navigatie overslaan
Alle plaatsen > Data & Secure > Blog > 2018 > januari
2018

Het behoeft eigenlijk bijna geen betoog: net zoals bij veel andere grote veranderingen is ook in het geval van het toepassen van adequate informatiebeveiliging de medewerker zelf de belangrijkste hindernis. Hij ziet het belang er (nog) niet van in, hij heeft er zelf (blijkbaar) geen voordeel van en als het meer werk is dan voorheen, zal hij geen enkele behoefte voelen om er iets aan te doen. Die medewerker moet er aan zijn haren worden bijgesleept. Dat is zo ongeveer de belangrijkste conclusie na de kennissessie over ‘Access & Control’ in het kader van de EIM-campus en het EIM in Business Magazine.

 

Is dat nieuw? Nee, niet echt. Immers ook bij zaken als het Nieuwe Werken, digitaliseren, toenemende mobiliteit, Internet of Things geldt al net zo zeer dat de verandering blijkbaar zo groot is, dat medewerkers er moeite mee hebben die te accepteren en te adopteren. Laat staan als het om zoiets ingrijpends en complex gaat als de nieuwe privacywetgeving. Je mag niet veel meer met de persoonsgebonden gegevens die je als bedrijf of organisatie met zorg hebt verzameld. Althans, dat mag je niet zomaar. Er zijn wel mogelijkheden, maar de regie ligt wel wat meer in handen van de eigenaar van die gegevens.

 

Aan de hand van een aantal stellingen werden de huidige ontwikkelingen aan de ‘campus-tafel’ doorgenomen door Gert Meijerink (Senior Manager RC ITA, KPMG), Gert Koerselman (Business Owner Digitaal Werken, Doxis), Peter Valckx (Sales Executive, Seeburger), Bart Scheffer (MarCom, ETTU), Edwin Hubers (freelance Information Security Officer/Risk Manager) Robert van der Vossen (Directeur CyCo), Barry Bakker (Directeur Digitt) en Lourens Siderius (Business Development Manager MS Azure & Office 365, ETTU). Gastheer voor deze sessie is ETTU, die haar accommodatie als winnaar van de DCM Awards in de categorie Access & Control’ beschikbaar stelde voor deze sessie. De discussie wordt geleid door Sander de Wolf (Uitgever, Vakwereld) en John de Waard (Hoofdredacteur, EIM-campus/DocumentWereld) en vindt plaats in het kader van de EIM-campus (www.eim-campus.nl), thema Access & Control.

 

Hoezo niet interessant?

Grappig is ook wel, zo vindt men aan tafel, dat in het kader van cybersecurity mensen veelal denken dat ze niet interessant zijn. ‘Wie heeft er nu wat aan mijn gegevens?’ Nou, dat valt nog te bezien. Met een beetje social engineering (het afstruinen van sociale media en andere publieke bronnen) kun je al snel een behoorlijk profiel van iemand opbouwen. Als je dan ook nog een bankrekeningnummer en/of BSN-nummer kunt bemachtigen, kun je zijn of haar identiteit overnemen. En dan zijn de rapen pas echt gaar. ‘Het bewustzijn over de mogelijke gevolgen bij verlies of diefstal van vertrouwelijke gegevens of belangrijke bedrijfsgegevens is heel laag’, constateert ‘de tafel’. ‘En als men zich niet bewust is van de gevaren is de neiging om er wat aan te doen ook niet al te groot. Dat zorgt ervoor dat bedrijven lang heel laconiek zijn (geweest) over de bescherming van privacygevoelige gegevens. Toenemend gebruik van cloudapplicaties door veel bedrijven maakt het gevaar nog groter. Dat kan alleen veranderen als we erin slagen die medewerkers zo op te voeden dat ze het gaan begrijpen en dat ze voor hetzelfde doel gaan ‘strijden’.’

 

Die gedragsverandering wordt ‘gestimuleerd’ door de grote boetes die bedrijven boven het hoofd hangt. Daar kan het echt om miljoenen euro’s gaan. Hoe ga je echter de handhaving organiseren?  De verantwoordelijkheid daarvoor ligt op het hoogste niveau, bij de Autoriteit Persoonsgegevens, maar die kan dat lang niet alleen aan. Handhaving zal dus voor een groot deel worden gedaan op aangeven van de gedupeerde, reactief dus. En hoe groot is dan nog de pakkans?

