Een handreiking betrouwbaarheidsniveaus

Transcriptie

1 Een handreiking betrouwbaarheidsniveaus Voor dienstverleners in het hoger onderwijs & onderzoek Auteur(s): Eefje van der Harst (SURFnet) en Martijn Oostdijk (Novay) Versie: 1.0 Datum: 1 februari 2014 Radboudkwartier CK Utrecht Postbus DA Utrecht admin@surfnet.nl ING Bank NL54INGB KvK Utrecht BTW NL B01

2 Inhoudsopgave 1 Management samenvatting Introductie Diensten en usecases Onderwijs Onderzoek Sturing en bedrijfsvoering Criteria Onderwijs Onderzoek Sturing en bedrijfsvoering Lijst met criteria Risicoveranderende factoren Risicoverlagende factoren Risicoverhogende factoren Referenties Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op

3 1 Management samenvatting Deze handreiking beschrijft een methode voor het bepalen van het minimaal te eisen betrouwbaarheidsniveau (LoA, Level-of-Assurance) voor het vaststellen van de identiteit van gebruikers van online diensten in de Hoger Onderwijs en Onderzoekssector. Naarmate er steeds meer gevoelige gegevens verwerkt worden in deze sector is er behoefte aan meer zekerheid omtrent de identiteit van gebruikers. De methode maakt gebruik van een lijst van criteria waaraan de dienst moet voldoen. De criteria zijn gebaseerd op het soort gegevens dat verwerkt wordt, en de wijze waarop deze door toedoen van de betreffende gebruiker van de dienst verwerkt worden. Risicoverhogende en verlagende maatregelen kunnen ingezet worden om het resulterende betrouwbaarheidsniveau beperkt bij te stellen. Use-cases uit het Hoger Onderwijs- en Onderzoek (gebaseerd op de referentiearchitectuur HORA) bepalen de scope van de handreiking. De handreiking is een eerste versie, en moet beschouwd worden als levend document. 3/14

4 2 Introductie Levels of Assurance (LoA, ook wel betrouwbaarheidsniveaus ) geven aan op welk niveau de identiteit van gebruikers is vastgesteld. Een LoA wordt doorgegeven aan een dienstverlener, zodat deze de informatie mee kan nemen in risicoafwegingen tijdens het verlenen van de dienst. De hoogte van het LoA wordt bepaald door: de kwaliteit van de processen waarmee de identiteit geverifieerd en uitgeleverd wordt, en de technieken waarmee de authenticatie plaatsvindt (het authenticatiemiddel, vaak een tweede factor naast username/wachtwoord) De resulterende LoA is alleen hoog als beide aspecten van voldoende kwaliteit zijn, i.e., als de identiteit bij enrollment goed geverifieerd is, en als het authenticatiemiddel technisch gezien goed beschermd is. Waar in het verleden in de hoger onderwijs en onderzoekssector een lage LoA vaak voldoende was, is er een toenemende behoefte aan hogere LoAs. Deze behoefte wordt vanuit gebruikers en de instellingen (de IdP, Identity Provider ) gevoeld: Een tweede authenticatiefactor is belangrijk om de gebruiker en hun data te kunnen beschermen tegen allerlei aanvallen. Echter, de echte behoefte aan hogere LoA s bestaat bij de dienstverleners (SP, Service Provider ). Doordat steeds meer diensten vertrouwelijke informatie verwerken moet de identiteit van gebruikers van die diensten beter worden vastgesteld. Er bestaan (formele en informele) standaarden die de betrouwbaarheid van een identiteit opdelen in vier discrete niveaus [NIST, STORK, ISO29115]. In deze standaarden wordt de betekenis van de verschillende niveaus beschreven in algemene termen. De tabel hieronder komt uit ISO29115: Level Beschrijving 1 Laag Weinig of geen vertrouwen in de geclaimde of verzekerde ( asserted ) identiteit 2 Medium Enig vertrouwen in de geclaimd of verzekerde identiteit 3 Hoog Veel vertrouwen in de geclaimde of verzekerde identiteit 4 Zeer hoog Zeer veel vertrouwen in de geclaimd of verzekerde identiteit De niveaus beschreven in STORK zijn voorzien van criteria voor zowel de registratieprocessen als het authenticatiemiddel. De lezer wordt verwezen naar deliverable D2.3 [STORK] voor de details. De tabel hieronder, gebaseerd op [BFS] en [NICTIZ] geeft sprekende voorbeelden die, zonder in de details van D2.3 te treden, een beeld geven van de betekenis van de niveaus zoals binnen STORK gehanteerd. 4/14

