Gemeentelijke Informatiebeveiliging & Privacybescherming: Een complexe uitdaging Ronald Paans Stef Schinagl Edward van Egmond Noordbeek & vrije Universiteit amsterdam File: PaansR Gemeente BIG IB&P Risk workshop 2015, Version: 0.100 11 juni 2015 ronald.paans@noordbeek.com www.noordbeek.com Phone +31 71 3416911
Programma INFORMATIEF EN INTERACTIEF 1. De uitdagingen voor de Gemeente Wat vinden B&W belangrijk? Budget voor IB&P? 2. Wet bescherming persoonsgegevens (Wbp) 3. Privacy Impact Assessment (Toetsmodel PIA Rijksdienst) 4. Meldplicht datalekken 5. Risico-appreciatie vanuit het oogpunt van het College van B&W Tonen wij een herkenbare plaat voor risico-erkenning en zal deze plaat bijdragen aan draagvlak? Centraal staan Informatiebeveiliging & Privacybescherming (IB&P) Baseline Informatiebeveiliging Gemeente (BIG) 2
De Gemeentelijke Context 3
Maatschappelijke Context OPGAVE VOOR GEMEENTEN Decentralisaties: de gemeente is het beste in staat om de burger integraal te bedienen als de meest nabije overheidslaag Integraal is niet vanuit afzonderlijke kolommen, domeinen of sectoren, maar met samenhang tussen verschillende vraagstukken en levensdomeinen als vertrekpunt voor de dienstverlening. Regeerakkoord kabinet Rutte II Eén gezin, één plan, één regisseur Decentralisaties in het sociale domein» Wet werken naar vermogen (WWnV), toeleiding naar werk» Algemene wet bijzondere ziektekosten (AWBZ)» Wet maatschappelijke ondersteuning (Wmo 2015)» Jeugdhulpverlening Dit vergt één budget en één verantwoordelijke van overheidszijde Einde aan vele langs elkaar heen werkende hulpverleners bij de ondersteuning van één gezin Maar hoe vult de gemeente dit in, met compliance aan wet- en regelgeving? 4
Archetypen 1 t/m 5 voor Gemeentelijke Informatievoorziening (Model VNG en KING) 1. Transitieproof (zoals het was) Bijstand Participatie wet Wmo 2015 Sociale Dienst Minima Jeugdzorg 2. Totaal Integraal (één loket) Participatiewet Wmo 2015 Schuldhulpverlening Minimabeleid Jeugdzorg 3. Geclusterd Integraal Bijstand Participatiewet Sociale Dienst Minima Wmo 2015 Jeugdzorg 4. Integraal in 2 de Instantie: Eerst 1 en dan groeien naar 2 5. Geclusterde Integraliteit Elders: Archetype 2 met daarachter andere instanties IB&P zorgen, zoals Concentratie gegevens, ontsluiting, eigendom van gegevens Privacy issues, derden etc. 5
Juridische Context Wetten en regelingen die van toepassing zijn (niet limitatief) Wet Bescherming Persoonsgegevens en Vrijstellingsbesluit Wet Bescherming Persoonsgegevens (Wbp) Wet Openbaarheid van Bestuur (WOB) Wet Computercriminaliteit II Comptabiliteitswet Archiefwet Wet Particuliere Beveiligingsorganisaties en Recherchebureaus (WBPR) Wet Veiligheidsonderzoeken (WVO) Wet Politiegegevens (Wpg) Ambtenarenwet Voorschrift Informatiebeveiliging Rijksdienst Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIRBI 2012) Beveiligingsvoorschrift 2005 (BVR) CAR-UWO PUN Algemene Rijksvoorwaarden bij ITovereenkomsten (ARBIT 2010) Kader Rijkstoegangsbeleid Uitgangspunten online communicatie rijksambtenaren Programma van Eisen PKI Overheid Code voor Informatiebeveiliging (ISO 27001:2005 en ISO 27002:2007) Telecommunication Infrastructure Standard for Data Centers (TIA-942) Wet SUWI Wet op de identificatieplicht Wet Elektronisch Bestuurlijk Verkeer (WEBV) Wet GBA en wet BRP Wet Werk en Bijstand Registratiewet Algemene wet bestuursrecht Richtlijnen van het NCSC Meldplicht Datalekken Bron: BIG Tactische Baseline 6
