1 Titel van de presentatie Classificatie
Nederlands Normalisatie Instituut eherkenning 24 september 2013 Delft Haydar Cimen Director Security Services Strategy & Innovation 2
KPN Trusted Services 3
Security strategisch top-5 thema binnen KPN KPN CEO is co/voorzitter van Cyber Security Raad KPN is onderdeel van de Nederlandse vitale infrastructuur 1 Miljard investering in netwerk en veiligheid (KPN Schoon, Blijvend Schoon) KPN CERT werkt nauw samen met publieke en private CERT teams Gezamenlijke oprichting ENCS voor cyber security voor internetveiligheid voor vitale infrastructuren, zoals energie, water en telecom Actieve rol in stimulering van onderzoek, testen, kennisdelen en training ism Alliander, DNV KEMA, TNO en de Radboud Universiteit Deelname aan privacybelangen- en brancheorganisaties, zoals de privacycommissie van het Nederlandse ondernemersverbond VNO-NCW en NL ICT Investeringen in internationale Cybersecurity Innovatie programma s zoals SBIR/NWO research en development KPN is lid van strategische stelselraad eid 4
KPN Trusted Services Identity, Security, Business Continuity 5
Identiteiten en Persona s 6
Publieke Identiteitsdiensten Overheid - Bedrijfsleven 7
KPN Trusted Services als IDSP en eherkenning stelsel KPN is als pionier gestart in 1996 als TTP met identiteit- en vertrouwens-diensten Identiteits diensten b.v. voor Gezondheidszorg, Justitie, Defensie, Transport,.. Ca 2M. Identiteiten in beheer (STORK L1 t/m L4) KPN als eerste ETSI gecertificeerde trustcenter in Europa voor digitale identiteiten en elektronische handtekening diensten KPN participeert actief en contribueert aan ontwikkeling en groei van eherkenning sinds de eerste start in 2009 KPN heeft momenteel 3 jaar operationele ervaring met specifieke eherkennings diensten 8
Wat is eherkenning? Afsprakenstelsel Func./Tech. Operationeel Juridisch Dienstverleners Portalen Websites Systemen Marktpartijen Afnemers Bedrijven Consumenten Professionals Beheerorganisatie Logius 9
eherkenning Stelsel Het eherkenning Stelsel is ontworpen om op een veilige manier electronisch handelen mogelijk te maken en zorgt primair voor Authenticatie en Autorisatie van gebruikers. Daardoor zijn er diverse technische zaken in het stelsel aanwezig zoals: Eissen t.a.v. Vertrouwelijkheid, Integriteit en Beschikbaarheid Pseudonimisering van gebruikers Ook over de proces as wordt e.e.a. geborgd, zoals: Operationele afspraken Periodiek security officers overleg Audit bij toetreding Periodieke Audits waaronder ISO27001 Periodieke Pentests Erkende gecertificeerde aanbieder 10
Welke rollen zijn er binnen eherkenning? Authenticatie Dienst Dienstverleners Makelaar Middelen Uitgever Gebruikers Machtigingen Register 11
KPN biedt gehele keten in het stelsel Dienstverleners Gebruikers CIBG Kiwa Register B.V. Dienst Justis Ministerie van Veiligheid en Justitie CJIB Etc.. Makelaar Authenticatie Dienst Organisaties Middelen Machtigingen Machtigingen Register Middelen Uitgever 12
KPN eherkenning diensten Alle rollen, alle betrouwbaarheids niveau s: Herkenningsmakelaar (HM) Middelenuitgever (MU) Authenticatiedienst (AD) Machtigingenregister (MR) Dienstverlening conform SLA eherkenning, plus: Beschikbaarheid 7x24, 99,9% per maand Volautomatische uitwijk/disaster-recovery ISO 9001/27001 gecertificeerde omgeving/organisatie Maandelijkse rapportage beschikbaarheid/prestaties 13
eherkenning stelselafspraken (1) Het eherkenning stelsel is dé standaard om veilig elektronisch handelen mogelijk met overheid en bedrijfsleven en voorziet primair in authenticatie en autorisatie van gebruikers. Deelnemers en de beheerorganisatie moeten afdoende beveiligingsmaatregelen treffen om een betrouwbare werking te garanderen. Vertrouwen in eherkenning is gebaseerd op: Organisatorisch en administratief door contracten en formele toetsing zoals certificatie en Third Party Mededelingen Gebruikerservaringen van de ongestoorde en veilige werking van de technische infrastructuur Implementatie en ontwikkeling van stelselafspraken: Professionele normen voor informatiebeveiliging: Gemeenschappelijk Normenkader Informatiebeveiliging eherkenning en ISO 27002 Deelnemers voldoen aantoonbaar aan ISO27001 en eherkenning afspraken Toezicht vanuit overheid dmv reguliere securityaudits en 3rd partij pentesten/evaluatie 14
