Wachtwoordbeleid Documentcode: Versie: 1.0 Versiedatum 29-9-2016 Gemaakt door: Goedgekeurd door: V-Classificatie: Eric van Leuven College van Burgemeester en Wethouders Intern document / openbaar
Versiegegevens Datum Versie Gemaakt door Omschrijving van de aanpassing 29-9-2016 1.0 Eric van Leuven Concept basisdocument Inhoudsopgave 1. INLEIDING... 2 2. DOEL, AFBAKENING EN DOELGROEP... 2 3. DOCUMENTBEHEER, CONTROLE EN REFERENTIES... 3 4. UITGANGSPUNTEN WACHTWOORDBELEID... 3 4.1. EISEN AAN WACHTWOORD... 3 4.2. GEMEENTELIJKE INSTELLINGEN VOOR WACHTWOORDEN... 4 4.3. WACHTWOORDBEHEER... 5 4.4. GEDRAGSREGELS GEBRUIKERS... 6 4.5. AANVULLENDE EISEN... 6 4.6. CONTROLE EN RAPPORTAGE... 7 5. FORMELE VASTSTELLING... 7 1
1. Inleiding Wachtwoorden vormen een belangrijk aspect van de gemeentelijke informatiebeveiliging. Wachtwoorden zorgen ervoor dat onbevoegden minder makkelijk toegang kunnen krijgen tot gemeentelijke informatie. Een gemakkelijk wachtwoord evenals onduidelijke of niet gevolgde wachtwoord procedures zijn niet alleen een bedreiging voor de vertrouwelijkheid en integriteit van gemeentelijke informatie, maar uiteindelijk ook slecht voor het imago van de gemeente. Alle gebruikers van gemeentelijke informatiesystemen dienen goede wachtwoorden te kiezen en zijn verantwoordelijk voor de geheimhouding van hun wachtwoorden en login-gegevens. Wachtwoorden hebben als nadeel dat ze onthouden moeten worden en dat is zeker lastig als het gaat om willekeurige combinaties van letters (kleine letter en hoofdletter), cijfers en leestekens. Het wachtwoordbeleid voorziet in ruimte voor het gebruikmaken van wachtwoorden die eenvoudiger te onthouden zijn zoals het gebruik van wachtzinnen 1. Wachtwoorden die vandaag als sterk en veilig worden beschouwd, kunnen in de nabije toekomst als onveilig worden beschouwd vanwege de voortgaande technologische ontwikkelingen op dit terrein. Dit beleidsdocument voorziet hierin door periodieke toetsing op dit aspect en geeft eveneens aan hoe gebruikers van gemeentelijke informatiesystemen behoren om te gaan met wachtwoorden. 2. Doel, afbakening en doelgroep Het doel van het wachtwoordbeleid is er voor te zorgen dat op een uniforme wijze omgegaan wordt met het gebruik en beheer van wachtwoorden om te voorkomen dat onbevoegden wachtwoorden eenvoudig kunnen achterhalen, raden of verkrijgen en daardoor toegang kunnen krijgen tot de gemeentelijke informatiesystemen. Een wachtwoord is per definitie voor elk individu persoonlijk en geheim en altijd gerelateerd aan een gebruikersnaam die een fysieke gebruiker uniek identificeert. De gebruikersnaam is meestal openbaar, het wachtwoord is en blijft altijd geheim. Het wachtwoordbeleid heeft eveneens betrekking op locaties waar met behulp van een wachtwoordcode toegang verkregen kan worden zoals een computerruimte of een kluis. Het wachtwoordbeleid is van toepassing op iedereen waarvoor toegang is verleend tot het gemeentelijk netwerk, gemeentelijke informatiesystemen en op afgesloten gemeentelijke locaties waarmee met een geheime code toegang kan worden verleend. 1 Wachtzinnen zijn wachtwoorden bestaande uit een zin met een beperkt aantal willekeurige woorden die geen onderling verband hebben en de zin taalkundig geen betekenis heeft. Deze wachtzinnen hebben een lange lengte, zijn eenvoudiger te onthouden en moeilijker te raden. Dit in combinatie met hoofdletters, cijfers of leestekens of het verwijderen van de klinkers uit een wachtzin, maakt een wachtwoord sterk. 2
