunnen worden opgespoord en inzichtelijk kunnen worden gemaakt. Dit impliceert eisen aan de opslag van gegevens en het mogelijk maken van controles (audit). In dat kader zijn archivering en het gebruik van audit trails in een systeem relevant. Ten aanzien van de tweede interpretatie wordt gesteld dat de werking van het systeem voor communicatie zichtbaar en begrijpelijk moet kunnen zijn Het publiceren van informatie en documentatie door de overheid draagt bij aan deze vorm van transparantie. 18

19 5. Beschikbaarheid Beschikbaarheid refereert naar de bereikbaarheid en bruikbaarheid van de informatieverwerkingsdienst die wordt aangeboden door een bestuursorgaan, in relatie tot de eisen daaraan (bijvoorbeeld continu, 24/7). Er ligt voorts een relatie met toegankelijkheid van diensten van bestuursorganen voor burgers/bedrijven, in de zin dat het haalbaar moet zijn om de dienst te gebruiken met beschikbare en/of reguliere software. 19

20 6. Flexibiliteit De mate waarin aan verschillende, veranderende en nieuwe eisen kan worden voldaan. Indien de technische mogelijkheden verbeteren, zou het proces daarop kunnen worden aangepast. Het is ook van belang om de mogelijkheden van inbraak in de systemen (door hackers) voor te blijven of op zijn minst bij te houden. Het bestuursorgaan dient zich in het kader van flexibiliteit de vraag te stellen of het haar systeem kan beschermen tegen nieuwe dreigingen. En of ze, in geval van verhoging van de eisen aan beveiliging van bovenaf (regels op Rijks- of Europees niveau ten aanzien van de vorm van identificatienummers; certificaatuitgifte etc.), deze gemakkelijk mee kan nemen in de bestaande inrichting van het elektronisch verkeer. 20

21 7. Exclusiviteit Staat voor de exclusiviteit van een bericht en opgeslagen gegevens. Zijn de gegevens alleen beschikbaar voor de geadresseerde, degene voor wie het bericht is bestemd? Dit hangt nauw samen met het bestuursrechtelijke beginsel van zorgvuldigheid. Men moet erop kunnen vertrouwen dat een overheidsorgaan op zorgvuldige wijze met haar gegevens omgaat en deze dus indien nodig vertrouwelijk behandelt, zoals bij persoonlijke of misbruikgevoelige gegevens. Bijzondere eisen aan exclusiviteit worden gesteld bij verwerking van persoonsgegevens. De basis voor deze eisen is te vinden in de Wet bescherming persoonsgegevens (Wbp). 21

22 Zorgvuldigheid en evenredigheid als aanvullende beginselen Zorgvuldigheid vraagt van een bestuursorgaan om een besluit zorgvuldig voor te bereiden, door het vergaren van de nodige kennis omtrent de relevante feiten en de af te wegen belangen. Bij het vaststellen van de maatregelen dient een bestuursorgaan rekening te houden met de eis van evenredigheid (proportionaliteit). Dit houdt in dat het te bereiken doel opweegt tegen eventuele geschonden belangen en dat het bestuursorgaan waar mogelijk de minst zware maatregelen of middelen gebruikt om het doel te bereiken (Ten Berge & Michiels, 2001) 22

23 Maar hoe te zorgen voor informatiebeveiliging? Waarborgen van voldoende betrouwbaarheid en vertrouwelijkheid Bestuursorgaan geeft hier zelf invulling aan Invulling is afhankelijk van: de stand der techniek aard, inhoud en doel van uitgewisselde berichten Webv geeft enkele suggesties voor technische invulling: Elektronische handtekening Tijdstempel Encryptie PKI 23

24 Deelconclusie De beginselen uit de wet geven blijk van bewustzijn van de man-inthe-middle-dreigingen als interruptie, interceptie, modificatie en fabricatie. Ze vormen de vereisten voor informatiebeveiliging in SBR. Een bestuursorgaan zal in de praktijk zelf moeten bepalen welke technische en organisatorische maatregelen zij hanteert om de betrouwbaarheid en vertrouwelijkheid voldoende te waarborgen. Rekening houdend met de aard, inhoud en doel van berichten en de stand der techniek. 24

