Zo krijg je software veilig: Grip op Secure Software development

Transcriptie

1 Zo krijg je software veilig: Grip op Secure Software development Veilige software door marktbrede samenwerking Ad Kint, Marcel Koers & Rob van der Veer IBO 40 PvIB 5 november 2014

2 Agenda Ad Kint CIP Rob van der Veer Noodzaak SSD SSD initiatief Marcel Koers Grip op SSD: de methode Grip op SSD: de normen Beveiliging in inkoopcontracten Ad Kint Implementatie-ervaring UWV Grip op SSD Community

3 CIP: Centrum voor Informatiebeveiliging en Privacybescherming Aanleiding voor de overheid: Toenemende afhankelijkheid van het internet, mobile devices,ed. Toenemende (organisatiegraad van) cyber crime De overheid organiseert zich en CIP faciliteert dit door Werken aan gezamenlijke afspraken en normatiek Aanbieden/toegankelijk maken van kennis en practices Het bouwen aan een IB-community in de overheid 3

4 CIP faciliteert met een opdracht Stuurgroep Compacte Rijksdienst UWV, SVB, DUO en Belastingdienst/Toeslagen richten gezamenlijk een expertisecentrum op voor informatiebeveiliging en bescherming van persoonsgegevens. Dit expertisecentrum bundelt kennis, ervaringen en schaarse menskracht. Dit expertisecentrum staat ook open voor andere uitvoerings-organisaties. De betrokken uitvoeringsorganisaties leveren de mensen en het geld uit de bestaande middelen.

5 Netwerkorganisatie Hoe doen we dat? Kennispartners Domeingroep Veilig Delen Participanten Vaste kern Publiek- Private Samenwerking Subcommunity Cyber Security Platform 5

6 Netwerkorganisatie: Overheid 6

7 Netwerkorganisatie: Bedrijfsleven 7

8 CIP in cijfers Deelnemers overheid: 73%, uit private partijen: 27% Van de 670 personen in het netwerk hebben 209 mensen toegang gevraagd tot de besloten CIP-Pleio community site. Ruim 300 mensen doen of kijken mee met een of meer werkverbanden (domeingroepen, CSP, Practitioners communities): variërende coalitions of the willing. 1% 5% 1% 1% 2% Aantal leden in het netwerk: % 25% 51% IB&P IV Juridisch Communicatie Commercieel De halfjaarlijkse conferenties trekken nu ca 200 mensen. 4% Totaal aantal organisaties: 159 2% 3% 4% 3% 33% 51% Overheid Marktpartij Brancheorganisatie Stichting Wetenschappelijk Zorg Overige 6% Verdeling van de 80 overheidsorganisaties over sectoren 4% 4% 21% 17% 27% 21% Agentschap ZBO Ministerieel Provinciaal Gemeentelijk 8

9 Activiteiten op het gebied van kennisdeling Voorjaar- en najaarconferenties Domeingroepen, geleid door founding fathers en bezet door participerende overheidsorganisaties Tijdelijke werkgroepen Kennispartnersessies: co-producties CIP en Kennispartners. (Herstelvermogen, DDoS, Ketenrisico s, veilig mobiel werken, PIA, etc). Cyber Security Platform Samenwerkingen met o.a. NCSC, Taskforce BID, KING/Informatie en Beveiligingsdienst

10 Nieuwe werkvormen Practitioners communities voor: Secure Software Development Keten Service Library (binnenkort) implementatie BIR ISAC-Rijk Domeingroep Identiteitsfraude Domein- of werkgroep Veilig Delen.