3. Documentbeheer, controle en referenties Het college van B&W is bestuurlijk verantwoordelijk voor het wachtwoordbeleid. Eigenaar van dit document is de gemeentesecretaris en behoort uit dien hoofde dit document periodiek te controleren en indien nodig te (laten) herzien. Het beheer van dit document ligt bij de afdeling Informatiemanagement die belast is met het actueel houden van dit document en voor archivering en distributie naar de organisatie. Minimaal om de 3 jaar behoort dit beleid te worden herzien. Implementatie en naleving van dit beleid ligt bij de leidinggevenden en systeemeigenaren. Dit document treedt in werking na formele goedkeuring van het college van B&W. Indien naleving van dit document getest wordt, behoort aandacht te worden besteed aan: Formele vaststelling van dit beleid en toetsing naleving Periodiek herijken van de waarden voor wachtwoordinstellingen (zie 4.2) Beoordelen wachtwoordinstellingen voor toegang tot gemeentelijk netwerk en (kritische) informatiesystemen Toetsen of informatiesystemen voldoen aan het wachtwoordbeleid Toetsen bewustwording van medewerkers in gebruik van wachtwoorden Referenties andere documenten: ISO27002 en tactische BIG; clausule 9.1.2, 11.2.3, 11.3.1,11.5.1, 11.5.2, 11.5.3, 11.7.1, 12.1.1 IBD handreiking wachtwoordbeleid versie 1.11 4. Uitgangspunten wachtwoordbeleid 4.1. Eisen aan wachtwoord 1. Een wachtwoord is altijd toegewezen aan een gebruikersnaam die een fysieke gebruiker uniek identificeert. 2. Groepsaccounts met 1 wachtwoord zijn niet toegestaan tenzij dit de informatiebeveiliging van de gemeente niet in gevaar brengt. 3. Er wordt gebruik gemaakt van sterke of veilige wachtwoorden die het risico van raden vermindert. Dit uitgangspunt wordt waar mogelijk afgedwongen door het systeem. De sterkte van een wachtwoord wordt bepaald door de lengte, de complexiteit en de onvoorspelbaarheid. Een sterk wachtwoord is veilig indien deze niet te eenvoudig en niet te kort is. 3
4. Wachtwoorden behoren altijd versleuteld te zijn opgeslagen volgens gangbare technieken 2 die niet verouderd zijn en mogen nimmer leesbaar zijn op een inlogscherm tijdens het ingeven en als data over het netwerk. 5. Een ingegeven wachtwoord in het inlogscherm kan niet gekopieerd worden naar een tekstveld of ander scherm. Dit om het achterhalen van wachtwoorden te voorkomen 3. 6. Bij een foutieve inlogpoging wordt geen informatie verstrekt over de fout. Er wordt alleen gemeld dat de combinatie gebruikersnaam en wachtwoord ongeldig is. 7. Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen de authenticiteit en/of misbruik van het systeem. Dit is afhankelijk van de technische mogelijkheden van applicaties en een risico-afweging. Voor de toegang tot de Velsense netwerkomgeving kan dit ingesteld worden. 8. De afdeling Informatiemanagement bepaalt in overleg met systeemeigenaren de maximale geldigheidsduur en welke afwijkingen hierop van toepassing zijn die een beperktere geldigheidsduur nodig maken. Denk in het laatste geval aan BRP, PNIK en Suwinet. 4.2. Gemeentelijke instellingen voor wachtwoorden De wachtwoordinstellingen van de informatiesystemen van de gemeente Velsen behoren te voldoen aan de volgende eisen: 1. Wachtwoorden hebben een minimale lengte van 8 posities. 