Digitaal 2017 Generieke Digitale Infrastructuur van de overheid (GDI) Regeerakkoord: Burgers en ondernemers doen uiterlijk in 2017 digitaal zaken met overheidsinstanties (Digitaal 2017) Wetsvoorstellen in voorbereiding Plateau 1: Algemene informatie staat online die nodig is om zaken digitaal af te handelen Plateau 2: Uitbreiden van het interactief digitaal zaken doen, voorzieningen zoals DigiD / eherkenning (later eid) en berichtenboxen Plateau 3: Digitaal 2017 (eind 2017). Burgers en bedrijven kunnen eenvoudig digitaal hun zaken regelen met de overheid. Minimaal is het digitaal aanvragen mogelijk. Vooringevulde formulieren voor de meest gebruikte producten Gewenste situatie per 2020: Burgers en bedrijven voeren de regie over hun zaken met de digitale overheid Bron: http://www.digitaleoverheid.nl/digitaal-2017/digitalisering-aanbod/wetgeving, juni 2015 7
Digitaal 2017 Bestaande wetgeving voor papieren aanvragen en beschikkingen wordt aangepast aan digitalisering Algemene wet bestuursrecht: Burgers en bedrijven krijgen het recht op elektronisch zakendoen Bekendmakingswet: Burgers en bedrijven moeten alle relevante overheidsinformatie digitaal kunnen raadplegen Wet Generieke Digitale Infrastructuur (WGDI) Eerste tranche regulering voor Overheid.nl, MijnOverheid.nl, Berichtenbox voor burgers, Ondernemersplein, Berichtenbox voor bedrijven en DigiD De verplichting tot aansluiten en gebruik wordt gefaseerd ingevoerd Tweede tranche waarschijnlijk regulering voor publieke eid middelen zoals enik, erijbewijs en evreemdelingenpas enik = elektronische Nederlandse Identiteitskaart 8
IB&P Context De IB&P onderwerpen, die op dit moment worden onderkend, zijn Inrichten Informatiebeveiliging Privacy Impact Assessment (PIA) Risicoanalyse (inclusief GAPanalyse) Dataclassificatie Beheer ICT-componenten Awareness informatiebeveiliging Meldplicht Datalekken en meldplicht Inbreuken op elektronische informatiesystemen Responsible Disclosure Authenticatie en Autorisatie (inclusief wachtwoorden, DigiD, eid) Inkopen / aanbesteden Secure Software Development Persoonsgegevens Medische gegevens Strafrechtelijke gegevens Testen met persoonsgegevens Delen gegevens met derden Tijdig verwijderen en vernietigen Mobiele apparaten waaronder Bring Your Own Device (BYOD) Communicatie & Opslag Telewerken Cloud Computing Big Data Bron: KING Handreiking Informatiebeveiliging 3D 9
IB&P ZORGEN (VNG en KING) Ieder cluster vergaart informatie per burger / huishouden, waardoor er meer privacygevoelige informatie op één (digitale) locatie komt Toegangsrechten binnen systemen en tot informatie: Wie (functie-type) mag waarom welke informatie zien? Auditlogging: Hoe controleren wij achteraf wie wat heeft ingezien, wanneer en voor welke taak? Welke informatieverwerking vindt plaats buiten de eigen organisatie? Hoe wisselen wij veilig informatie uit met derden? Welke informatie wordt opgeslagen bij derden? Hoe verwijdert en vernietigt men gecontroleerd na de vastgestelde tijd? Hoe wisselen diverse partijen verantwoordings-, stuur- en beleidsinformatie uit? Welke informatie anonimiseren? Zijn bestaande systemen hierop ingericht? Etc. 10
Oplossingen, voorbeelden Procedurele oplossingen De Nationale Politie kende 10 jaar geleden een soortgelijke problematiek Dit is opgelost met speciale wetgeving, de Wet politiegegevens (Wpg) Veel aandacht voor classificatie en isolatie: Art 8 info = blauw, Art 9 info = recherche, Art 10 info = CIE+RID, Art 12 info = informant Verplicht autorisatiebeheer met autorisatieloketten etc. Technische oplossingen UWV heeft Sluitend Autorisatiebeheer ingericht, met strikte procedures en interne controle Gebaseerd op een centrale oplossing met een Autorisatie Beheer Systeem en geautomatiseerde Autorisatie Verschillen Analyse Randvoorwaarden bij Gemeenten Veel diverse legacy systemen, ombouwen of vernieuwen is kostbaar Ga er vanuit dat de huidige systemen nog een tijd moeten meegaan 11