11 Producten en practices Proces en eisen Secure Software Development: de opdrachtgever aan het stuur * Cursus Secure Software Development * Webrichtlijnen in fundamentele herordening (ism NCSC) Capability Maturity Model op Webrichtlijnen * Eerste 6 modules binnen een structuur voor e-learning content t.b.v. hergebruik binnen de overheid * Cursus Awareness * Local Box * Handreiking omgaan met datalekken * Praktijk Privacy Impact Assessment (PIA) * Handreiking voor gebruik Clouddienstverlening * Handreiking voor omgaan met testen met productiegegevens * Beveiligingsovereenkomsten * * Beschikbaar onder Creative Commons Naamsvermelding-GelijkDelen

12

13 Oorzaken onveilige software Beveiligingseisen zijn onduidelijk en niet op maat Opdrachtgever verwacht deskundigheid Leverancier verwacht precieze specificaties Er wordt niet of laat getoetst Opdrachtgever heeft te weinig risico-overzicht Bestaande standaarden bieden te weinig houvast Lange lijsten met technische en organisatorische maatregelen Vooral toegesneden op het hoe, niet het wat

14 Het Grip op Secure Software Development initiatief Leveranciers vragen op een UWV congres om heldere specificaties CIP-team ontwikkelt Grip op SSD met UWV, BKWI, SIG, ADR, Belastingdienst, DUO, UMC-Utrecht Juni 2013: Conferentie met Nederland ICT September 2013: Implementatie bij UWV Januari 2014 Lancering methode en eisen op ibestuur conferentie Maart 2014: Practitionersgroep gelanceerd

15 Eisen aan een methode om grip te krijgen Leveranciersonafhankelijk: Geen eisen die ingrijpen op het HOE bij de leverancier Inzetbaar bij meerdere verschillende interne of externe leveranciers Toepasbaar bij verschillende ontwikkelmethodieken (waterval, agile) of wel of niet via een scrum aanpak. Geschikt voor maatwerk èn standaard pakketten Meegeven beveiligingseisen is niet een verwijzing naar een (ISO-)standaard: Maak eisen op maat met een risicoanalyse Maak de leveranciers duidelijk dat je (steeds meer) gaat sturen Grip op Secure Software Development 15

16 De methode: In contact en in control komen Standaard beveiligingseisen Security Architectuur Blokken Baseline security Classificatie - Systemen - Gegevens Attack patterns Gap De SSD-processen Risicoanalyse & PIA (Misuse & abuse) Bijhouden risicomitigatie en risicoacceptatie Beveiligingseisen Beveiligingstestplan Contact-momenten Code review Testen en toetsen Risicoacceptatie Pentesten Initiatie verandering Ontwerp Software ontwikkeling Testen Acceptatie Gebruik Het voortbrengingsproces Grip op Secure Software Development 16

17 De methode: Governance Organisatorische inrichting SSD SSD-processen: volwassen ingevuld Business Impact Analyse Onderhoud standaard beveiligingseisen Sturen op maturity Standaard beveiligingseisen Security Architectuur Blokken Baseline security Classificatie -Systemen - Gegevens Attack patterns Grip op Secure Software Development 17

18 gebruik dashboard formele processen Groeien naar volwassenheid Nog niet dezelfde prestatie-indicatoren leveranciers afgestemde selectie baseline beveiligingseisen dezelfde tooling en prestatie-indicatoren leveranciers methodische aanpak voor onderlinge vergelijking standaard voor bedrijfskritische systemen steekproefsgewijs SSD-processen dezelfde tooling en prestatie-indicatoren leveranciers hogere voorspelbaarheid met kortcyclische processen 4. Vergroten bewustzijn: Campagneleider testset afgestemd op Voorbeeld de bedrijfs- publiceren en 1. Faciliteren security-architectuur testproces: Uitleg van de methode Uitleg van de baseline tegen bedrijfsbreed vastgestelde baseline beveiligingseisen pentest na externe melding beveiligingsdreiging onderdeel van het acceptatieproces periodiek voor bedrijfskritische systemen incidenteel voor bedrijfskritische systemen Security by design vergelijking indicatoren leveranciers 8. Rapportages op de afwijkingen (Rood/Groen) de applicatieeigenaar voorkomt kortcyclisch negatieve bevindingen 6. Formele acceptatie actieve monitoring 3. gedoogsituatie Applicatielijst: van de Prioriteren vervolgafspraken applicaties Inventarisatie hanteren baseline acceptatie mèt vervolgafspraken met applicatie-eigenaar 1 kopie baseline beveiligingseisen op ad-hoc basis op ad-hoc basis slechts na beveiligingsincidenten acceptatie zonder vervolgafspraken met applicatie-eigenaar 7. Meenemen context: BIA prestatie-indicatoren en IB risico-analyse voor versneld gebruik 5. Security-architectuur Feedback nieuwe leveranciers: eisen Eerst als bijlage op versie in in lijn met de bedrijfsde contracten. securityarchitectuur 2. Afspraken: Uitleg methode aan de IM s Contract leveranciers CMMniveau Beveiligingseisen Code review Testen en toetsen Pentesten Risicoacceptatie Grip op Secure Software Development 18