2. Wachtwoorden mogen na wijzigen niet opeenvolgend zijn en mogen pas na 6 keer herhaald worden. 3. Het account van een gebruiker mag niet verwerkt zijn in een wachtwoord. 4. Wachtwoorden behoren minimaal 1 hoofdletter, 1 cijfer en 1 leesteken te hebben. 5. Wachtwoorden zijn maximaal 60 dagen geldig. 6. Een account wordt automatisch geblokkeerd na 3 foutieve inlogpogingen. Bij de laatste poging wordt de gebruiker hiervan op de hoogte gesteld via een melding. 7. Wanneer een wachtwoord is verlopen, wordt het daaraan gerelateerde gebruikersaccount automatisch geblokkeerd. 2 Het versleutelen van wachtwoorden geschiedt doorgaans via hash- en saltfuncties. Zie verder https://nl.wikipedia.org/wiki/salt_(cryptografie) 3 Het achterhalen van een niet-leesbaar wachtwoord kan door gebruik te maken van allerlei hulpprogramma s die te downloaden zijn via internet. 4
Voor bovenstaande geldt dat de systemen dit technisch moeten kunnen ondersteunen en het is afhankelijk van een risico-afweging. Minimaal dienen de systemen die de kritische bedrijfsprocessen van de gemeente Velsen ondersteunen aan de wachtwoordeisen te voldoen en uiteraard ook het systeem dat toegang geeft tot de netwerkomgeving van Velsen. De afdeling Informatiemanagement beoordeelt jaarlijks of de waarden voor wachtwoordinstellingen volgens het beleid nog toereikend zijn voor een sterk en veilig wachtwoord, rekening houdend met de stand der techniek zowel aan de kant van de bedreigingen (hackers) als die van de mogelijkheden (nieuwe en verbeterde technieken) 4. 4.3. Wachtwoordbeheer 1. Wachtwoorden worden op een veilige manier uitgegeven (verstrekken en resetten). Er zijn hiervoor deugdelijke gestandaardiseerde procedures (schriftelijk vastgelegd). 2. Bij het verstrekken van een tijdelijk wachtwoord vindt controle op de identiteit van de gebruiker plaats. Gebruikers bevestigen de ontvangst van een wachtwoord. 3. Een wachtwoord dat via functioneel of technisch beheer (nieuw of reset) wordt verstrekt aan een gebruiker behoort direct na inlog van de gebruiker te worden aangepast. Voor zover mogelijk dwingt het geautomatiseerde systeem dit af. 4. Bij verandering van functie/afdeling of uitdiensttreding moet functioneel en technisch beheer in staat worden gesteld om tijdig rechten te kunnen veranderen en/of weg te nemen. Dit geldt eveneens voor de beheerders van applicaties en diensten in de cloud of bij ketenpartners. 5. Wachtwoordbeheer heeft de mogelijkheid een account direct te blokkeren indien het vermoeden aanwezig is dat het wachtwoord van het betreffende account bekend is bij anderen. 6. Elke systeemeigenaar is verantwoordelijk voor de juiste inrichting van de wachtwoordinstellingen in zijn informatiesysteem dat voldoet aan het wachtwoordbeleid van de gemeente. 7. Elke gebruiker kan zijn wachtwoord wijzigen. Bij het wijzigen controleert het authenticatiesysteem automatisch of het nieuwe wachtwoord voldoet aan de vooraf ingevoerde wachtwoordinstellingen. Indien dat niet het geval is dan wordt de wijziging niet geaccepteerd. 4 Gelet op de voortschrijdende technologische ontwikkelingen is het niet uitgesloten dat de minimale lengte van een wachtwoord in de nabije toekomst verhoogd moet worden naar 10 of 12. Vraag is dan of de huidige informatiesystemen dit wel aan kunnen of gebruikers hierop al voorbereid zijn (bewustwording). 5