5 Level Authenticatiemiddel Registratieproces 1 Laag Username/password Eigen bewering ( self-asserted ). Klikken op een link in . 2 Medium Twee factor Kopie paspoort. Registratie op basis van GBA. 3 Hoog Soft certificate Registratie met identiteitsbewijs en meer checks. 4 Zeer hoog Smart card uitgegeven onder overheidstoezicht Fysiek face-to-face verschijnen. Uit deze standaarden wordt wel duidelijk dat voor het bepalen van een minimumniveau voor een dienst, gekeken moet worden naar de informatie die verwerkt wordt door de dienst, en de risico s die dit met zich mee brengt. Praktische handvaten voor het inschalen van concrete diensten naar LoA worden helaas niet gegeven door deze standaarden. Er zijn, in andere sectoren en in andere landen, concretere sectorspecifieke handreikingen geschreven die dit het proces voor dienstverleners moeten vergemakkelijken. Voorbeelden hiervan zijn: De handreiking van het Bureau Forum Standaardisatie [BFS] voor burger-naar-overheid diensten De handreiking Patiëntauthenticatie [NICTIZ] door het platform Patiënt en ehealth (opgestart door Nictiz, i.s.m. Novay en anderen) De Guideline Defining Authentication Requirements van de Canadese overheid [CAN] Deze handreikingen hebben als inspiratie gediend voor deze handreiking die specifiek is voor de hoger onderwijs & onderzoekssector (HO&O). Deze handreiking werkt ook op dezelfde manier als de voorbeelden: De handreiking faciliteert de risico-inschatting voor diensten uit de hoger onderwijs en - onderzoek sector in drie stappen: door de sector op te delen in concrete diensten en/of use-cases door criteria vast te stellen over de informatie die verwerkt wordt en door risico-verhogende en -verlagende maatregelen te beschrijven De lijst van use-cases bepaalt de scope van de handreiking. De scope van deze handreiking omvat de onderwijs- en onderzoeks ICT systemen en administratieve systemen die bij instellingen en dienstverleners uit de achterban van SURFnet (het hoger onderwijs en onderzoek) gebruikt worden. Dit is dezelfde doelgroep waar de referentiearchitectuur voor het hoger onderwijs en onderzoek (de HORA [HORA]) op van toepassing is, en deze architectuur vormt dan ook in belangrijke mate de basis van de lijst in Hoofdstuk 3. In andere vormen van onderwijs en onderzoek zullen andere eisen aan identiteiten gesteld worden, bijvoorbeeld omdat daar bepaalde gevoelige gegevens (denk aan gegevens over minderjarigen, patiënten, commercieel-concurrentiegevoelige informatie) op manieren verwerkt wordt waarmee in deze handreiking geen rekening gehouden is. 5/14

6 De lijst van criteria over de te verwerken informatie bepaalt in eerste instantie de hoogte van het betrouwbaarheidsniveau. Het inschalen van een concrete dienst is een kwestie van het beantwoorden van een aantal gesloten vragen om te zien aan welke criteria al dan niet voldaan is. Daarnaast zijn er nog risico-verhogende of verlagende maatregelen en omstandigheden die van toepassing kunnen zijn. Per dienst kan nagegaan worden of zulke maatregelen zijn getroffen dan wel zulke omstandigheden gelden, en kan besloten worden of deze het betrouwbaarheidsniveau in beperkte mate moeten verhogen of verlagen. Basis voor deze handreiking waren twee wisdom-of-the-crowd sessies met vertegenwoordigers van instellingen uit de SURFnet achterban. Deze handreiking heeft tot doel om de invoering van minimum LoAs makkelijker te maken. Het is aannemelijk dat voortschrijdend inzicht, tijdens het implementeren van hogere betrouwbaarheidsniveaus (zie [SuaaS]), aanpassingen aan deze handreiking noodzakelijk maakt. Ook in andere sectoren worden de handreikingen regelmatig ge-update. Deze handreiking moet dus vooral beschouwd worden als eerste versie, en als levend document. 6/14