 

Moet wel werkbaar blijven

Daarbij komt dat wanneer je alles dicht timmert er een onwerkbare situatie ontstaat, met nog meer de neiging om ‘er omheen te gaan werken’. Balans tussen wat technisch mogelijk is en wat qua menselijk gedrag haalbaar is, is cruciaal voor het succesvol invoeren van en effectieve ‘information security policy’. Wat wel helpt, volgens de discussiepartners, is duidelijk maken wat de waarde van informatie is. ‘Bekijk jouw informatie eens door de ogen van een crimineel: waar zou je wat aan kunnen verdienen en hoe? Is jouw informatie dan nog steeds zo oninteressant? En is het dan nog steeds ‘best wel goed’ beveiligd? In de meeste gevallen dus verre van…’ Dat bewustzijn moet er wat de tafelgenoten betreft worden ingeramd bij bedrijven. Van hoog tot laag. ‘Anders komt een sluitend informatiebeveiligingsbeleid nooit goed van de grond. Iedereen moet zich bewust zijn van de gevaren. En daarnaar handelen!’

 

Slotconclusie van de tafelgenoten: ‘We zijn toe aan de volgende fase: we moeten beter en netter omgaan met alle data die ons ter beschikking staan. Om dat te kunnen doen moet je het simpel houden. ‘Keep it simple and stupid’. Dan begrijpt iedereen wat je wilt en hoe je het wilt. Maak vervolgens heldere afspraken, zodat duidelijk is hoe het doel bereikt moet worden. De keuze om iets met die persoonsgebonden of gevoelige (bedrijfs)informatie te (mogen) doen, moet vervolgens bij de eigenaar liggen. Zolang die daadwerkelijk heel eenvoudig zijn keuze kan maken, is nog altijd veel mogelijk om nieuwe producten en diensten te ontwikkelen, gebaseerd op informatie die uit bestaande producten en diensten is gekomen.’

Sinds zomer vorig jaar is de eIDAS-Verordening (Verordening elektronische identiteiten en vertrouwensdiensten) van kracht. Hier is veel minder aandacht aan besteed dan aan bijvoorbeeld de General Data Protection Regulation (GDPR), maar is daarom niet minder relevant. Deze eIDAS-Verordening brengt door de invoering van nieuwe verplichtingen belangrijke veranderingen voor aanbieders van elektronische identificatiemiddelen en bepaalde vertrouwensdiensten (trust services).

 

De verandering met de meeste impact voor aanbieders van dergelijke diensten is waarschijnlijk de nieuwe meld- en zorgplicht. Aanbieders van zowel gekwalificeerde als niet gekwalificeerde vertrouwensdiensten moeten vanaf 1 juli incidenten met een significante impact melden bij de toezichthouder (de Autoriteit Consument en Markt)*, en waar passend ook bij de Autoriteit Persoonsgegevens en het Nationaal Cyber Security Centrum (NCSC). Daarnaast legt de Verordening zwaardere verplichtingen met het oog op de te nemen beveiligingsmaatregelen op. De eIDAS-Verordening vervangt de Europese Richtlijn elektronische handtekening (Richtlijn 1999/93/EG).

 

Wat zijn vertrouwensdiensten?

 

Vertrouwensdiensten zijn elektronische diensten die gewoonlijk tegen betaling worden verricht en het onderstaande inhouden:
a) het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of
b) het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of
c) het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben (artikel 3, onder 16, eIDAS Verordening).

Onder vertrouwensdiensten worden verstaan:

Elektronische handtekeningen (ook wel digitale handtekening genoemd);

Elektronische zegels;

Elektronische tijdstempels;

Diensten voor aangetekende bezorging;

Elektronische certificaten voor authenticatie van websites.

 

Onderscheid tussen gekwalificeerde en niet-gekwalificeerde vertrouwensdiensten
Bij vertrouwensdiensten wordt onderscheid gemaakt tussen gekwalificeerde en niet-gekwalificeerde diensten. Een niet-gekwalificeerde aanbieder is in principe iedere aanbieder die een dergelijke dienst aanbiedt. Een gekwalificeerde aanbieder is een aanbieder die diensten aanbiedt met een hoger betrouwbaarheidsniveau. Aan het aanbieden van gekwalificeerde vertrouwensdiensten worden onder de eIDAS-Verordening zwaardere eisen gesteld dan aan niet-gekwalificeerde diensten. Een voorbeeld van niet-gekwalificeerde vertrouwensdiensten (met een lager niveau van betrouwbaarheid) zijn website-certificaten. Voor zowel afnemers van de diensten als aanbieders moet duidelijk zijn welke betrouwbaarheidsniveau een dienst heeft.

Wat verandert er voor de aanbieder van vertrouwensdiensten met de eIDAS-Verordening?
Zowel aanbieders van niet-gekwalificeerde als gekwalificeerde vertrouwensdiensten dienen passende technische en organisatorische maatregelen te nemen om veiligheidsrisico’s van de diensten die verleend worden uit te minimaliseren. De eIDAS-Verordening voert nieuwe verplichtingen ten aanzien van veiligheidsrisico’s in voor aanbieders van vertrouwensdiensten. Dit zijn:

 

Meldplichten bij inbreuk op veiligheid of verlies van integriteit

Een (vermoeden van een) veiligheidsinbreuk of integriteitsverlies, met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd, dient onverwijld, doch uiterlijk binnen 24-uur na de ontdekking gemeld te zijn bij de toezichthouder en, waar passend, bij de Autoriteit Persoonsgegevens en/of het NCSC.