eherkenning stelselafspraken (2) eherkenning definieert vier betrouwbaarheidsniveaus voor authenticatiemiddelen (STORK) en machtigingen (met bijbehorende normen), om proportionele toepassing bij verschillende niveaus van informatieclassificatie te faciliteren Voorbeelden van eisen vanuit het stelsel aan technische voorzieningen: Eisen t.a.v. vertrouwelijkheid, integriteit en beschikbaarheid Pseudonimisering borgt privacy van gebruikers in gegevensuitwisseling Continuiteit van het eherkenning is geborgd door de opzet. Mocht zich onverhoopt een calamiteit met een van de aanbieders voordoen, dan kan: een dienstverlener SNEL (<1 dag) overstappen naar een andere aanbieder gebruikers hun eherkenningsmiddel bij een andere aanbieder betrekken 15
eherkenning: beveiliging en vertrouwen De veiligheid en privacy van gegevens in het KPN eherkenning machtigingenregister is geborgd op meerdere niveau s: 1.eHerkenning stelselafspraken Alle deelnemers aan eherkenning voldoen aan de stelselafspraken eherkenning, waarin veiligheid een prominente rol inneemt (ISO27001) 2.KPN Securitybeleid KPN producten en diensten voldoen aan het stringente informatiebeveiligingsbeleid van KPN (additonele beveiligingsmaatregelen) 3.Machtigingenportaal en eherkenning machtigingenregister Gegevens die via Machtigingenportaal zijn opgeslagen in het eherkenning machtigingenregister, zijn uitsluitend toegankelijk voor geautoriseerde gebruikers 16
KPN security beleid omtrent veiligheid in processen en systemen Alle producten en diensten binnen KPN moeten voldoen aan eisen in KPN Common Security Policy Framework KPN is gecertificeerd tegen ISO 27001/27002 Webservices worden gemonitored door KPN Portal authority mbv pentests, codereviews, vulnerability scans, etc. Binnen KPN Trusted Services is aanvullend de Trusted Employee Policy van toepassing voor (periodieke) screening van personeel door MIVD/AIVD KPN systemen worden aangesloten op het nieuwe KPN Security Operating Center (opgericht ism TNO en Fox-IT) Security architectuur is gebaseerd op Defense In depth aanpak KPN kent CIO, CIO Office, CISO, KPN Audits dienst, security officers, privacy officers en een Security helpdesk KPN Service Line IT past Integrated Control Famework toe omtrent processen en network segementering, voorzien van een TPM 17
Eherkenning Roadmap en KPN Innovaties eherkenning Stelsel v 1.5 1.8 (generiek voor alle marktpartijen) Attribuutverstrekking Ketenmachtigingen Elektronische Handtekening Operationele optimalisatie KPN specifieke ontwikkelingen eherkenning 2013+ eid Stelsel integratie in eherkenning Multi-Middelen (ook middelen externe domeinen) PISA (Personal Information Security Agent) KPN Trusttester (Attribuutverificatie Diensten) KPN Personal Trust Agent & Personal Trust Center (Human centric Security) KPN Wireless mobile PKI (Identity, Security, Crypto esignature) 18
Tips: eherkenning: Stelsel is 3 jaar operationeel en robuust, overweeg EH Stelsel voor portaaltoepassingen en gebruikersauthenticatie Voldoende aanbod in de markt van EH dienstverleners Aansluiten is eenvoudig en snel te realiseren EH biedt toekomst-vaste en solide basis voor elektronische processen Algemeen: Information Security vs effectiviteit Borg security op hoogst mogelijk niveau om bewustwording te stimuleren Spreek dezelfde taal: SABSA als architectuur methode; business attribuut taxonomie Cybersecurity effectiviteit UK : criteria en methode PAS-555 19
Bedankt voor uw aandacht Haydar Cimen Director Security Services Strategy & Innovation haydar.cimen@kpn.com +31629526531 20
Backupslides 21
Roadmap eherkenning @ KPN 2013/2014 SSO 1.7 Keten machtigingen 1.7 AS1.9 Attr 1.7? AS1.8 AS1.8 AS1.7 AS1.7 AS1.5 RP RP User Interface 25/4/13 1/10/13 1/2/14 22