25 Pauze (15 min) 25

26 Welkom terug! I. Verschillende vereisten 1. Authenticiteit 2. Integriteit 3. Onweerlegbaarheid 4. Transparantie 5. Beschikbaarheid 6. Flexibiliteit 7. Exclusiviteit II. Hoe geven we invulling aan deze vereisten? a) Generieke middelen b) Toepassing op I-processen 26

27 Generieke middelen voor betrouwbaar elektronisch berichtenverkeer Cryptografie: Encryptie en certificaten Toepassing van cryptografie op communicatielaag en de applicatielaag: SSL/TLS protocol, de hashfunctie en de digitale handtekening Public Key Infrastructure (PKI) 27

28 Encryptie Symmetrisch Bestaat uit één sleutel (key) die gebruikt wordt voor encryptie en decryptie Nadelen zijn sleuteldistributie en waarborgen onweerlegbaarheid Asymmetrisch Encryptie gebeurt met een sleutelpaar (privé- en publieke sleutel) Verzender codeert bericht met publieke sleutel van ontvanger. De ontvanger decodeert met zijn privé sleutel het bericht. Indien authenticiteit ook gewaarborgd dient te zijn, vindt eveneens ondertekening plaats met de privé sleutel van de verzender. De ontvanger kan de handtekening controleren met de publieke sleutel van de verzender. 28

29 Certificaten Certificaten worden gebruikt om asymmetrische sleutels aan gebruikers ter beschikking te stellen. Een certificaat is een bestand met hierin vastgelegd de geregistreerde naam van de houder de private en de publieke sleutel van de houder de geldigheidsduur van het certificaat de locatie van de 'Certificate Revocation List' (bij de uitgever van het certificaat) een samenvatting van het certificaat, versleuteld met de privésleutel van een vertrouwde partij. Deze "handtekening" maakt het certificaat moeilijk te vervalsen en is door iedereen d.m.v. de bijbehorende publieke sleutel te controleren. 29

30 Certificate store 30

31 Encryptie op de communicatie laag Door middel van het SSL/TLS-protocol Boven op TCP/IP-laag Doel is het bepalen van de symmetrische sessiesleutel Maakt gebruik van een handshake Enkelzijdig SSL versus dubbelzijdig SSL 31

32 SSL/TSL verbinding TCP/IP Hallo Hallo terug 2 Uitwisseling versie SSL/TSL en type algoritme 3 Publieke sleutel server 4 Publieke sleutel client Pre-master secret Generatie master secret en sessie sleutels 7 Start met sessie sleutel Einde handshake Start met sessie sleutel A Einde handshake B 32

33 Encryptie op de applicatielaag Toepassen van encryptie op het kleinste element Selectie van onderdelen in het bericht Waarborgen integriteit end-to-end mogelijk Wordt gebruikt bij de digitale handtekening Certificaat mag afwijken van SSL/TSL certificaat 33

34 Functies van de digitale handtekening Authenticatie. Aangezien de encrypted hashwaarde (de handtekening) alleen gelezen kan worden door deze te decrypten met de publieke sleutel van de afzender, kan de ontvanger er vanuit gaan dat het bericht alleen van de eigenaar van de bijbehorende privé sleutel kan zijn. Borgen van berichtintegriteit. Wanneer onderweg de inhoud van een bericht wijzigt, zal de meegestuurde (encrypted) hashwaarde altijd verschillen van de hashwaarde die de ontvanger na decryptie zelf met de hashfunctie berekent. Als beide hashwaarden identiek zijn, kan de ontvanger er zeker van zijn dat het bericht (of de geselecteerde velden) niet is gewijzigd. Onweerlegbaarheid. De hashwaarde kan alleen versleuteld worden met de privé sleutel van de afzender en ontsleuteld worden met de publieke sleutel van de afzender. Bij overeenkomende hashwaarden kan de afzender niet ontkennen het bericht te hebben opgesteld en getekend. Bij het zogenoemd óndertekenen van een bericht vervult de digitale handtekening de volgende functie: Wilsuiting. Dit kan met een gekwalificeerde elektronische handtekening. 34

