Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Veilige software door marktbrede samenwerking
Ad Reuijl
Sogeti 23 juni 2015
CIP: Centrum voor Informatiebeveiliging
en Privacybescherming
Aanleiding voor de overheid: • Toenemende afhankelijkheid van het internet, mobile devices,ed. • Toenemende (organisatiegraad van) cyber crime
De overheid organiseert zich en CIP faciliteert dit door: • Werken aan gezamenlijke afspraken en normatiek • Aanbieden/toegankelijk maken van kennis en practices • Het bouwen aan een IB-community in de overheid 2
Verdeling personen publiek-privaat Semi-
Samenstelling van het CIP-Netwerk
overheid 4%
Overheid 73%
Totaal 1047 personen naar functie Bestuur
Markt: 23%
Directie
Uit totaal: 250 organisaties Manager
Professional
60 50 40 30 20 10
Energie
Financieel
Water
Staatsrechtelijk
Provinciaal
Brancheorg
Wetenschappelijk
Stichting
Zorg
Ministerieel
ZBO
Relatie
Gemeentelijk
Agentschap
Kennispnr
Onbekend
Totaal
0
De PDC in Context CIP-activiteiten en producten Herstelvermogen Weerbaarheid Bevorderen SAMEN DOEN
Practitioners Communities voor • SSD • BIR • KSL Cursus en Teasertrainingen SSD
Snelle bereikbaarheid in CIP- Netwerk.
Product Aanbod
SSD-producten, KSL, div. handreikingen,
Geen CIP-producten
Verbinding met NCSC in NENSYS Onderlinge hulp via CIP-pleio
PIA-paper, beveiligingsovereenkomst, e-Learningmodules, CIP-Casts, etc
Basiswerkvormen Kennisdeling
5 Domeingroepen, Kennissessies, Conferenties Cip.pleio.nl
Cyber Security Platform ISAC, Werkgroep SOC
4
Oorzaken onveilige software • Beveiligingseisen zijn onduidelijk en niet op maat – Opdrachtgever verwacht deskundigheid – Leverancier verwacht precieze specificaties
• Er wordt niet of laat getest • Opdrachtgever heeft te weinig risico-overzicht • Bestaande standaarden bieden te weinig houvast – Lange lijsten met technische en organisatorische maatregelen – Vooral toegesneden op het hoe, niet het wat
Uitgangspunten in opzet Grip op SSD
“Een andere wijze van controle en sturing leidt tot een proactieve houding bij opdrachtgever en leverancier.”
• Geeft de opdrachtgever handvat om te sturen op de veiligheid van software • Leveranciersonafhankelijk: Geen eisen die ingrijpen op het HOE bij de leverancier Inzetbaar bij meerdere verschillende interne of externe leveranciers
• Toepasbaar bij alle ontwikkelmethodieken (waterval, agile) of wel of niet via een scrum aanpak én incrementals • Aanpak geschikt voor maatwerk, COTS èn cloud. • Meegeven beveiligingseisen is niet meer een verwijzing naar een (ISO-)standaarden: Maak eisen op maat met een risicoanalyse /-acceptatie
Grip op Secure Software Development
Opdrachtgever moet zelf verantwoordelijkheid nemen voor informatieveiligheid
6
Comply or explain
SSD: De normen • Gebaseerd op: – Risico’s voor de bedrijfsvoering – Bestaande normenkaders
• Duidelijkheid over: wie moet wat doen
• Maakt governance mogelijk: – Normen beperkt in omvang – Hanteerbaar als auditnorm (SIVA)
• Eenvoudig uitbreidbaar: Practitionersgroep
SSD: Relatie met andere normenkaders en Frameworks Domein Opdrachtgever: de WAT-vraag Stuur op
Stuur op
Samenwerking
Producteisen
SSD Het Proces
SSD De Normen
Stuur op
Stuur op
Samenwerking
Compliancy SSD-normen