Project Implementation 1.7 Deadlines Transfer to Operations Managed HM Development & Simulator Testing & Deploy to ACC 17d HM Chain Testing 19d HM Deploy to PRD 14d Go Live 5d 16/9/13 14/10/13 1/11/13 12/11/13 19/8/13 AD/MR (+RP) Development & Simulator Testing & Deploy to ACC 24d 18/10/13 AD/MR Chain Testing 24d 18/11/13 HM Deploy to PRD 14d 6/12/13 Go Live 8d 16/12/13 23
Security bekeken langs 3 assen eherkenning Stelsel Intrinsieke veiligheid vanuit het eherkenning Stelsel KPN Security Hoe gaat KPN om met informatiebeveiliging en welke maatregelen User Portaal User interface voor middelen/ machtigingen eind-gebruikers 24
KPN Security - Generiek KPN Trusted Services is het onderdeel binnen KPN dat de eherkenning dienstverlening levert. Trusted Services richt zich primair op security dienstverlening >200 security professional. Kwaliteit management systeem Interne / Externe audits Information Security Organisation Generieke voorzieningen / KPN Security Policy framework: Layered security architectuur Server Hardening Diverse zaken vanuit stelsel zoals: Periodieke screening van beheerders Sterke authenticatie voor beheerders 25
KPN Security Specifiek Omdat KPN zich bewust is van een goed functionerend eherkenning stelsel gaan we nog een stapje verder. Vertegenwoordiging op Strategisch, Tactisch en Operationeel niveau in het eherkenning stelsel Bescherming tegen calamiteiten via Dual-Datacenter concept 7x24 Security Operations Center proactieve monitoring Periodieke Penetratie Tests Continue Vulnerability testing Externe code reviews 26
Herkennings Makelaar implementatieproces Doorlooptijd: een tot twee weken Vergt goede voorbereiding en paraatheid mensen en middelen Effectieve en snelle implementatie door eenduidig afsprakenstelsel Acties: Afstemmen datamodel (afhankelijk van koppelvlak) Firewall instellingen (afhankelijk van koppelvlak) Sleutelgeneratie/aanvragen vereiste certificaten Delen/importeren vereiste certificaten Intake formulier Middelen uitgifte Live! 27
KPN eherkenning Koppelvlak Overheidsdienstverlener en HM Standaard: Conform Afsprakenstelsel eherkenning Implementatie nieuwe techniek Ondersteunde koppelingen: Koppelvlakspecificatie DV-HM Alternatief: KPN Adapter voor eherkenning Hergebruik bestaande techniek Ondersteunde koppelingen: Proxy Mode Microsoft ADFS A-Select API/Filter DigiD, DigiD voor Bedrijven API SAML 2.0 28
eherkenning Services Servicedesk 2e lijns servicedesk aansluitend op iedere 1e lijns servicedesk Per e-mail en telefonisch bereikbaar Ingericht volgens ITIL + Security Management 7x24 voor major incidenten 5x8 voor medium/minor incidenten Standaard reactietijden per type incident (major, medium, minor) Uitvraagscript t.b.v. optimalisatie communicatie incidenten en/of verzoeken Autorisatielijst t.b.v. optimalisatie beveiliging incidenten en/of verzoeken Maandelijkse rapportage incidenten en/of verzoeken Aansluiten van nieuwe diensten Geen onderscheid eerste dienst / nieuwe dienst Zelfde processen, procedures, tarieven Iedere dienst dient apart te worden geïdentificeerd, geclassificeerd en geregistreerd in de dienstencatalogus 29
Machtigingenportaal en machtigingenregister In aanvulling op de eherkenning stelselafspraken en het KPN security beleid geldt specifiek voor het Machtigingenportaal en eherkenning machtigingenregister: De wettelijk vertegenwoordiger stelt een machtigingbeheerder aan Een machtigingbeheerder kan uitsluitend de machtigingen beheren van de organisatie waarvoor hij geautoriseerd is Inloggen op het Machtingenportaal vereist een eherkenning middel 30
Waarom KPN als eherkenning partner? Kennis en knowhow gecombineerd: Identity, Security, Continuity Duurzame partner: 20+ jaar IDentity Service Provider Betrouwbare Identity Services (ca. 2M+ identities) Veilige en schaalbare eherkenning Infrastructuur en security management 50+ implementatie consultants ogv Identity Management Actieve participatie in PKIOverheid, eherkenning en eid Open standaarden Competitief en Innovatief Sterk partner eco-systeem 31