19 SSD: De normen Gebaseerd op: Risico s voor de bedrijfsvoering NCSC richtlijnen Duidelijkheid over: wie moet wat doen Comply or explain Maakt governance mogelijk: Normen beperkt in omvang Hanteerbaar als auditnorm (SIVA) De veiligheid en de weg ernaar toe zijn inzichtelijk gemaakt Eenvoudig uitbreidbaar: Practitionersgroep

20 Grip op Beveiliging in inkoopcontracten Betere sturing Aanspreken op geleverde prestatie Vraagt om afstemming vooraf Delen van informatie en kennis Weerbaarheid van het stelsel vergroot Privacy Informatiebeveiliging Aandacht voor clouds, SSD, privacyregelgeving, Volgt het bedrijfsbeleid Opgezet als cafetariamodel De prestatiegerichte aanpak zet de beveiligingsorganisatie in positie Klassieke aanpak leidt steeds tot ontevredenheid en onveilige oplossingen Het roer moet om naar een prestatiegericht aanpak!

21 UWV implementatie: Uitgangspunten SSD zijn 31 extra requirements voor software: Per verplichting voor interne en externe leveranciers SSD toepassen comply or explain Intern inhoudelijk geweten van SSD voor ondersteuning en ontwikkeling Open houding: Iedere partij mag twijfels hebben Doorontwikkeling van de SSD-beveiligingseisen. Kwaliteit was op dat moment onvoldoende (niet aanwezig). Expert aanspreekbaar voor iedereen en weet de antwoorden

22 Voorbrengingsketen UWV De stappen Afmelding in produktie Interne delivery org. In produktienemen In gebruik nemen functionaliteit Leveren conform opdracht, incl. SSD bevindigen 9 IS 8 Leveren van aangepaste software Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier Leverancier (extern /intern) Software Bouw Opdracht voor wijziging Opdracht voor applicatiewijziging TSC Functionele Acceptatie Test Opdracht voor softwarewijziging (SSD bevindingen) Opdracht voor testen Leveren geteste software èn rapportage

23 Voorbrengingsketen UWV De omvang Aantal releases: ca. 100 per jaar 10-tal IM s, 400 medewerkers Interne delivery org. 9 IS 8 5 BSU s, 500 medewerkers Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier Leverancier (extern /intern) Software Bouw TSC 120 medewerkers TSC Functionele Acceptatie Test 70 leveranciers, waarvan 6 grote softwareleveranciers

24 Voorbrengingsketen UWV De contactmomenten Security risicomanagement Penetratietesten SSD Interne delivery org. Beoordeling SSD bevindingen IS Rapportage verantwoording SSD normen 9 8 Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier 7 4 Leverancier (extern /intern) Software Bouw Contractuele verplichting SSD eisen 5 6 SSD rapportage leverancier TSC Functionele Acceptatie Test TSC/SSD test en Toetsing rapportage leverancier