Stelling: Gemeentelijk budget voor IB&P STELLING Het College van B&W geeft op basis van bovenstaande uitdagingen spontaan voldoende budget voor het inrichten van IB&P, conform de Architectuur voor Informatie Voorziening Sociaal Domein van VNG en KING (Archetypen 1 t/m 5) PRO B&W vinden IB&P heel belangrijk en volgen spontaan VNG en KING CONTRA De Gemeente zet haar prioriteit bij het inrichten van de lokale processen om de Participatiewet, WWnV, Wmo, jeugdhulpzorg etc. uit te kunnen voeren De Gemeente is niet van plan de architectuur van de applicaties te wijzigen conform de Archetypen AFWEGING Waarom wel of niet? 12
Privacybescherming 13
Wet bescherming persoonsgegevens (Wbp) Persoonsgegevens De Wet bescherming persoonsgegevens (Wbp) is van toepassing op gegevens betreffende geïdentificeerde of identificeerbare natuurlijke personen Er wordt speciale aandacht gegeven aan bijzondere persoonsgegevens, waarvoor verzwaarde regimes gelden Zorgen van de wetgever Datamining in privacygevoelige informatie Profiling: conclusies trekken over personen op basis van algoritmen en computerberekeningen Informatie komt in verkeerde handen of belandt op straat etc. Regel: Waardevoller, minder personen met toegang INFORMATIE Klasse 3: Vertrouwelijk Klasse 2: Privacy Klasse 1: Intern Klasse 0: Openbaar Medische dossiers, keuringen, strafrechtelijke informatie Persoonsgegevens en gevoelige informatie Niet bedoeld voor verspreiding Bedoeld voor het publieke domein 14
Wet bescherming persoonsgegevens (Wbp) Wbp Art 16. Bijzondere persoonsgegevens De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijk verleden en onrechtmatig of hinderlijk gedrag is verboden Behoudens voor zover de Gemeente zich bij de uitoefening van haar taken kan beroepen op een algemene of specifieke ontheffing op het verbod Wbp Art. 9.4. Vertrouwelijke gegevens Wettekst: De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat De verwerking van gegevens welke plaatsvinden onder bijzondere geheimhoudingsplichten, zoals het medisch beroepsgeheim of bij het gebruik van bijzondere opsporingsmiddelen, legt aan de Gemeente extra eisen op ten aanzien van de beveiliging Bijvoorbeeld op het gebied van isolatie en strikt autorisatiebeheer 15
Proportionaliteit en Subsidiariteit Bij het identificeren van de te verwerken persoonsgegevens dient rekening te worden gehouden met Proportionaliteit De inbreuk op privacy moet in balans moet zijn met het te behalen doel De vraag: is verwerking van deze persoonsgegevens nodig voor alle aspecten van het beleidsvoorstel? De oplossingen mogen niet verder gaan dan wat absoluut nodig is om het gewenste resultaat te bereiken Subsidiariteit Men zoekt de voor de betrokkene minst belastende weg om het te behalen doel te bereiken De vragen: is het alleen door middel van verwerking van deze persoonsgegevens mogelijk het gewenste beleidsmatige resultaat te bereiken? Zijn er alternatieven die niet of minder ingrijpend zijn voor de privacy? Indien alternatieven voor de verwerking van persoonsgegevens met hetzelfde beleidsmatige resultaat voorhanden zijn, moet daarvoor worden gekozen 16
Privacy Impact Analyse (Toetsmodel PIA Rijksdienst) De PIA wordt uitgevoerd bij de beoordeling van de effecten van nieuwe wet- en regelgeving en bij majeure wijzigingen op bestaande informatiesystemen, gegevensverzamelingen en de infrastructuur De PIA kent de volgende stappen 1. Stel de scope vast voor de analyse. De scope omvat a. De informatiesystemen, namelijk de functionaliteit b. De (deel)verzamelingen van de gegevens c. De relevante rollen binnen de informatiesystemen, namelijk hoe wordt de functionaliteit gebruikt d. De eigenaren 2. Definieer de basisinformatie, namelijk het type persoonsgegevens, het type verwerking, de noodzaak en de mogelijkheid tot gegevensminimalisering 3. Stel de doelbinding, koppeling aan andere systemen en gegevens, kwaliteit en profiling vast 4. Identificeer de betrokken instanties, informatiesystemen en verantwoordelijkheden 5. Beschrijft de vereisten voor beveiliging, bewaring en vernietiging 6. Beschrijf de processen voor transparantie en rechten van betrokkenen 17