 

Aangescherpte toezicht/beveiligingseisen

Het toezicht op de aanbieders van niet-gekwalificeerde vertrouwensdiensten is gericht op de controle op het nemen van passende maatregelen tot risicobeheersing. Dit toezicht kan alleen achteraf plaatsvinden; dus wanneer een incident heeft plaatsgevonden of de toezichthouder signalen krijgt over misstanden bij die aanbieder.

Aanbieders die een gekwalificeerde dienst willen aanbieden dienen het voornemen daartoe bij de toezichthouder te melden en de resultaten van een veiligheidsaudit (een kritisch onderzoek naar de veiligheid van de vertrouwensdienst) van een erkend orgaan aan de toezichthouder te overhandigen. De toezichthouder beoordeeld aan de hand van de resultaten van de veiligheidsaudit of de aanbieder op de vertrouwenslijst met betrouwbare aanbieders en diensten kan worden geplaatst. Aanbieders van gekwalificeerde vertrouwensdiensten dienen eveneens jaarlijks een veiligheidsaudit uit te voeren en de resultaten daarvan in te dienen bij de toezichthouder. Ook mag de toezichthouder hier proactief toezicht houden op de naleving van de zorgplicht en waar nodig handhavend optreden.

Met de eIDAS-Verordening hoopt de Europese Commissie te voorzien in een betrouwbare, beveiligde en wettelijk geregelde omgeving ten behoeve van elektronische identificatie en elektronische vertrouwensdiensten om grensoverschrijdende elektronische transacties te faciliteren voor het bedrijfsleven, burgers en overheden. Met de eIDAS-Verordening wordt het gemakkelijker om online en cross-border zaken te doen, zoals het openen van een bankrekening, het opzetten van een bedrijf een ander lidstaat, of het doen van belastingaangiftes en internetbetalingen.

Uit een recent onderzoek van Forrester blijkt dat de markt een stijgende behoefte heeft aan 'mobiele veiligheid' en realtime opties tot ondertekening van documenten (The State Of E-Signature Implementation: Twenty-Five E-Signature Use Cases Show Adoption Trends’). Daarbij spreekt het gerenommeerde marktonderzoeksbureau bovendien de verwachting uit dat biometrie als beveiliging (vooral in Europa) opmars zal maken. Vingerafdruk-, iris- en gezichtsherkenning e.d. zullen onlosmakelijk worden verbonden met het veilig (op elke willekeurige locatie) kunnen uitvoeren van ondertekeningen of transacties, zowel op de pc als op eender welk mobiel apparaat ook.

Nu is er al eens eerder iets gezegd over biometrische beveiliging in deze kolommen, maar het doet mij denken aan de film Angels & Demons (in het Nederlands Het Bernini-mysterie, naar het boek van Dan Brown). Daar werd ook gebruik gemaakt van biometrische herkenning (iris-herkenning in dit geval) in het CERN, het Zwitserse wetenschappelijke instituut voor nucleair onderzoek. Daar werd (in de film dan) anti-materie gecreëerd en het is uiteraard verstandig om dat goed te beveiligen. Toegang werd gecontroleerd door irisherkenning van de betreffende wetenschappers. Echter, een stel onverlaten hadden doodeenvoudig het oog van de betreffende wetenschapper uit zijn kas gelicht en die voor de irisscanner gehouden. Deur open, anti-materie weg en daar waren de poppen aan het dansen. Waarmee ik maar wil zeggen, dat je het qua beveiliging zo gek niet kunt bedenken of er is altijd wel iemand die er een weg omheen weet te vinden.

 

Vandaar misschien dat nu ontwikkelingen gaande zijn om niet de vingerafdruk maar de hele hand als biometrische eigenschap vast te leggen en te gebruiken. Maar ook die kan er af... Niets is waterdicht en het is een illusie om te denken dat het wel zo gaat worden. Het wordt ongetwijfeld steeds veiliger door al die toepassingen van biometrische herkenning, maar we zullen vooral moeten leren op een zorgvuldige manier om te gaan met waardevolle items of informatie. En daarbij het risico op misbruik altijd in het achterhoofd houden. Bedenk vooral ook van te voren wat je gaat doen als het mis gaat. Want het gaat een keer mis. Dat is de enige zekerheid die u heeft. Wie zich dat realiseert, wordt ook niet verrast.

 

Ik hoop dat u dit jaar een mooi en veilig jaar zult meemaken en niet wordt verrast...