7 3 Diensten en usecases Als basis voor een inventarisatie van diensten en use-cases wordt de referentiearchitectuur HORA gebruikt. Het document Referentie-architectuur [Greefhorst & Kooy] geeft in het functiemodel een overzicht van de functies van een instelling voor hoger onderwijs en onderzoek: Onderwijs (o.a. onderwijsontwikkeling, toetsing) o Onderwijsondersteuning (o.a. werving, roostering, certificering) Onderzoek (o.a. uitvoering en publicatie) o Onderzoeksondersteuning (o.a. administratie, kennisuitnutting) Sturing (o.a. strategie, beleid, verandermanagement) Bedrijfsvoering (o.a. HRM, financiën, inkoop, communicatie) Onderwijs en onderzoek (inclusief de daarbij horende ondersteuning) zijn specifiek voor de HO&O sector en vormen de kerntaak van zo n instelling. Deze twee functionele gebieden worden hieronder apart behandeld in Sectie 3.1 resp Sturing en bedrijfsvoering zijn niet specifiek voor de sector maar vallen wel degelijk binnen de scope van deze handreiking, use-cases binnen dit functionele gebied worden hieronder samengenomen in Sectie 3.3. De use-cases hieronder zijn besproken in de discussiesessies. Deze use-cases zijn op concreter niveau geformuleerd dan het functiemodel (namelijk een actor die een concrete actie uitvoert, waarbij in sommige gevallen concrete informatieobjecten ingezien of gewijzigd worden). Doel is om deze typische use-cases te kunnen koppelen aan de lijst met criteria in Hoofdstuk 4 zodat geverifieerd kan worden dat de criteria alle use-cases afdekken en zodat bij een gegeven dienst eenvoudiger bepaald kan worden aan welke criteria is voldaan. 3.1 Onderwijs Student schrijft zich in voor een toets / vak / (studie 1 ) Student neemt deel aan een online toets (tentamen of leeractiviteit die meetelt ) Student levert online een opdracht in Student raadpleegt studievoortgang in de elektronische leeromgeving (ELO) Docent raadpleegt / wijzigt studievoortgang van student in de ELO Docent raadpleegt / wijzigt toetsmateriaal Docent/Medewerker raadpleegt / wijzigt toetsresultaat Docent machtigt mede-docent / student-assistent Docent stuurt CV van student naar stage-bemiddelaar Docent raadpleegt SIS Docent wijzigt in SIS Student/Docent raadpleegt rooster Studentendecaan / ExamenCie raadpleegt een dossier 1 Nederlandse studenten worden via StudieLink geregistreerd, waarbij DigiD gebruikt wordt. 7/14

8 Studentendecaan wijzigt dossier student (medische gegevens) 3.2 Onderzoek Onderzoeker werkt samen (met personen buiten eigen instelling) Onderzoeker publiceert ruwe data (als onderdeel van een open data initiatief) Onderzoeker wijzigt zijn/haar publicatielijst Onderzoeker bereidt een patenteerbare uitvinding voor Onderzoeker reviewt inzendingen voor journal/conferentie Projectleider fiatteert gemaakte uren in extern gefinancierd project (voor bijvoorbeeld de EU) Proefpersoon neemt deel aan onderzoek via een web site 3.3 Sturing en bedrijfsvoering Medewerker raadpleegt concernsysteem (financieel, HRM, logistiek, studentenzaken) o Medewerker ziet ziekmeldingsgegevens in Medewerker wijzigt gegevens in concernsysteem o Medewerker wijzigt rekeningnummer waar salaris gestort wordt Student/Docent/Medewerker start een beroepsprocedure 8/14