Voorbeeld: Architectuur plattegrond voor een PIA SCOPE Melders en Aanvragers Ondersteuning en planning controles Webformulieren 1. Klachten 2. Meldingen 3. Verzoeken Invullen of aanvullen Database Opslag en gebruik Controleurs Call Center medewerkers Digitale formulieren? In kaart brengen Scope en decompositie Type en gevoeligheid van informatie Informatiestromen Gebruik van informatie Verspreiding naar andere partijen etc. Functioneel en Technisch Beheer Externe Partners 18
Wbp wordt AVG ROLLEN BIJ Wbp Functionaris voor de Gegevensbescherming (FG) is optioneel FG heeft directe lijn met een bestuurder FG mag contact opnemen met de Autoriteit Persoonsgegevens - AP (voorheen College Bescherming Persoonsgegevens CBP) Verandering door komende Europese ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Privacy Officer (PO) of FG wordt verplicht Gesprekken met de bestuurder moeten worden genotuleerd Notulen moeten worden geaudit Boetes mogelijk tot 100 miljoen of 5% van de omzet AFHANDELEN INCIDENTEN MET PRIVACY Formeel proces nodig Nieuwe aanpassing Wbp: Meldplicht Datalekken 19
Samenvatting wijzigingen door AVG Behalve de hoge boetes brengt de Europese AVG de volgende veranderingen Een intern privacybeleid is verplicht Een PO of FG is verplicht Privacy moet worden geïntegreerd als vast onderwerp binnen de bedrijfsvoering De werking van de maatregelen voor privacybescherming moet jaarlijks worden gecontroleerd De toepassing van Privacy Impact Assessments (PIA) wordt verplicht bij veranderingen in diensten en producten, processen en systemen Bij veranderingen moet worden voldaan aan de principes van Privacy by Design en Privacy by Default Gezien de implicaties van de verordening is een goede voorbereiding nodig PIA s helpen om de consequenties en risico s gestructureerd in beeld te brengen en vormen een goede start voor de voorbereiding 20
Meldplicht Datalekken 21
Meldplicht datalekken Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP Aangenomen door de Tweede Kamer op 10 februari 2015 Aangenomen door de Eerste Kamer op 26 mei 2015 (nog niet van kracht) Het voorstel betreft een wijziging van de Wbp en andere wetten in verband met de invoering van Een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens Uitbreiding van de bevoegdheid van het CBP om bij overtreding een bestuurlijke boete op te leggen» 20.250 voor doorgifte aan niet-eu land» 810.000 voor andere overtredingen, inclusief Meldplicht De onderstaande tabel is vooralsnog gebaseerd op het wetsvoorstel 22
Nr. Doel Normenkader voor de Meldplicht Norm Meldplicht datalekken De meldplicht betreft inbreuken op beveiligingsmaatregelen voor persoonsgegevens. De regering wil de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Wettelijke basis. Wbp, wijzigingen op de Artikelen 14, 34a, 51a en 66. MD.1. Informeren CBP De Gemeente stelt het CBP onverwijld in kennis van een inbreuk op de beveiliging, die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. MD.2. Informeren betrokkene De Gemeente stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 23