25 Invoeringsstrategie Het motto is: DOEN DOEN DOEN Niet specificatiegedreven (vraagt om een stabiele eenduidige situatie) Bewust gekozen voor een evolutionaire invoering: Niet adhoc (leidt tot onzekerheid bij de BAU). De organisatie geleidelijk meegenomen (leren en ontwikkelen): Eerst het proces op gang en daarna bijregelen Gebruik bestaande Governance: Bestaande besturing en overlegstructuren SSD vereist geen aanpassing in processen van de BAU, hooguit aanvulling van bestaande processen Leidende coalitie van 5 medewerkers heeft SSD champions in de BAU benoemd De champion levert de Business Change Manager en déze implementeert IB-organisatie faciliteert: Levert de producten (duidelijkheid) aan de BAU Dus gewoon DOEN TVB ontstaat evolutionair, nadat SSD ingeregeld is 2015: Doorgroeien naar volwassenheidsniveau 3

26 Aanpak in de tijd In 1 jaar neergezet 1e helft 2014: Interactieve communicatie met alle actoren in de voortbrengingsketen Maandelijks SSD voortgang en nieuwsfeiten melden aan stakeholders Verplichting voor interne en externe leveranciers SSD direct toepassen voor releases (SSD compliant blijven) Opdracht voor impactanalyses SSD compliancy complete portefueille Rapportage dmv Dashboard Ondersteuning BAU in de beoordeling van SSD bevindingen Interveniëren in BAU, indien nodig 2e helft 2014 Verbeterplannen voor de SSD bevindingen(risico based) Eind 2014: SSD in control: SSD bevindingen afgehecht met verbeterplannen.

27 SSD Practitionersgroep Ambitie: Betere beveiliging bij overheid en bedrijfsleven door het op grote schaal gebruiken van SSD bij zowel opdrachtgevers als leveranciers Gemeenschappelijk belang: (Overheids-) organisaties delen dezelfde leveranciers Gebruik van standaard normen vereenvoudigen het gebruik (SSD-normen) Dezelfde wijze van samenwerking (SSD-methode): Optimale en effectieve samenwerking Lagere kosten Practitionersgroep: Community binnen CIP, met: Opdrachtgevers die SSD implementeren of dat van plan zijn Leveranciers die SSD opnemen in hun aanbod of dat van plan zijn Samenwerken àls dè basis voor veilige software Met als doel: Het verbeteren van de beveiliging door samenwerking tussen opdrachtgevers en leveranciers Het delen van ervaringen, om elkaar te helpen De methode en de normen te verbeteren met lessons learned 27

28 Grip op SSD: Een open community Downloads: SSD-Methode SSD-normen SSD-training Beveiliging in inkoopcontracten Deelname practitionersgroep Vragen/doe mee: Wij delen de kennis om tot veilige software te komen en om deze te verrijken om klaar te zijn voor cybersecurity

29 Resumé SSD is een enabler voor een inhoudelijke professionele samenwerking; intern èn met de leveranciers SSD is direct toepasbaar Bewezen praktijk Implementatie is laagdrempelig Maak gebruik van wat is bereikt bij de leveranciers Hogere volwassenheidsniveau s haalbaar en meetbaar Duurzame doorontwikkeling is geborgd Doe nu mee! Onze droom: één methode, één normenset, één taal

30 Practioners community SSD 26 november 2014: OWASP en SSD Martin Knobloch, NL Chapter leader OWASP Leveranciervisie op SSD. Stef Hoffman, Cap Gemini SSD Manifest. HET MOET ECHT ANDERS in de BV Nederland! Systeemgerichte contractbeheersing en Grip op beveiliging in inkoopcontracten Roeland Wink, belastingdienst/rijkswaterstaat en Marcel Koers Geautomatiseerd Security testen Marinus Kuivenhoven, Sogeti Borrel met hapje.