9 4 Criteria De lijst van criteria in dit hoofdstuk is gebaseerd op de HORA referentie architectuur [HORA], en met name de informatieobjecten die daarin beschreven zijn. De HORA bevat naast een functiemodel (dat in Hoofdstuk 3 gebruikt werd om use-cases te beschrijven) ook een informatiemodel. Het informatiemodel geeft, binnen het functiemodel, aan welke informatie verwerkt en uitgewisseld wordt door welke systemen. Objecten die deel uitmaken van dit informatiemodel zijn bovendien geclassificeerd in termen van Beschikbaarheid, Integriteit en Vertrouwelijkheid (zijn voorzien van een BIV-score). De beschikbaarheid even buiten beschouwing latend, is bij het verwerken van gegevens vooral de vertrouwelijkheid ( confidentialiteit ) en de integriteit van gegevens bepalend voor de mate waarin de identiteit van een gebruiker vastgesteld moet zijn. Alvorens de criteria te presenteren deelt dit hoofdstuk daarom per functionele categorie (onderwijs, onderzoek, overige) de gevoeligste informatieobjecten uit de HORA in naar confidentialiteit en integriteit Onderwijs Confidentialiteit Binnen het onderwijs zijn de informatieobjecten waarvan de confidentialiteit belangrijk is: Toetsmateriaal Toetsresultaat Studievoortgang (in de architectuur Onderwijsdeelname genoemd) Persoonsgegevens (in de architectuur Deelnemer genoemd) Integriteit Binnen het onderwijs zijn de informatieobjecten waarvan de integriteit belangrijk is: Persoonsgegevens (in de architectuur Deelnemer genoemd) Examenprogramma Toetsmateriaal Toetsresultaat Waardedocument (bijvoorbeeld een diploma) Deelnameregistratie (in de architectuur Leeractiviteit genoemd, ook Stageplaats valt hieronder) 2 Hierbij is gebruik gemaakt van document Referentie-architectuur [1].xls, onderdeel van HORA. De objecten, op het juiste niveau van concreetheid, die H(oog) scoren m.b.t. V(ertrouwelijkheid) of I(ntegriteit) en die horen bij de functionele categorie worden genoemd. Ook zijn objecten die M(iddel) scoren maar waarvan in de discussies bevestigd werd dat deze een issue kunnen zijn. 9/14

10 4.2 Onderzoek Confidentialiteit Binnen het onderzoek zijn de informatieobjecten waarvan de confidentialiteit belangrijk is: Onderzoeksgegevens (resultaten, gevoelig vanwege concurrerende onderzoeksgroepen) Onderzoeksobject (gevoelig want kunnen persoonsgegevens bevatten) Integriteit Binnen het onderzoek zijn de informatieobjecten waarvan de integriteit belangrijk is: Onderzoeksgegevens Publicatie 4.3 Sturing en bedrijfsvoering Confidentialiteit Binnen sturing en bedrijfsvoering zijn de informatieobjecten waarvan de confidentialiteit belangrijk is: Resultaat (performance van een organisatieonderdeel) Integriteit Binnen sturing en bedrijfsvoering zijn de informatieobjecten waarvan de integriteit belangrijk is: Onderwijseenheid Opleiding Resultaat 10/14

11 4.4 Lijst met criteria De volgende lijst met criteria is op basis van bovenstaande en de discussiesessies samengesteld. Waar het om informatieobjecten gaat is gekozen is om de lijst op te delen in inzien (1 t/m 6) en wijzigen (7 t/m 14) 1. Er is sprake van inzage in persoonsgegevens (niet niet bijzonder bijzonder) 2. Er is sprake van inzage in studievoortgang (niet wel) 3. Er is sprake van inzage in toetsresultaten (niet wel) 4. Er is sprake van inzage in toetsmateriaal (niet wel) 5. Er is sprake van inzage in onderzoeksgegevens (niet wel) 6. Er is sprake van inzage in onderzoeksobjecten (niet wel) 7. Er is sprake van wijzigen van persoonsgegevens (niet niet bijzonder bijzonder) 8. Er is sprake van wijzigen van toetsmateriaal (niet wel) 9. Er is sprake van wijzigen van toetsresultaten (niet wel) 10. Er is sprake van wijzigen van deelnameregistratie (niet wel) 11. Er is sprake van wijzigen van het examenprogramma (niet wel) 12. Er is sprake van wijzigen van een waardedocument (niet wel) 13. Er is sprake van wijzigen van onderzoeksgegevens (niet wel) 14. Er is sprake van wijzigen van een publicatie (niet wel) 15. Dienst heeft mogelijk grote gevolgen van economisch belang (geen gering groot) 16. Dienst heeft mogelijk grote gevolgen van publiek belang (geen gering groot) 11/14