Nr. Normenkader voor de Meldplicht Norm MD.3. Informeren over de aard van de inbreuk De kennisgeving aan het CBP en de betrokkene omvat de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de maatregelen om de negatieve gevolgen van de inbreuk te beperken. MD.4. Informeren over de gevolgen De kennisgeving aan het CBP omvat een beschrijving van geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de Gemeente heeft getroffen om deze gevolgen te verhelpen. MD.5. Zorgvuldige informatievoorziening De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd over de geconstateerde en de feitelijke gevolgen voor de verwerking van persoonsgegevens en de betrokkenen. MD.6. Registratie De Gemeente houdt een overzicht bij van iedere ernstige inbreuk, de feiten omtrent de aard van de inbreuk, en de tekst van de kennisgeving aan de betrokkene. 24
DISCUSSIE De Telegraaf, maandag 8 juni 2015, 17:57 Mijnpgb toont privégegevens AMSTERDAM - Pgb-houders kunnen soms persoonlijke gegevens inzien van zorgverleners die voor anderen werken. De Sociale Verzekeringsbank (SVB) heeft dossiers per ongeluk verkeerd gekoppeld, heeft de instantie bevestigd aan de NOS. De getoonde gegevens zijn adresgegevens, BSN-nummer, bankrekening, uurtarieven, betalingen en het type verleende zorg. Soms zijn ook zorgovereenkomsten in te zien. Het lek is de zoveelste smet op de toch al niet vlekkeloze reputatie van het persoonsgebonden budget. VRAAG Zou deze casus onder de Meldplicht Datalekken vallen? Zo ja, welke acties dient de organisatie uit te voeren? 25
Hoe om te gaan met de Wbp en Meldplicht, plus voorsorteren op de AVG? PREVENTIEVE ACTIES Organisatorische aspecten in kaart brengen, zoals PO en FG Uitvoeren PIA s voor de bestaande verwerkingen van persoonsgegevens Inrichten van een PIA-proces voor toekomstige veranderingen Zorgen voor een goede IB&P, conform de BIG Nulmeting via de Business IB&P Requirements Analyse (BIRA), gericht op informatiesystemen en gegevensverzamelingen Inrichten van een BIRA-proces voor toekomstige veranderingen Zorgen voor veilige websites Zorgen voor goed leveranciersmanagement, met Beveiliging Overeenkomst en Secure Software Development (SSD) REACTIEVE MAATREGELEN In feite, dat is wachten op de klap. Waar en wanneer die komt valt niet te voorspellen, hopelijk nooit Daarna snelle reactie conform de bovenstaande regels (de normen) En aantoonbaar maken dat de preventieve acties zijn uitgevoerd 26
Aandacht van Bestuurders voor IB&P 27
Waarde van Informatie Digitale informatie wordt binnen en buiten de overheid steeds waardevoller Dit zijn de Te Beschermen Belangen, oftewel Value at Risk De dreigingen nemen snel toe, zowel in omvang als in ernst Er zijn budgetten Informatiebeveiliging en Privacybescherming (IB&P), maar deze budgetten zijn eindig Veelal richt men alleen de brede minimale beveiliging in (conform BIG) Maar in feite moet men weten wat de Te Beschermen Belangen zijn en vaststellen waar de echte waarde zich bevindt Aan de hand van de echte waarde kunnen de juiste prioriteiten worden gezet bij het selecteren van de benodigde maatregelen Het motto van deze aanpak is Men kan geld voor IB&P-maatregelen maar één keer uitgeven. Daarom is het van belang dat geld te spenderen aan de meest effectieve maatregelen, namelijk de maatregelen die de echte waarde (TBB) echt beveiligen 28
Risicomanagement PROBLEEM De BIG stelt: werk vanuit een risicobenadering Maar geeft geen methode voor risicoanalyse Er zijn vele methoden, die op zich goed zijn, maar bottom-up werken en niet tot het gewenste effect leiden Wij presenteren een top-down benadering, plus een visueel middel om structuur aan te brengen 29
RISICOANALYSEMETHODE GESCHIEDENIS Er is een moderne classificatiemethode nodig om inzicht geven in de werkelijke waarde. Vervolgens wordt het risico bepaald Jaren 60, 70 en 80 Toonaangevende ontwikkelingen op wetenschappelijk gebied» De Bell-LaPadula, Biba en Clark-Wilson modellen» Vooral militair gericht, en gebaseerd op de toenmalige informatie Jaren 90 tot op heden Er is vooral voortgebouwd op de goede ideeën uit de jaren 70 en 80» ISO 27001 = BIG (best practice vanuit 80 )» US NIST SP 800-30 en 800-37, en FIPS 199 en 200 (vooral gebaseerd op 80 ) Echter weinig principiële verbeteringen Jaren 2000 en verder De methodes geven nu onvoldoende inzicht in de risico s voor de moderne informatiewereld De informatie van nu is niet meer de informatie van toen Doel: Ontwikkel een moderne en herhaalbare methode, voortbouwend op het goede werk uit het verleden 30