Voor specifieke uitwerking van de techniek: ASVS
SSF
Code standaards
Eigen richtlijnen
Domein Opdrachtnemer: de HOE-vraag
…
SSD: De normen Beveiligingseisen voor applicaties
SSD-2: Gebruik van veilige cookies of apps SSD-3: Beveiliging van mobile code SSD-4: Sessie versleuteling SSD-5: Vaststellen identiteit van een externe gebruiker SSD-6: Vaststellen identiteit van een interne gebruiker SSD-7: Functiescheiding SSD-8: Least Privilege SSD-9: Registreren van Unsuccessful Login Attempts SSD-10: Concurrent Session Control SSD-11: System Use Notification SSD-12A: Session lock SSD-12B: Session termination SSD-13: Onweerlegbaarheid SSD-14: Borgen van Sessie Authenticiteit SSD-15: Scheiding van Presentatie, Applicatie en Gegevens
SSD-16: Netwerkzonering SSD-17: Beheerinterface SSD-18: HTTP validatie SSD-19: Invoer normalisatie SSD-20: Codering van dynamische onderdelen SSD-21: Geparametriseerde queries SSD-22: Invoervalidatie SSD-23: File includes SSD-24: Beperking van te versturen HTTP-headers SSD-25: Beperken van te tonen HTTP-header informatie SSD-26: HTTP-methoden SSD-27: Error handling SSD-28: Commentaar(regels SSD-29: Directory listing SSD-30: Applicatie logging SSD-31: Standaard stack
SSD: De normen Specificatiewijze
SSD: De Practitioners Community • Leren van elkaars implementatie-ervaringen • Stimuleren tot implementatie bij opdrachtgever (overheid) • Stimuleren marktpartijen om SSD in aanbod te verwerken • Evolutie van SSD o.b.v. inputs uit het veld • 70 mensen van 45 organisaties (publiek en privaat) zijn lid.
SSD: Manifestpartijen • Expliciete support is mogelijk d.m.v. onderschrijven SSD- Manifest • Organisaties die onderschrijven:
Ad Reuijl
Sogeti 23 juni 2015
Voorbrengingsketen UWV De omvang 5 BSU’s, 500 medewerkers
Interne delivery org.
Aantal releases: ca. 100 per jaar
IS
10-tal IM’s, 400 medewerkers
9
IM
Bedrijfsvoering
10
UWV
1
Scopafijt Business Analyse Gebruikers Acceptatie test
8
BSU 7
Functioneel Ontwerp
2
Aansturing Leverancier
5
4
Leverancier (extern /intern)
3
Software Bouw
6
TSC Functionele Acceptatie Test
TSC 120 medewerkers
70 leveranciers, waarvan 6 grote softwareleveranciers
Voorbrengingsketen UWV De contactmomenten Penetratietesten SSD
Security risicomanagement
Beoordeling SSD bevindingen
Interne delivery org. IS
9
IM
Bedrijfsvoering
10
UWV
1
Scopafijt Business Analyse Gebruikers Acceptatie test
Rapportage verantwoording SSD normen 8
BSU 7
Functioneel Ontwerp
2
Aansturing Leverancier
5
4
Leverancier (extern /intern)
3
Software Bouw
6
TSC Functionele Acceptatie Test TSC/SSD test en Toetsing rapportage leverancier SSD rapportage leverancier
Contractuele verplichting SSD eisen
Voorbrengingsketen UWV De implementatie 7
Interne delivery org. IS
Bedrijfsvoering
UWV
IM 10 1
8. Stel prioriteiten obv risico en dashboard 9: Begroot SSD mee in releases (+ 5%) 8.
Scopafijt Business Analyse Gebruikers Acceptatie test
9
8
BSU Functioneel Ontwerp
2
10. Neem SSD-eisen mee als non-functionals in opdracht aan leverancier
Aansturing Leverancier
5
6
5: Toets o-metingen 6. Neem resultaten op in dashboard. 7. Test elke nieuwe release en TSC actualiseer dashboard Functionele Acceptatie Test
4
Leverancier (extern /intern)