4.4. Gedragsregels gebruikers 1. Nalatigheid in het beheer en gebruik van wachtwoorden wordt gezien als een ernstig beveiligingsincident en kan consequenties hebben voor de betreffende medewerker(s). 2. Wachtwoorden zijn alleen bij de gebruiker bekend. 3. Wachtwoorden worden niet opgeschreven. 4. Wachtwoorden worden niet gedeeld met anderen ook al zijn dit bekenden, hoger in functie of vertrouwelingen. 5. Het opslaan van wachtwoorden in de webbrowser (denk aan cloud-toepassingen) is niet toegestaan. 6. Indien een gebruiker het vermoeden heeft dat zijn wachtwoord bekend is bij een ander dan wijzigt de gebruiker onmiddellijk zijn wachtwoord. 7. Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijvoorbeeld opgeslagen onder een functietoets of in een macro). 8. Nut en noodzaak en do s en don ts voor het gebruik van wachtwoorden is een vast onderdeel van het bewustwordingsprogramma informatiebeveiliging bij de gemeente Velsen. 4.5. Aanvullende eisen 1. Standaard wachtwoorden die in software of hardware worden meegegeven, worden voor ingebruikname gewijzigd. 2. Nieuwe apparatuur waarbij gebruik gemaakt wordt van wachtwoorden moet minimaal voldoen aan het wachtwoordbeleid van de gemeente. 3. Bij aanschaf van nieuwe geautomatiseerde systemen waar het gebruik van wachtwoorden volgens een inlogprocedure noodzakelijk is, behoort rekening te worden gehouden met de lengte van het wachtwoord en versleutelingstechniek. Minimaal moet een nieuw systeem 20 posities aan kunnen en gebruik maken van de meest gangbare versleutelingstechniek (opnemen in programma van eisen). 4. Het gebruik kunnen maken van wachtzinnen (zie inleiding) bij nieuw aan te schaffen geautomatiseerde systemen moet mogelijk zijn. 5. Het gebruik van twee-factor authenticatie waarbij naast het gebruik van een wachtwoord een aanvullende code moet worden toegevoegd om toegang te krijgen, wordt gebruikt bij 6
toegang tot het netwerk van de gemeente via externe verbinding (denk aan telewerken, thuiswerkplekken) of voor toegang tot informatiesystemen waarbij het gebruik ervan vereist of gerechtvaardigd is. 6. Voor mobiele apparaten wordt de Wipe functie 5 geactiveerd bij vaker dan 5 maal foutief inloggen. 4.6. Controle en rapportage Periodiek vindt controle plaats op het gebruik en beheer van wachtwoorden. Technisch beheer moet kunnen aantonen dat wachtwoorden beveiligd zijn opgeslagen en in het dataverkeer veilig over het netwerk loopt. Functioneel beheer behoort aan te tonen dat de procedure voor het verstrekken, wijzigen en resetten van wachtwoorden wordt nageleefd en elke systeemeigenaar moet kunnen aantonen dat zijn wachtwoordinstellingen voldoen aan het wachtwoordbeleid van de gemeente. De afdeling Informatiemanagement behoort jaarlijks te beoordelen of de wachtwoordinstellingen nog toereikend zijn en vanuit bewustwordingsprogramma s moet het wachtwoordbeleid inclusief gedragsregels nadrukkelijk aan de orde komen. Concerncontrol is belast met de uitvoering van deze controlewerkzaamheden. Informatie over de controlebevindingen uitvoering wachtwoordbeleid verloopt via de periodieke rapportages van de beveiligingscoördinator aan het management vanuit de PDCA-cyclus ISMS. 5. Formele vaststelling Het college van burgemeester en wethouders van de gemeente Velsen heeft dit document formeel vastgesteld op <datum>. 5 Met een wipe functie is het mogelijk om alle gegevens op een mobiel apparaat op afstand te verwijderen. 7