12 De tabel hieronder laat zien hoe de lijst van criteria aan betrouwbaarheidsniveaus gekoppeld wordt. Hierbij moet de tabel als volgt geïnterpreteerd worden: wanneer een waarde van ten minste één van de genoemde criteria ten hoogste de in de tabel vermelde waarde heeft, dan moet minstens de vermelde LoA geëist worden. Criteria Criteria waardes LoA 1. t/m t/m Inzage * Wijzigen * Economisch belang Publiek belang niet niet geen geen t/m t/m Inzage persoonsgegevens Inzage studievoortgang Inzage * Wijzigen * Economisch belang Publiek belang niet bijzonder wel niet niet geen geen t/m t/m Inzage persoonsgegevens Inzage studievoortgang Inzage toetsresultaten Inzage * Wijzigen * Economisch belang Publiek belang niet bijzonder wel wel niet niet gering gering t/m t/m t/m Inzage persoonsgegevens Inzage studievoortgang Inzage toets* Inzage onderzoek* Wijzigen * Economisch belang Publiek belang bijzonder wel wel wel wel groot groot 3 12/14

13 5 Risicoveranderende factoren De risico verlagende en verhogende factoren in dit hoofdstuk zijn het resultaat van de discussiesessies. Het vereiste betrouwbaarheidsniveau kan hiermee naar boven dan wel naar beneden bijgesteld worden in situaties waar de criteria uit Hoofdstuk 4,Error! Reference source not found. in de praktijk te star zijn. Of deze factoren van toepassing zijn op een dienst van een dienstverlener moet van geval tot geval bekeken worden. Van belang is om, als in specifieke gevallen gebruik wordt gemaakt van deze factoren, de keuze en verantwoording van te voren schriftelijk vast te leggen. De meeste factoren hieronder zijn, na analyse van de betreffende dienst, van te voren vast te stellen. Sommige van de factoren betreffen een dynamisch aspect van de dienst (bijvoorbeeld de factor over context informatie). De omstandigheden die moeten gelden voor het toepassen van de laatste categorie zullen na verloop van tijd (van gebruik van de dienst) pas goed vastgesteld kunnen worden. 5.1 Risicoverlagende factoren Gebruiker heeft inzage in laatste inlog (en/of gedetailleerdere transacties) Gebruiker krijgt een bevestiging van relevante transacties via een ander kanaal In het vervolgproces zal de dienstverlener informatie krijgen over de gebruiker die los van de dienst de betrokkenheid en toestemming van de gebruiker bewijst In het vervolgproces zal de gebruiker zich met hoog betrouwbaarheidsniveau moeten authenticeren richting dienstverlener (bijvoorbeeld fysiek tentamen afleggen, waarbij een identiteitsbewijs gecontroleerd kan worden) Herstel van eventuele schade (remediation) is makkelijk 5.2 Risicoverhogende factoren Er zijn motieven voor identiteitsfraude bij de gebruiker (bijvoorbeeld een andere, slimmere, student tentamen laten doen) Er is sprake van bekende personen, waardoor persoonsinformatie die in principe niet heel gevoelig is waardevoller wordt voor een aanvaller De schaal waarop door een aanvaller identiteitsfraude gepleegd kan worden is zeer groot Context informatie (tijd van inloggen, IP, geolocatie etc) wijkt sterk af van normale patronen 13/14

14 6 Referenties [BFS] Forum Standaardisatie, Betrouwbaarheidsniveaus voor authenticatie bij elektronische overheidsdiensten een handreiking voor overheidsorganisaties, versie 2, 2013 [CAN] Treasury Board of Canada Secretariat, Guideline on Defining Authentication Requirements 3, November 2013 [HORA] Greefhorst, D., Kooy, R., Referentie-architectuur voor hoger onderwijs en onderzoek 4 (versie 16 april 2013), April 2013 [ISO29115] [NICTIZ] ISO/IEC 29115, Information technology Security techniques Entity authentication assurance framework, April 2013 Platform patient en ehealth (Nictiz et al.), Handreiking Patientauthenticatie, versie 1.0, September 2013 [NIST] NIST Special Publication , Electronic Authentication Guideline, December 2011 [STORK] Hulsebosch, B. et al., Quality Authenticator Scheme, STORK 1.0 deliverable 2.3, Maart 2009 [SuaaS] Oostdijk et al., Step-up Authentication-as-a-Service - A study of the architecture and processes 5, November Beschikbaar 4 Zie ook 5 Beschikbaar via Service_Architecture_and_Procedures_final.pdf. 14/14