Het model voor IT Audit van prof.drs. H.C. Kocks RA Requirements Systeemontwikkeling (SO) Specificeren, bouwen en testen van informatiesystemen OTAP-straat Gebruikersorganisatie (GO) Administratieve Organisatie en Interne Controle (AO/IC) Service Level Agreements Informatiesystemen Dienstverlening Verwerking- en Transportorganisatie (VTO) Productie-omgeving, datacenter Datacommunicatie 31
IT Services and their context User population (GO) Development Process (SO) Supplier Management Service Development & Maintenance Arch Reqs D-T-A-P Users and their processes FD TD Build Test Accep VALUE at RISK Web Applications Human Info Financial Info Things Info Functionality Applications INFORMATION Users and their processes Systems, sensors, machines etc. Our society Internet of Things Network Operating Centre Functional & Technical Support AV Infrastructure (VTO) Office Automation & Mobile Data DMZ Network (WAN and LAN s) IDS & IPS Application Middleware Access Control Operating System Hardware Data centres Internet Outer World Storage Storage Connections Partners 32
Drie Informatiestromen Waarom onderscheid tussen drie stromen van informatie? Voor iedere stroom zijn speciale maatregelen, geredeneerd vanuit het werkproces (Groepen van maatregelen zijn gereedschapskisten : Men laat geen loodgieter met een waterpomptang komen als de video-intercom defect is) HUMAN INFORMATION Gegenereerd door mensen en bedoeld om te worden begrepen door mensen Alles uit GBA, BAG, B dienst dossiers etc., bedoeld om de burger te helpen Maatregelen: Autorisatiebeheer, isolatie, versleutelen etc. FINANCIAL INFORMATION Financiële transacties, die men kan controleren met rekenformules Maatregelen: Functiescheiding, dubbele accordering, AO/IC, boekhoudregels etc. THINGS INFORMATION Verkeerslichten, elektronische publicatieborden, bruggen, sluizen, openbaar vervoer, nutsvoorzieningen, infrastructuur etc. Maatregelen: Real-time beschermen tegen hackers en digitale dreigingen etc. 33
NCSC: Actoren en dreigingen Actors (NCSC) Dreigingen Incidenten OWASP Fraude User population Development Process Supplier Management Service Development & Maintenance Arch Reqs D-T-A-P Users and their processes FD TD Build Test Accep VALUE at RISK Web Applications Human Info Financial Info Things Info Functionality Applications INFORMATION Users and their processes Systems, sensors, machines etc. Internet of Things Our society Dreigingen DDoS Buitenwereld Wantrouwen Misbruik Wijzigingen Fouten Storingen Network Operating Centre Functional & Technical Support AV Infrastructure Office Automation & Mobile Data DMZ Network (WAN and LAN s) IDS & IPS Application Middleware Access Control Operating System Hardware Data centres Internet Outer World Storage Storage Connections Partners Lekkage Etc. Slordigheid Wraak Actors (NCSC) 34
IB&P maatregelen STANDAARDEN Vele standaarden voor IB&P Deze bevatten vrijwel dezelfde maatregelen HET PROBLEEM Welke IB&P maatregel is in welke situatie van belang? Hoe herkent en erkent senior management dit belang? OPLOSSING Redeneer vanuit de risico s die herkenbaar zijn voor bestuurders De Kubus is alleen een denkmodel voor het aanbrengen van structuur, van boven naar beneden Wij lichten nu eerst de denkwerelden toe 35
Analyse Fotofinish 36
Verdraaide Organisaties en de Mythe van Beheersbaarheid De Systeemwereld De Leefwereld De Bedoeling Bron: Wouter Hart 37