35 De hashfunctie en de digitale handtekening Afzender (A) Ontvanger (B) Bericht Bericht Bericht H waarde H Privé sleutel A Vwaarde Vwaarde Publieke sleutel A Vergelijken waarde E Vwaarde Legenda H: Hashfuntie D: Decryptie E: Encryptie Vwaarde: versleutelde waarde D waarde

36 Public Key Infrastructure (PKI) Stelsel van maatregelen en procedures Centraal staat de trusted third party, ook wel de Certification Authority (CA) genoemd Registration Authority controleert de authenticiteit van de certificaat aanvrager De minimale eisen waaraan de CA moet voldoen staan beschreven in de Certificate Policies (CP). De invulling hiervan staat beschreven in de Certificate Practice Statements (CPS) Certificaten die niet worden vertrouwd worden op de Certificate Revocation List geplaatst. 36

37 Vertrouwensketen Root CA (stam) certificaat Certificaat Uitgevende CA certificaat Certificaat Gebruiker certificaat Certificaat 37

38 PKIoverheid Wijkt af van commerciële PKI-initiatieven: CA is de Staat de Nederlanden, wordt gesproken van een gelaagd vertrouwen Policy Authority (PA) in de handen van de overheid (Logius) Gelaagde eisenstructuur Functionele categorisatie van de certificaten Zorgvuldige uitgifteprocedure Certificate Service Providers (CSP s) moeten voldoen aan zeer strenge eisen 38

39 Gelaagd vertrouwen Eindgebruikerscertificaten Certificaatdienstverlener(CSP)certificaten Domeincertificaten Stamcertificaat (Root certificate)

40 Typen certificaten Certificaten Domein Organisatie Domein Burger Domein Autonome Apparaten Persoonsgebonden certificaten Services certificaten

41 Drie functies van certificaten binnen SBR Het opzetten van een beveiligde verbinding, ten behoeve van exclusiviteit. Dit valt onder encryptie op de communicatielaag. Het plaatsen van een digitale handtekening ten behoeve van authenticatie van de certificaathouder. Deze en de derde functie vallen onder encryptie op de applicatielaag. Het plaatsen van een digitale handtekening met dezelfde rechtsgevolgen als een handgeschreven handtekening; een gekwalificeerde elektronische handtekening. 41

42 Digipoort (en BIV) vereisen services certificaten Vereisen geen elektronische handtekening Services certificaten zijn niet gebonden aan een persoon, maar aan een apparaat of systeem. Deze certificaten kunnen ook gekoppeld zijn aan een functie (user/groep gebruikers binnen een organisatie bijvoorbeeld fiscale adviseurs). Deze certificaten zijn niet bruikbaar voor een elektronische handtekening.

43 Certificaat bevat een serienummer Serienummer identificeert eindgebruiker certificaat. Serienummer maakt het certificaat direct herleidbaar tot de organisatie. Serienummer is gemaakt volgens OverheidsIdentificatieNummersystematiek (OIN) 43

44 Informatiebeveiliging binnen SBR: toepassing op de I-processen 1a. Bericht aanleveren 1b. Status opvragen 2b. Mededeling opvragen Aanleveraar Digipoort Autorisatie m.b.v. Digipoort machtigingenvoorziening Statusupdate 2a. Mededeling insturen Uitvragende partij

45 Machtigingen Autorisatie: het verlenen van rechten tot het verrichten van bepaalde handelingen of op bepaald gebruik van een systeem of voorziening of van bepaalde gegevens Bij het machtigen van iemand, draag je rechten over Autorisatiecontrole: de controle waarbij wordt nagegaan of een persoon is geautoriseerd om de door hem gewenste handelingen te verrichten

46 Afsluiting We gebruiken duurzame beveiligingsmiddelen, maar we zijn nog niet klaar Periodieke risicoanalyses vanuit een ketenperspectief Geen 1-op-1 relatie tussen maatregelen/middelen en beginselen uit de wetgeving: maatregelen versterken elkaar Besturing op security vraagstukken zijn belegd in het SBR afsprakenstelsel: college 9 (dinsdag 9 september) 46