3
Software Bouw
11. Lever releases op en zorg dat de geraakte code SSD-compliants is.
1: In gesprek met leveranciers over hoe we gaan sturen. 2. Doorspreken methode en normen SSD. 3. Afspreken 0-metingen 4. Afspraak: nieuwe va jan 2014 compliant aan SSD
SSD: ambitie voor toekomst • Hét instrument voor samenwerking tussen opdrachtgever-opdrachtnemer bij informatieveilige software ontwikkeling en onderhoud in de overheid. • Hogere volwassenheidniveau’s van softwareveiligheid bereiken. • Door toepassing van SSD als standaard binnen de overheid efficiencyvoordelen bereiken voor auditors, interne- en externe leveranciers en aansturende organisaties. • Olievlekgewijze uitbreiding van de implementatie. Nu al op weg bij UWV, Cibg, Postnl, ICTU, DICTU. Voornemens bij CAK, SVB, DUO, Logius. • Continuous Improvement door verankering in CIP en i.h.b. de Practitioners Community: nieuwe thema’s en leerervaringen verrijken de methode en het normenkader.
SSD: ambitie voor toekomst • Het instrument voor samenwerking tussen opdrachtgever-opdrachtnemer bij software ontwikkeling en onderhoud in de overheid. • Hogere volwassenheidsniveau’s van softwareveiligheid bereiken • Door toepassing van SSD als standaard binnen de overheid efficiency voordelen voor auditors, interne en externe leveranciers en aansturende organisaties. TNO Nu al op weg bij UWV, • OlievlekgewijzeReview-toetsing uitbreiding van de implementatie. Cibg, Postnl, ICTU, DICTU. Voornemens bij CAK, SVB, DUO, Logius Alles overziend komen we tot de conclusie dat dit document • Continuous Improvement door verankering in CIP en i.k.b. de Practitioners veel bruikbaarder is dan andere normenkadersverrijken die we hebben Community: nieuwe thema’s en leerervaringen de methode en gezien. Het gebruik van SIVA is daarvoor een belangrijke oorzaak. het normenkader.
“
Grip op SSD, de beveiligingseisen is een voorbeeld dat voor andersoortige scopes navolging verdient. Groeien via en sturen op maturity van SSD is een prima aanpak om niet via een ‘big bang’, maar via een groeimodel te komen tot een volwassen SSD"
SSD: ambitie voor toekomst • Het instrument voor samenwerking tussen opdrachtgever-opdrachtnemer bij software ontwikkeling en onderhoud in de overheid. menen een goed start te hebben • HogereWe volwassenheidsniveau’s van softwareveiligheid bereiken Actionbinnen dus !!de overheid efficiency • Door toepassinggemaakt: van SSD als standaard voordelen voor auditors, interne en externe leveranciers en aansturende organisaties. TNO Nu al op weg bij UWV, • OlievlekgewijzeReview-toetsing uitbreiding van de implementatie. Cibg, Postnl, ICTU, DICTU. Voornemens bij CAK, SVB, DUO, Logius Alles overziend komen we tot de conclusie dat dit document • Continuous Improvement door verankering in CIP en i.k.b. de Practitioners veel bruikbaarder is dan andere normenkadersverrijken die we hebben Community: nieuwe thema’s en leerervaringen de methode en gezien. Het gebruik van SIVA is daarvoor een belangrijke oorzaak. het normenkader.
“
Grip op SSD, de beveiligingseisen is een voorbeeld dat voor andersoortige scopes navolging verdient. Groeien via en sturen op maturity van SSD is een prima aanpak om niet via een ‘big bang’, maar via een groeimodel te komen tot een volwassen SSD"
Grip op SSD: een vraag Wilt u meehelpen het applicatielandschap in NL veiliger te maken? Sluit je aan bij de PraCo SSD, mail:
[email protected] Een greep uit de huidige samenstelling:
Wij delen de kennis om tot veilige software te komen
Tot slot • Softwareontwikkelaars: gebruik SSD om je opdrachtgever een spiegel voor te houden. • Opdrachtgevers: neem het stuur in handen en gebruik SSD om dat te doen. • Neem de tijd om te groeien in volwassenheid en begin klein.
Downloads: www.cip-overheid.nl/downloads • SSD-Methode • SSD-normen • SSD-training
AVAILABLE FOR FREE