De Gewenste Denkrichting De Systeemwereld De Leefwereld De Bedoeling Strategische risico s Tactische en operationele risico s Denkrichting BIG Waarom werkt dit zo niet? 38
1 De klassieke IT-Audit De Systeemwereld De Leefwereld De Bedoeling Begrijpbare taal voor elkaar Standaard werk voor de IT-auditor Een expert spreekt met een expert Audit 39
2 Een Nieuw Werkproces De Systeemwereld De Leefwereld De Bedoeling Denkrichting The Management System The director The manager The user The customer etc. Risicoparagraaf Hoe koppel je de boodschap terug aan de bestuurder binnen de context van de bedoeling? 40
3 De Huidige situatie De Bedoeling Denkrichting De Systeemwereld De Leefwereld The Management System The director The manager The user The customer etc. Dit is de klassieke fout van de beveiliger en IT-auditor De boodschap is niet in context van de Bedoeling Het landt niet bij de echte wereld Verkeerde risico s en verkeerde assen (vanuit Systeemwereld) 41
4 De Gewenste Audit in 2020 De Systeemwereld De Leefwereld Randvoorwaardelijk De Bedoeling Denkrichting The Management System The director The manager The user The customer etc. Dit is gewenst, maar dit lukt niet De groene mensen kunnen niet op papier zetten welke nonfunc zij nodig hebben De beveiliger kan dit niet zelf bedenken (begrijpt de bedoeling niet) Hiervoor is een middel nodig 42
5 Redeneren vanuit de Bedoeling De Systeemwereld De Leefwereld Randvoorwaardelijk Faciliterend De Bedoeling Denkrichting Dit is gewenst De lijnen moeten kloppen! Vanuit het denkpatroon van de bestuurder bepaalt men de risico s en de aanpak voor de maatregelen Voorstel VNG en KING: Chief Information Security Officer (CISO) 43
Stelling: Gemeentelijke Bedoeling STELLING Het College van B&W redeneert vanuit de Bedoeling van de Gemeente, namelijk Openbare Orde en Veiligheid, en het zorgen voor de burgers, zoals gezondheid en sociale zekerheid. PRO B&W willen rust en welzijn binnen de Gemeente MOGELIJKE RISICO S VANUIT DE BEDOELING Fraude en gesjoemel Schending van wet- en regelgeving, zoals de privacy VERTALEN NAAR IB&P MAATREGELEN Gegevensclassificatie, AO/IC, functiescheiding, autorisatiebeheer, veilige webportal, leveranciersmanagement etc. VRAAG Is dit een logische analyse vanuit de Bedoeling? 44
Risicoanalyse voor de BIG 45
De BIRA Business IB&P Impact Analyse (BIRA) Ontwikkeld bij het UWV De BIR / BIG vereist Scoping en decompositie Identificatie van de kroonjuwelen Vaststellen van de classificatie voor CIA Top-down definiëren of controleren van de IB&P maatregelen Vaststellen van het netto risico (namelijk nà het treffen van de IB&P maatregelen) Eventueel extra maatregelen voorstellen N.B. Bottom-up werken leidt niet tot begrip bij de bestuurders 46
Te Beschermen Belang De Leefwereld De Bedoeling 2. Classificatie van informatie en functionaliteit 1. Scope en decompositie (Te Beschermen Belang, Bruto risico) De Systeemwereld Output: Classificatie 47
De 27 gereedschapskisten met IB&P maatregelen A AU D A AU D Toolbox Human, Conf en Dispose : IB&P maatregelen (bijv. ISO 27001, BIG) voor afdanken media en vernietigen van informatie, conform de classificatie Toolbox Financial, Integrity en Acquire : IB&P maatregelen voor het verifiëren van de bron en authenticiteit van een transactie, conform de classificatie A AU D Dispose Access & Use (incl. Disseminate) Acquire 48
Risicoanalyse Kwetsbaarheden Dreigingen 3de dimensie. Analyse van dreigingen, onder de conditie van de maatregelen (voor 27 cellen) A AU D A A AU AU D D Netto risico voor informatie Dispose Access & Use (incl. Disseminate) Acquire 49
The Information Assurance Cube 2. Classificatie van informatie en functionaliteit 1. Scope en decompositie Te Beschermen Belang = Bruto risico 3. Toolkits: 27 dozen met IB&P maatregelen, gebaseerd op het type informatie en CIA Netto risico 50
Vertrouwelijkheid CLASSIFICATIE VOOR VERTROUWELIJKHEID Alle informatie in de dossiers en systemen moet zijn geclassificeerd Klasse 0: Publieke informatie Klasse 1: Interne informatie Klasse 2 Privacy gevoelig, men wil niet dat dit ongeautoriseerd wordt onthuld Wbp Art. 16: Ras, religie, geaardheid etc. Financiële transacties aan burgers ( hoeft de buurvrouw niet te weten ) Klasse 3: Wbp Art. 9.4: Medische informatie, bijv. van keuringsarts Strafrechtelijke informatie Bulkinformatie voor profiling Regel: Naarmate informatie waardevoller is, hebben minder personen toegang (isolatie, autorisatiebeheer, versleutelen) 51
Borgen van Vertrouwelijkheid Hoogwaardige en accurate informatie in een veilige omgeving Regels Niet naar boven lezen Niet naar beneden schrijven Isolatie tussen niveaus Combineer en valideer informatie, verrijken, verhogen van de waarde Veel laagwaardige informatie, soms niet accuraat, in een onveilige omgeving Dept of Defence Geen declassificatie van hoogwaardige informatie Verstrek alleen beperkte informatie die echt nodig is, zoals commando s (met gezond verstand) Bell LaPadula model: Verrijken van militaire informatie (Dit is de basis voor dataclassificatie volgens ISO 27001, BIG, VIR-BI etc.) 52
Het Bell LaPadula Model en privacy wetgeving A AU D Voorbeelden in de Wet politiegegevens (Wpg) A AU D A A AU AU D D Acquire, bijv.: Bronvermelding Valideren informatie of vernietigen Access and use, bijv.: 5 niveaus van vertrouwelijkheid Strikte regels voor eigenaarschap, toegang, isolatie, verspreiding etc. per niveau Disposal, bijv.: Na 5 jaar, de informatie wordt vergrendeld 5 jaar later, de informatie wordt op een gecontroleerde wijze vernietigd 53
Voorbeeld van een toolkit H, C, D A AU D Disposal, bijv.: Na 5 jaar, de informatie wordt vergrendeld 5 jaar later, de informatie wordt op een gecontroleerde wijze vernietigd D BIG maatregelen, bijv.: 9.2.6 Veilig verwijderen van apparatuur 10.7 Behandeling van media (Geen maatregel voor tijdige vernietiging, die eis moet komen uit het werkproces) 54
Financiële integriteit De Gemeente heeft inkomsten en uitgaven Hoe voorkomt men fraude met transacties? SCHEIDING VAN HANDELINGEN De medewerker die een dossier of claim afhandelt, mag niet betrokken zijn bij de financiële transactie De medewerker die transacties klaarzet, mag niet betrokken zijn bij het accorderen De medewerker die accordeert, mag niet betrokken zijn bij het controleren of alle transacties goed en conform de regels zijn verlopen Etc. AUTORISATIEBEHEER Een medewerker mag alleen toegang hebben tot de functionaliteit en informatie die nodig is voor het uitvoeren van de functie Een leidinggevende accordeert de autorisaties en controleert die Een medewerker mag niet de eigen autorisaties kunnen veranderen 55
De originele tekening van het Clark-Wilson Integrity model (1987) Samenvatting van System Integrity Rules USERS E3: Authenticatie van gebruiker C1: IVP valideert CDI IVP Integrity Verification Procedure C5: TP valideert UDI Controlled Transaction CDI CDI LOG Uncontrolled Transaction UDI Systeem in bepaalde toestand TP Transaction Processor E2: Gebruiker is bevoegd voor TP C3: Scheiding van handelingen C2: TP zorgt voor veilige toestand CDI CDI LOG C4: TP schrijft log E4: Wijzigen van autorisatielijst alleen door Security Officer E1: CDIs alleen bewerken door bevoegde TP Clark-Wilson Model: Borgen integriteit van financiële transacties 56
Het Clark-Wilson Model en Financiële Transacties A AU D A AU D Clark-Wilson Integrity model A AU D C1 C5 USERS C2 E2 C3 E3 A AU D IVP CDI CDI LOG UDI TP CDI CDI LOG E4 System in some state E1 C4 57